Un impiegato su due è vittima del «phishing»
Hacker’s Dictionary. La rubrica settimanale a cura di Arturo Di Corinto
di ARTURO DI CORINTO per Il Manifesto del 26 Luglio 2018

 

Multe, conti, fatture: la maggior parte delle email di phishing ha come oggetto una richiesta di pagamento. In genere si presentano così: «Ti ricordi della fattura?»; «Ti abbiamo affidato una nuova attività»; «Mancato pagamento». Ma se si clicca sull’allegato o sul link per le informazioni inviate, in genere si viene infettati da software che rubano dati, trasferiscono documenti, attivano funzioni remote e la giornata diventa un incubo.

Secondo Sophos, il 41% delle aziende subisce attacchi di phishing ogni giorno e circa il 30% delle email di phishing viene aperto. Nelle aziende, il reparto contabilità è quello più attaccato dai cyber criminali, seguito dal top management.

Secondo un altro leader nel mondo della sicurezza informatica, Akamai technologies, i siti di gaming e gambling sono diventati un bersaglio privilegiato dai criminali.

I dati di alcune ricerche mostrano che ogni anno i publisher di videogiochi perdono più del 40% dei loro profitti a causa della criminalità informatica.

Alla base di questi attacchi c’è il credential stuffing.

Il credential stuffing presuppone il furto degli account degli utenti di un determinato sito e l’implementazione di una serie di bot per tentare l’accesso con questi dati a numerosi altri siti. Il numero di credenziali rubate (username, mail e relative password) è nell’ordine di miliardi.

Secondo la Gambling Commission inglese, ogni scommettitore online ha una media di quattro account e, dato che tre persone su quattro tendono a duplicare le password, il credential stuffing rappresenta un rischio molto serio.

Nel frattempo aumenta l’uso di fotocamere e di stampanti per il lancio di attacchi da negazione di servizio, i DDoS, attacchi che interrompono normali servizi Internet e che possono essere motivati dalla protesta politica, sociale o dalla vendetta personale. Secondo Alexey Kiselev di Kaspersky Lab, «nella maggior parte dei casi questo tipo di attacco viene portato avanti per scopi economici: per questo motivo i cybercriminali, di solito, prendono di mira aziende e servizi che producono molti guadagni. Le somme di denaro guadagnate grazie a un’estorsione o a un furto possono ammontare anche a milioni». Ad esempio, in Giappone sono state utilizzate 50.000 telecamere di videosorveglianza per sferrare attacchi DDoS.

In base alle stime di Cybersecurity Ventures, nel 2021 la lotta al cybercrime costerà alle aziende più di 6.000 miliardi di dollari all’anno e ci saranno 3,5 milioni di posti di lavoro vacanti nella sicurezza informatica.

Questo dato è confermato da una ricerca del Ponemon Institute nella quale il 57% degli intervistati ha dichiarato di non riuscire a reperire il personale qualificato necessario per implementare gli strumenti per l’automazione della sicurezza. «Mentre i cybercriminali continuano ad automatizzare gli attacchi, le organizzazioni devono fare i conti con team preposti alla sicurezza sottodimensionati, processi manuali, sistemi eterogenei e policy complesse che li costringono a dedicare tempo ad attività di basso livello».

L’innovazione tecnologica è quindi fondamentale ma la formazione degli operatori è insostituibile.

Scuole, università e consorzi si stanno attrezzando per colmare l’assenza di professionisti nel settore ma non basta. Bisogna considerare che anche la formazione degli utenti è fondamentale. È ora di pensare a un «maestro Manzi» della cybersecurity, uno che come lui nella Rai degli anni sessanta possa alfabetizzare oggi gli italiani alla sicurezza informatica.