La pandemia ha portato un sempre maggiore numero di paesi ad adottare il così detto lockdown, vale a dire un isolamento pressoché totale dei rispettivi abitanti. E in Italia, purtroppo, ne sappiamo qualcosa: uffici abbandonati di tutta fretta, smartworking imbastito in quattro e quattr’otto, e case abitate come non mai.
Brutta vita? Qualcuno pensa di sì, qualcun altro di no, ma c’è una categoria che di sicuro è ben poco felice della situazione: i ladri. Il fatto che intere città si siano riversate nelle dimore d’elezione ha abbassato, e di molto, i furti fisici. Favorendo, per un’ironica legge della compensazione, quelli digitali. Che poi, a dire digitali si corre il rischio di pensare in astratto, ma parliamo pur sempre di soldi veri, verissimi.
Il coronavirus come pretesto per la truffa
E come sfruttare il momento a beneficio dei cybercriminali? Seguendo la moda, ovviamente, come quasi sempre accade con questo genere di crimini. Così, se il trend del momento è il Coronavirus, ecco spuntare una pletora di trappole basate sul Coronavirus. Quasi tutte, però, sfruttano la medesima tecnica, cioè quella del phishing.
La conosciamo bene, ma per quanti si collegassero a radio-cyber-sicurezza per la prima volta è comunque semplice da spiegare: si clona una fonte conosciuta e attendibile, modificando la copia in modo da convincere la vittima che si tratta dell’originale. A quel punto, fatto scattare il meccanismo della fiducia, la vittima abbassa le difese e casca nel tranello.
Tranello che può variare a seconda dei casi. Per esempio, si clona un modulo online e la vittima, credendo che sia autentico, inserisce le proprie informazioni personali, che a quel punto vanno dritte nelle fauci del criminale di turno.
Attenti al panda che arriva per email
C’è da dire che questa tecnica è ormai utilizzata solo da criminali che hanno ben in mente la loro vittima. Cioè nel caso in cui puntino a un individuo ben specifico, e dopo averne carpito le abitudini online sono in grado di creare un trappolone ad hoc. Ma visto che, a causa di questa pandemia, a casa ci sono milioni di persone, ai cyber-criminali conviene utilizzare strumenti un po’ più rapidi, puntando su un bacino di potenziali vittime molto ampio.
Le statistiche faranno il resto: i gonzi pronti a cascarci ci sono sempre. E, sorpresa, le trappole messe a punto questa volta sono in grado di fregare anche chi proprio gonzo non è. Pensate, per esempio, a Vicious Panda. Si tratta di una campagna criminale, scoperta da Check Point Research, che punta sulla fame di notizie del pubblico in questo periodo.
Oggetto della campagna sono due documenti del governo mongolo trasmessi al settore pubblico del Paese asiatico. I due documenti, in formato RTF, sono stati in realtà infettati da un malware che sfrutta un bug (un errore di programmazione) di Word per prendere possesso, di fatto, dei computer che li aprono.
Nessuno è immune al phishing
Ci sarebbe un bel discorso tecnico da fare su come funziona questo malware, ma per evitare gustose dormite ci fermeremo un passo indietro, cioè al modo in cui questi documenti sono stati diffusi: via email. Stai ridendo? Non dovresti. Ciascuno di noi ha una qualche insaziabile curiosità che lo porterebbe ad aprire una email, e allegato annesso, pronto a soddisfarla.
Un’irrinunciabile offerta di lavoro, un catalogo delle vacanze col 50% di sconto, la rubrica segreta di una nota top model coi numeri di tutte le sue amiche e amici. Il phishing è in grado di colpire davvero tutti, sfruttando semplici ma efficaci meccanismi psicologici. Per fortuna, anche se viviamo tempi un po’ strani, difendersi non è difficile, a patto di seguire qualche semplice regolina.
Come distanziarsi socialmente dalle truffe online
- Occhio alla grammatica.
La stragrande maggioranza dei testi di email malevole è tradotta da un’altra lingua e non certo da traduttori professionisti. Google Translate piace anche ai criminali. Fatto sta è raro trovare email scritte direttamente in italiano e questo ci avvantaggia un po’: l’italiano è una lingua difficile da tradurre. Quindi, se si leggono frasi scritte male, o è opera del tuo capo, ma non conviene dirglielo, o si tratta di phishing. - Offerta, ma fino a un certo punto.
Sii sempre realista e valuta se quanto promesso dall’email sia davvero realizzabile e alla tua portata. Perché una grossa azienda dovrebbe proporti un impiego scrivendoti all’indirizzo email del tuo attuale datore di lavoro? Perché quella top model sta scrivendo a te, proprio a te, che negli ultimi tre anni come unico contatto sociale hai avuto gli scorpioni durante il safari nel deserto del Gobi? - Il crimine nell’epoca del coronavirus.
Di questi tempi sarebbe importante scegliersi poche ma autorevoli fonti di notizie, e questo a prescindere dai rischi di frode. Se decidi, per dire, che una delle tue fonti preferite è il magazine XYZ (non cercarlo, non esiste e se esistesse credo sarebbe roba porno), perché dovresti proprio cliccare sul link che avete ricevuto in una email, anziché digitare direttamente l’indirizzo che ben conosci? Forse perderai due secondi in più, ma sempre meglio che vederti svuotato il conto. - Antivirus, sempre.
Impara a controllare, o scansionare se preferisci, OGNI allegato che scarichi nel computer, ovviamente prima di aprirlo. Esistono alcuni ottimi antivirus gratuiti, ma non sarebbe una cattiva idea investire qualche decina di euro su un prodotto commerciale, in genere meglio supportato e aggiornato. E sì, prima che fai quel sorrisino: ormai da tempo, anche Mac ha bisogno di un antivirus, per farti vivere sereno. - Fidati dell’antispam.
Quasi tutti i sistemi di gestione della posta elettronica son ormai dotati di filtro antispam. Si tratta di una tecnologia che cerca di filtrare le email pubblicitarie indesiderate, comprese quelle che si fanno veicolo di malware. Ogni tanto, ma è molto raro, può esagerare, cestinandone qualcuna di buona, ma è un’eventualità talmente remota che puoi dormire sogni tranquilli. E per la posta elettronica aziendale? Chiedi al sistemista se è presente un filtro di questo tipo. In caso negativo, fagli leggere questo articolo, fino a questo punto:
Ciao sistemista! Per penitenza, oltre a dover installare un bel filtro antispam, ora dovrai per forza acquistare un mio libro. Ti piacerà.
L’invito, nel caso, è valido per tutti.
L'autore
Corsi che potrebbero interessarti
Big Data Analytics - Iniziare Bene
Data governance: diritti, licenze e privacy
Agile, sviluppo e management: iniziare bene