“Ciao, sono il capoufficio, sto per prendere un volo e non posso chiamare, mi manderesti il numero della carta di credito aziendale il prima possibile? L’ho dimenticata”.
Se pensi che non ci cascheresti mai, sappi che in realtà è uno scenario estremamente comune ed efficace.
Il phishing è un attacco alla sicurezza informatica che si basa su un punto debole che nessun antivirus riuscirà mai a contrastare: la persona. Per questo è ormai prassi comune formare i propri dipendenti dai tentativi di phishing e creare delle lunghe e accurate procedure di cybersecurity.
Ma la creatività degli hacker è spesso sorprendente.
Tornando all’esempio sopra, quanti risponderebbero picche a un manager che scrive direttamente dalla mail aziendale? Non si può aspettare, perché sta per prendere il volo, la carta di credito gli/le servirà.
Da notare come la caratteristica di urgenza è comune a moltissime truffe, anche prima dell’avvento dell'informatica. L’urgenza però è anche una costante delle comunicazioni aziendali, e non possiamo usarla come unico campanello d’allarme.
Un altro esempio di phishing in azienda molto comune è la richiesta di cambio di IBAN. Inutile dirlo, è una mail urgentissima, dall’indirizzo mail abituale del fornitore, che chiede di cambiare il nuovo iban con decorrenza immediata, e di far confluire lì tutti i pagamenti successivi.
Quanto tempo ci vorrà prima di accorgersi della truffa? Mesi, probabilmente.
Spesso queste mail fanno scattare complicate procedure di autenticazione multipla, che ogni azienda studia secondo le proprie necessità. Ma capita sempre più spesso che i dipendenti, di fretta o non insospettiti dal tono della mail, oppure già confusi e stressati dalle procedure anti-Covid, cambino l’IBAN senza farsi troppi problemi.
Altro caso di phishing molto comune è quello delle credenziali di accesso. Il caso noto più recente risale ad aprile 2020, ai danni di persone collegate all’università di Oxford. Gli hacker hanno dirottato il server mail dell’Università, mandando messaggi agli utenti che re-indirizzavano verso un server all’apparenza sicuro. Qui, le vittime inserivano fiduciose le proprie credenziali di accesso a Office.
La modalità del re-indirizzamento è una delle più sofisticate, perché se il dominio che si vede è affidabile, perché non si dovrebbero re-inserire le proprie credenziali? Oppure, ancora, si potrebbe ricevere una mail con un link o un allegato al suo interno. Ovviamente, da un destinatario conosciuto.
Le possibili contromisure sono di norma stabilite dai singoli business, ma valgono alcune regole comuni:
Infine, se pensi di essere stato vittima di un attacco di phishing, non fare finta di niente. La cosa migliore è parlarne subito con i responsabili in azienda. Inoltre, consigliamo di segnalare subito eventuali siti dannosi: a questo scopo la Polizia Postale mette a disposizione un'utilissima pagina di segnalazione.