»
»
»
AssetProtection. Siamo sicuri che crediamo nelle misure di sicurezza?
phishing

AssetProtection. Siamo sicuri che crediamo nelle misure di sicurezza?

di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria) |
AssetProtection. Siamo sicuri che crediamo nelle misure di sicurezza? Cybersecurity

Vi racconto brevemente quanto mi ha evidenziato una persona che conosco sula tecnica del phishing, ovvero quella usata per catturare le credenziali di accesso ai sistemi.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Vi racconto brevemente quanto mi ha evidenziato un coinquilino.

L’altro giorno suo padre ha ricevuto da un fornitore di servizi informatici una email nella quale lo si informava che il documento di identità, che aveva registrato per il suo account SPID, era scaduto.

Nella email vi era scritto che, onde agevolare l’accesso al sito per inserire le richieste informazioni, lui poteva cliccare sulla frase apposita “accedi al sito per aggiornare le informazioni” e sarebbe stato immediatamente dirottato sulla pagina relativa al suo profilo.

Così fece, ma il sito gli notificò che il suo account non esisteva (sic!).

Dopo aver fatto un paio di prove, si preoccupò, e chiamò il figlio. Questi lo raggiunse e, dopo alcuni tentativi, essendo riuscito ad entrare nel sito, suggerì al padre di cambiare la password; ogni tentativo risultò però vano, in quanto la finestra di cambio password si chiudeva dopo un secondo e ne appariva un’altra che nulla aveva a che vedere con quella!

A questo punto entrambi si sono preoccupati ed hanno cercato di contattare l’assistenza, scoprendo così che questa non è attiva nei fine settimana. Nemmeno per problemi ritenuti gravi.

Il Lettore può immaginare la loro preoccupazione! Si trattava di un attacco di phishing? Ed ora, quali frodi avrebbero compiuto gli hacker con le credenziali ottenute?

La preoccupazione è durata l’intero fine settimana. Tutto si è risolto felicemente il giorno di lunedì, grazie all’assistenza ricevuta dal fornitore. Niente phishing (sollievo!).

Ora mi domando e vi domando: non diciamo da tempo di non cliccare su indirizzi inseriti nelle email, ma di digitare quello conosciuto? Ciò in quanto questa tecnica è usata per catturare le credenziali di accesso ai sistemi?

Sappiamo, invero, che dall’indirizzo web che ci viene indicato si può cogliere il nome del vero dominio (se si è stati istruiti a riconoscerlo) e controllare così che sia quello giusto, ma un fornitore di servizi di sicurezza chiede ad un utente, di cui non conosce il livello di preparazione, di digitare su una frase che sottintende un indirizzo web?

E non si trattava di un test di cyber security!

Ritorno allora alla domanda: “Siamo sicuri che crediamo nelle misure di sicurezza?”.

Per saperne di più: Cybercrime

L'autore

Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria)

Condividi:

Leggi anche