IN QUESTO PODCAST, REALIZZATO CON RADIO IT, F-SECURE TI RACCONTA COME LA TUA MAIL PUÒ DIVENTARE STRUMENTO PER GLI HACKER

17 SETTEMBRE 2020 – Caso numero uno: nel tuo client di mail ne arriva una che chiede di effettuare il bonifico a saldo di una fattura per un fornitore, con l’indicazione dell’IBAN. Non si tratta di un conto legittimo, ma di uno fraudolento; solo che tu non lo sai, e paghi.

Caso numero due: la mail che ricevi questa volta viene da dirigenti di alto livello (il direttore finanziario, il general manager, addirittura l’amministratore delegato) dell’azienda per cui latori. Si parla di una questione urgente e confidenziale, cosa che alletta il tuo spirito di collaborazione, per la soluzione della quale è richiesto un bonifico su un conto bancario preciso. Tu paghi, sinceramente e legittimamente convinto di aver fatto il tuo dovere. Ma i dirigenti, con quel conto, non c’entrano nulla. 

Sicurezza della mail: le cose da sapere

I casi che ti ho appena raccontato – e ce ne sono molti altri – rappresentano purtroppo una realtà con la quale le società, le organizzazioni e chi vi lavora devono misurarsi ogni giorno. E non parliamo di piccole strutture: ti basti pensare che il primo dei casi – noto come “Scam con fattura falsa” – è costato a colossi quali Google e Facebook danni per circa 100 milioni di dollari. La posta elettronica è, insomma, uno degli strumenti più esposto ai rischi di attacco: basta un piccolo gesto, compiuto magari per distrazione tra le mille cose che riempiono le giornate di lavoro, si apre la mail e si diventa vittime di cryptomining o di truffe di social engineering. 

Sicurezza della mail: il social engineering

Queste due parole – social engineering – sono la chiave per capire molte delle truffe che viaggiano sui client di posta elettronica. Si tratta di forma di manipolazione e di inganno determinante nella riuscita di un attacco di phishing, cioè l’attività con cui i cybercriminali vanno, appunto, a pesca di vittime. Attraverso il social engineering chi attacca dimostra di conoscere molto bene la persona o l’organizzazione che ha puntato, spesso acquisendo le informazioni mediante una raccolta OSINT (che è l’acronimo di Open Source Intelligence).

I set di informazioni sui quali si fonda la presunta credibilità di chi fa partire le email sono due: la conoscenza della struttura interna, dei processi e del software di un’organizzazione, e la conoscenza del suo personale. Questi dati sono molto spesso forniti dall’attività in rete condotta dalle aziende e dalle società, per esempio pubblicando un annuncio di lavoro o contenuti sul social elettivo per le questioni professionali, cioè LinkedIn. La descrizione dettagliata dell’attività e delle responsabilità per un determinato ruolo, oppure le informazioni sulla struttura gerarchica in cui si inserisce il dipendente, o ancora le conoscenze e le competenze desiderate quando si cerca un sistemista o uno sviluppatore: tutto questo è oro per chi progetta un attacco. 

E poi nel podcast sentirai…

… tutti i consigli per proteggere la tua mail dalle mani dei cybercriminali

Buon ascolto! 

APPROFONDIMENTI