lunedì 7 agosto - Oggiscienza

Virus, malware e phishing: non aprite quella e-mail

Per ogni invenzione tecnologica esiste almeno una ricaduta nel mondo del crimine: Federico Calzolari, esperto di sicurezza informatica, svela i rischi dei messaggi di posta elettronica, dando alcuni consigli per difendersi dagli attacchi fraudolenti.

di Giulia Negri

TECNOLOGIA – Una volta installato l’antivirus (e magari il firewall) sul nostro computer ci sentiamo sicuri, protetti. Le e-mail sospette vengono automaticamente indirizzate nella cartella “spam” dal provider di posta elettronica, ogni accesso è sigillato da una password: cosa potrebbe mai succedere ai nostri dati?

Potremmo trovare abbastanza sorprendenti, perciò, le percentuali riportate da Federico Calzolari – esperto in High Performance Computing e responsabile dei servizi informatici della Scuola Normale Superiore di Pisa, riconosciuto da Google come autore del primo exploit degli algoritmi di Ranking di Google stessa. Il 65-80% degli attacchi non vengono rilevati dalle vittime: alla maggior parte di noi sono stati sottratti dati o credenziali di accesso, e non ce ne siamo nemmeno accorti.

Secondo l’Annual Cybersecurity Report di Cisco (analisi che si basa sulle informazioni provenienti dal confronto con le aziende ed estrapolate dalla rete di sensori che Cisco ha dislocati in tutto il mondo), il 65% delle e-mail che riceviamo è spam, di questo l’8% è dannoso. I filtri riescono a individuarne una parte, ma altre sfuggono – irreparabilmente? – al loro controllo.

Tra le tecniche maggiormente in crescita nel panorama del cybercrime sono presenti phishing e social engineering: di cosa si tratta, e come ci si può difendere?

Grazie, sono stato all’ambasciata ed e’ stato emesso un passaporto temporaneo. Ho solo bisogno di prendere in prestito circa 1.000 €, io paghero’ indietro appena torno a casa. Trasferimento di denaro di Western Union è l’opzione piu’ veloce per collegare fondi per me.
Tutto quello che dovete fare e’ individuare il negozio di Western Union piu’ vicino vicino a voi e avranno il denaro inviato in pochi minuti. Vedi i dettagli necessari per il trasferimento sotto.

Questo è uno degli esempi più comuni, che quasi tutti abbiamo ricevuto almeno una volta, in una delle sue varianti. Messaggi sgrammaticati, che parlano di eredità fittizie, di prestiti a qualcuno in difficoltà o di guadagni facili, per i quali viene richiesto l’invio preventivo di una somma di denaro. Ma ci sono esempi molto più raffinati: se ci scrive – almeno apparentemente – un nostro contatto, magari lavorativo, comunicandoci la presenza di un verbale o di un documento di una tipologia che ci aspettiamo su Google Drive, dove giustamente ci vengono richieste le credenziali per accedere, a chi verrebbe in mente di dubitare?

Non sempre una mail è ciò che sembra: anche se l’indirizzo che appare è di un collega, in realtà il messaggio proviene dall’indirizzo nel box rosso. Stessa cosa per il link: nel sito a cui verremo rimandati, evidenziato da una freccia, Google ha una “o” di troppo.

Il protocollo e-mail consente di falsificare il mittente: solo verificando l’header (su Gmail “Mostra originale”) si può essere certi che chi scrive sia davvero il proprio capo. In più, sempre meglio controllare l’URL del sito al quale indirizza il link: anche se apparentemente identico, possono esserci lettere in più, caratteri simili, maiuscole o minuscole, a indicare che il sito sul quale stiamo per cliccare non è quello che ci aspetteremmo. Ecco cos’è il phishing: si tratta di indurre l’ignaro utente a consegnare spontaneamente le proprie credenziali, dati finanziari o informazioni personali, con l’intento di sfruttarle a scopo fraudolento.

Ma cosa può fare qualcuno con il nostro nome utente e rispettiva password? Per esempio, può fare una scansione di tutti i nostri messaggi di posta in cerca di contatti bancari (@bancaX.it). A quel punto, dopo aver verificato qual è lo stile e il tono con cui ci rivolgiamo loro, può prendere contatto con la nostra banca, richiedendo con qualche pretesto credibile un versamento su un conto corrente ad hoc. Non è difficile immaginare cosa potrebbe succedere se questo genere di attacco venisse rivolto al reparto commerciale di un’azienda…

Calzolari rincara: il 70-95% degli attacchi sfruttano le “debolezze” degli utenti. È qui che entra in campo il social engineering, o ingegneria sociale: si basa sullo studio del comportamento e delle abitudini di una persona al fine di carpirne informazioni utili. In campo informatico, è diventato infinitamente più conveniente attaccare l’anello più debole della catena di trattamento dell’informazione (l’uomo), anziché tentare di violare sistemi informatici sempre più avanzati. L’approccio, quindi, non è solo linguistico, metodologico e tecnologico: anche la psicologia gioca un ruolo importantissimo.

Ne è un esempio un attacco subito recentemente, il 31 luglio. Tutti ricevono un messaggio con oggetto: “Scanned image from MX250”. In allegato, un file Word, protetto da password. Quella che sembra una classica e-mail inviata da una stampante/scanner, insomma. Peccato che una macro di quel documento contenesse un virus, e circa una persona ogni venti è caduta nella trappola. Malgrado più del 50% delle persone fosse in ferie, questo messaggio è stato cliccato 5-6* volte in più rispetto al resto dello spam. Non solo: molti si sono davvero impegnati per riuscire ad aprire il documento. È come se il fatto stesso di ricevere un file “sigillato” da una password (comunque riportata nel testo del messaggio) avesse lanciato una sfida ai destinatari, sfruttando meccanismi psicologici insiti nel genere umano.

Ogni volta che pensiamo di essere invulnerabili a questo genere di attacchi, meglio ricordare la frase di Eugene Howard Spafford (Spaf), professore di computer science alla Purdue University e uno dei massimi esperti di sicurezza informatica a livello mondiale:

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards – and even then I have my doubts.

Ovvero: L’unico sistema davvero sicuro è un sistema spento, racchiuso in una gettata di cemento e sigillato in una stanza schermata con il piombo e con guardie armate – e anche in questo caso ho i miei dubbi.

@giuliavnegri89

 

* In seguito all’attacco, sono state ricalcolate le percentuali relative agli utenti che hanno cliccato sul messaggio: il fatto di essere protetto da password ha fatto sì che la macro “maligna” non venisse individuata dagli antivirus. Si stima che sia stato aperto ben 10 volte in più, e non 5-6, rispetto al resto dello spam.
 



Lasciare un commento