Questo il testo dell'inverosimile messaggio di phishing inviato da un sedicente AD a tutti i dipendenti di Microsys qualche settimana fa. Si trattava di una campagna di phishing, come quella di cui abbiamo parlato in precedenza:
Inverosimile?
Nemmeno tanto, almeno in base alle statistiche:
- Messaggi Inviati: 110
- Cliccato il link: 31
- Completato il download e abilitato le modifiche nel documento Word: 13
Evidentemente molti l'hanno preso per vero.
Molti dei destinatari hanno però espresso dubbi sulla correttezza dell'operazione, obiettando che una vera campagna di phishing non avrebbe dovuto essere fatta con un messaggio come quello.
Prima di approfondire vogliamo però fare una distinzione tra phishing, l'invio massivo di un messaggio mail ingannevole, nella speranza che qualcuno ci caschi e che cascandoci riveli informazioni "rivendibili", e spear phishing, che è la stessa cosa, ma fatta verso un individuo specifico, usando un messaggio costruito ad arte per quel destinatario, sulla base di informazioni carpite ad altri o ricostruite ad esempio dai social.
Per una discussione su questo si può ad esempio riferirsi qui:
What is Spear Phishing? Definition, Risks and More.
Il messaggio sopra va visto come un esempio di spear phishing, e l'elevato numero di persone che non l'hanno riconosciuto va visto proprio come indicazione della pericolosità di questo tipo di attacco. Che per l'hacker è molto più oneroso, perché deve documentarsi per creare un messaggio fatto a dovere, ma molto più pericoloso per la vittima.
Vediamo quindi le critiche mosse al messaggio:
- Mancava il banner "Mittente esterno" che in Microsys è presente in tutti i messaggi provenienti da mittenti esterni all'organizzazione: vero, ma una delle cose che possono succedere è che l'hacker entri nella mail di un collega e da lí mandi una mail alla vittima. Quindi l'assenza del banner non è garanzia di nulla.
- Era ovviamente riferito ad un evento reale (la festa effettivamente è programmata), mentre un estraneo non avrebbe parlato di una cosa così specifica: anche in questo caso, si tratta di spear phishing. Quindi è assolutamente possibile (anzi quasi sicuro) che l'argomento del messaggio abbia senso per il destinatario e che si parli di qualcosa che in qualche modo gli è familiare.
- Il tono, nel suo essere ironico o scherzoso, poteva certamente essere stata scritta dal vero AD: copiare lo stile di qualcuno può non essere facile, ma sappiamo di casi dove un messaggio di spear phishing riproduceva accuratamente lo stile del presunto mittente. Probabilmente l'hacker aveva acceduto a quella mailbox e usato la posta inviata per costruire un messaggio verosimile.
In compenso:
- Il nome del mittente era una storpiatura del vero AD: questo in generale non succederà. Tutto sommato un hacker come si deve non dovrebbe commettere errori di questo tipo. Ma potrebbe essere un modo per sfuggire alle protezioni dell'anti-malware.
- Il dominio mail del mittente era "@msis.it" mentre Microsys ha "@msys.it": questa è una tecnica utilizzata di frequente se l'hacker manda il messaggio dall'esterno, ed è quasi una scelta obbligata per evitare che le protezioni identifichino il messaggio come malevolo. Ed è anche un indicatore sicuro del fatto che si tratta di un messaggio malevolo.
- Il link mandava a un sito che non era SharePoint ma
www.sharepointin.com: e questo è il punto focale. Alla fine della fiera i messaggi di phishing hanno un solo scopo, spingere la vittima a seguire un link dove in qualche modo riveleranno informazioni importanti. E per farlo l'unico modo è di presentare un link balordo, che punta a un sito con un nome il più possibile simile a quello corretto.
Relativamente alla questione del banner mancante, ma in generale per tutte le misure di sicurezza, in tutti gli ambiti, è importante non presumere mai che una misura di sicurezza funzioni e quindi di poter abbassare la guardia, perché tanto c'è quella. Come se l'avere la cintura di sicurezza giustificasse l'uso del telefonino mentre si guida. Il banner serve ad attirare l'attenzione, ma la sua assenza non garantisce nulla.
Tornando alle mail di phishing, o a quelle di spear phishing, quale sarebbe una difesa efficace?
Come dicevamo nell'articolo sui polli, non è possibile basarsi sul buon senso e sperare di indentificare i messaggi falsi, perché prima o poi ne capiterà uno fatto abbastanza bene da passare i nostri controlli.
E poi c'è il problema della
muscle memory, l'azione automatica, il dito che fa click prima che il cervello (se acceso) faccia in tempo a elaborare. Almeno due dei 31 cliccatori seriali hanno detto di aver seguito il link mentre facevano altro, uno in conf call, l'altro in piedi in treno, senza nemmeno pensare a quello che facevano.
Quindi serve una regola semplice: non si seguono i link nelle mail.
Alla quale dovremmo comunque consentire eccezioni, ammesse solo quando strettamente necessario e solo dopo aver attentamente esaminato la destinazione del collegamento. Il che è un po' il contrario di quello che abbiamo appena detto.
E tanto per peggiorare la cosa: sono anni che diciamo di non inviare copie di documenti nelle mail, ma di condividerli, come dire "salvali e manda un link", che quindi i colleghi devono poter seguire.
E poi ci sono le applicazioni, ad esempio i workflow approvativi, che inviano mail agli utenti che contengono link specifici.
Per questo in realtà non possiamo dare una regola integralista "non seguire MAI i link nelle mail", probabilmente ci bloccherebbe troppa roba.
E allora?
Per gli utenti collegati alla rete interna e per i documenti condivisi su una piattaforma con Single Sign On (come Office 365, SharePoint online, Onedrive), supponendo che tutto sia fatto come si deve, il sistema non chiede quasi mai la password, perché la sessione è già autenticata. Lo stesso può valere per le applicazioni interne, se esposte con il Web Application Proxy e se abilitate alla autenticazione Kerberos. Quindi il campanello di allarme deve scattare se dopo aver seguito un link ci vediamo chiedere una password.
In conclusione, se usiamo Office 365 e abbiamo tutto configurato per bene, possiamo dire:
Non seguire mai i link nelle mail, ma se devi controlla bene il link prima di fare click. Poi, se quando fai click ti vedi chiedere una password, spegni istantaneamente il pc, fai scattare l'allarme antincendio, scendi in strada, togli la corrente al palazzo, grida "al lupo!". E spera di cavartela.