Ieri, 30 gennaio 2021, nella sezione Commenti di Repubblica, Corrado Augias risponde ad una lettera di una lettrice citando la sua disavventura con Enel; in pratica la compagnia elettrica Italiana avrebbe inviato ad Augias una email per ottenere un rimborso di ca. 90 euro, email però piena di errori grammaticali e con una difficile procedura per accedere al rimborso, in scadenza tra l’altro lo stesso giorno dell’email, procedura infarcita di link da cliccare e richieste di inserimento di username e password personali. Augias se la prende con Enel per questa email poco chiara senza accorgersi invece che in realtà Enel non c’entrava nulla ma l’email era un tentativo di phishing per cercare di entrare in possesso delle sue credenziali.

La notizia ha ovviamente fatto il giro della rete e dei social network con le più disparate reazioni, ma cosa ci può insegnare questa vicenda?

Prima di tutto il phishing è una tecnica che consiste nell’inviare una email apparentemente simile ad una reale, con la quale si cerca di indurre il destinatario a cliccare su link fraudolenti o ad inserire le proprie credenziali; il fine ultimo è quello di mettere a segno truffe che comportano danni economici e di immagine cercando di entrare in possesso di dati personali quali password, numeri di carte di credito, oppure rubare informazioni sensibili e documenti o installare software malevolo sul proprio computer che può portare al blocco completo del sistema o della rete aziendale come nel caso di attacchi ransomware. Nell’arco degli ultimi anni l’invio di email di phishing è aumentato esponenzialmente e dietro a questo fenomeno ci sono organizzazioni criminali altamente specializzate; come difendersi quindi da tutto ciò?

Protezione: non è chiaro se l’email Augias l’abbia ricevuta sull’account di Repubblica o personale, in ogni caso è importante che i servizi di posta utilizzati siano sempre aggiornati abbiano a monte un valido e sofisticato sistema in grado di intercettare le possibili email fraudolente; è vero che la protezione al 100% non sarà mai raggiungibile, per questo motivo entra in gioco anche una buona campagna di prevenzione tramite formazione mirata.

Formazione: nel caso specifico di Augias non è chiaro se Repubblica lo faccia o meno, ma è necessario prevedere delle costanti campagne di formazione sui pericoli derivanti dal phishing e sui principali campanelli d’allarme che possono portare a dubitare dell’autenticità dell’email. Nel caso in questione i numerosi errori grammaticali e l’urgenza di non poter avere il rimborso se non agendo immediatamente dovevano far scattare più di un campanello d’allarme.

Comportamenti personali: in aggiunta è utile adottare un comportamento di consapevole diffidenza nei confronti delle eventuali email inaspettate che possono far sorgere dubbi o che presentano avvisi minacciosi o rimborsi o facili vincite. In questi casi prima di procedere è sempre buona cosa rivolgersi ai responsabili che gestiscono l’infrastruttura informatica aziendale o in caso di email private effettuare verifiche dirette prima di cliccare o fornire informazioni personali riservate o numeri di carte di credito.

Infine restando al caso Augias è quanto meno strano che Repubblica abbia pubblicato un articolo, facilmente individuabile come errato, senza che si sia stato un check o una supervisione di un redattore o di un responsabile di quanto scritto; ma questa è un’altra storia.

Modificare il file hosts in Mac OS X
Il ritorno del trojan EMOTET
Translate »