Un lettore del mio articolo, apparso su questa rubrica la settimana scorsa, mi ha fatto cortesemente notare che non ho parlato del phishing. E’ vero: le mie indicazioni erano finalizzate alla protezione del computer e del suo contenuto e non ho accennato al phishing e spearphishing. Un’altra osservazione è stata che, se ho dati personali di terzi, devo crittografare l’archivio. Corretto.
Vediamo questi due punti:
Phishing
Innanzitutto devo brevemente descrivere l’ambiente. Ho due computer, due smartphone, e tre diversi provider per le caselle di posta: ciò in quanto distinguo fra attività personali, di lavoro, e per l’associazione. Ho anche due lan da due provider diversi: quella personale e quella di lavoro. Oltre a firewall, tutti gli apparati sono protetti da antivirus, come già descritto nel precedente articolo.
La posta personale la apro sul pc e sullo smartphone dedicati a queste attività; in tal modo limito la probabilità di “infettare” ciò che è più delicato.
Tale separazione è a maggior ragione importante, in quanto navigo spesso fra i siti a cercare notizie di prima mano, e la minaccia è dietro l’angolo (anche se l’antivirus avverte e blocca il sito che non lo “convince”, costringendoti così a porre maggiori cautele). Una lan è anche dedicata alle ricerche sul web da parte dei nostri responsabili degli Osservatori.
Il phishing è un tale rischio, che, sia in ambito personale sia di lavoro, uso delle accortezze. La più importante è che non apro sull’apparato di lavoro le email “inattese”; inoltre, guardo al dominio di chi mi scrive, e sicuramente a quello “reale”. (Un facile esempio: nel caso di «customer.anssaif.it.atm.ru» il dominio è atm.ru e non anssaif.it, ma a volte ce ne scordiamo).
Il problema, a mio parere, è che data la giornata frenetica che oramai viviamo, è facile guardare con leggerezza all’indirizzo di chi ci scrive una email; veniamo infatti attratti dall’oggetto, dal nome di chi si firma, e osserviamo con leggerezza l’indirizzo del mittente.
Un test di phishing presso un mio cliente ha dato dei risultati inattesi. Dopo un anno di formazione in aula, autoformazione e continua informazione a tutto il personale sulle minacce cyber, è stata predisposta ed inviata una email “mirata” e così strutturata: oggetto di interesse di ciascun team o persona; un contenuto breve ma efficace e “plausibile”; come mittente un nome e cognome di uso frequente ed un indirizzo con dominio altrettanto semplice ed in linea con l’oggetto della email. Il dominio però era inesistente.
Hanno quasi tutti cliccato il sito indicato nel corpo della email! Ed è pertanto apparso un grosso messaggio colorato della società che avvisava di essere stato pescato! Sono convinto che da questa volta in poi molti, se non tutti, staranno più attenti.
Il problema è che la guerra è aperta e spietata: basta uno che cade nella trappola e il guaio è fatto!
Per chi non se ne intende di pesca al mare, sappia che può fare buone catture con un cucchiaino argentato e trainato alla giusta velocità: oltre a catturare occhiate e sugarelli, a volte capita che abbocca anche una bella spigola.
In quella azienda ha abboccato anche un amministratore di sistema (la spigola?).
Crittografia dei dati
Devo ammettere che ancora non ho provveduto.
Mi sono fermato, rimandando ad un secondo momento, sia perché ho paura in un degrado delle performance dei computer (hanno una certa età), sia in quanto ho scoperto che la versione di Windows 10 che posseggo non ha inclusa la feature di crittografia. Altrettanto l’antivirus che ho su tutti gli apparati. Devo quindi pensare ad un upgrade o ad acquisire un software apposito.
Sui blog ho visto che i commenti sono diversificati e sono citate sia buone esperienze, sia tante cattive.
Mi riprometto di riferire a questa rubrica – qualora di interesse – quali saranno le mie conclusioni, augurandomi nel frattempo di ricevere anche i suggerimenti da parte dei lettori.