​Qualche tempo fa ci è capitato di vedere un report interno sui risultati di una cam­pa­gna di phishing fatta da un cliente: su 671 utenti presi di mira dalla campagna ben 119 si sono fatti pescare. Chiaramente troppi.
Ma quel che è peggio è che i 671 erano un'estrazione (da più di 9.000) di quelli che si erano fatti pescare nelle precedenti campagne. E questi erano stati oggetto di un'attività di formazione. Che apparentemente è servita poco.
La nostra prima reazione è stata di liquidare la cosa commentandola con un istintivo, romanesco e un po' presuntuoso "ma questi so' de coccio".

Ma poi ci abbiamo riflettuto.

​

Prima di tutto però vediamo cosa sono il "phishing" e la campagna di phishing. Il problema l'abbiamo discusso più di una volta: una mail falsa che invita l'utente ad andare su un sito per risolvere un qualche problema, ad esempio potrebbe dire  "il tuo conto in banca è in pericolo!!! Fai click qui per risolvere il problema". Se il malcapitato fosse anche un po' pollo e seguisse il link, si troverebbe sul sito di una banca (sicuramente falso, e che potrebbe o no sembrare quello della sua banca). Se casualmente si trattasse della sua banca allora quell'utente potrebbe anche provare a fare login, e se lo facesse starebbe raccontando a qual­che malintenzionato la propria user e password. Per questo tutte le banche utilizzano meccanismi di au­ten­ti­ca­zio­ne a doppio fattore (il messaggino col numero, o altra roba del genere) in modo da rendere la sola password insufficiente per attivare l'accesso.

La campagna di phishing, nel contesto di questa dis­cus­sio­ne, è invece un'attività compiuta dai sistemi informativi, che deliberatamente mandano false mail di phishing (quindi sono false mail false, il che sia chiaro che non le rende vere ma caso mai veramente false!), cercando di stanare i polli. 
Per poi dargli un'amichevole tirata d'orecchie, farli partecipare a una qualche attività di formazione (ce la immaginiamo come le riunioni degli alcolisti anonimi "io da dieci giorni non ci casco" e tutti che applaudono) e con questo evitare che i polli siano ancora polli con le vere mail false…

Ora chiaramente ci aspettiamo che qualcuno ci caschi, ma uno su sei è assolutamente troppo, ed è tantissimo se si pensa che sono quelli che erano già stati beccati e in teoria istruiti sul problema e sui rischi che ne derivano.

Dicevamo che la prima reazione è stata di pensare che il problema fossero gli utenti.
Ma teniamo presente che: sono sicuramente utenti con cultura nella media, anzi probabilmente superiore alla media, sono persone attive abituate a usare strumenti informatici, sono informate di quello che gli succede intorno. Inoltre, non ci sono tensioni o contenziosi con l'azienda o con i sistemi informativi che possono aver causato un comportamento deliberatamente poco collaborativo.

Quindi il dare la colpa ai soliti utenti potrebbe essere un po' superficiale e precipitoso. E comunque gli utenti sono come sono, non possiamo pretendere di averli come piac­cio­no a noi, siamo noi a dover capire come spiegare loro cosa ci serve e magari ottenere che ci aiutino.

Teniamo presente che il problema è serio: se sei persone su cento ci cascano, allora se un malintenzionato riuscisse a procurarsi ad esempio 100 indirizzi mail della nostra azienda, avrebbe la certezza di trovare almeno un pollo (quasi, la probabilità è del 99.8%).

Ma, tornando al problema originale, come mai così tanti ci sono cascati sia al primo giro che al secondo? E soprattutto, cosa si potrebbe fare per evitarlo?

Il problema evidentemente è nella formazione e nell'informazione, sia prima che dopo la campagna.

Prima di tutto forse dovremmo semplificare quello che chiediamo agli utenti, ed evitare di chiedere loro di giudicare se il messaggio è legittimo. Invece di spiegare che le mail potrebbero essere malevole, che in qualche caso seguendo un link in una mail si po­treb­be cadere vittime di una truffa e dare gli elementi per distinguere, forse do­vrem­mo dire che non si deve mai seguire un link in una mail. Mai. Senza distinzioni o pre­ci­sa­zio­ni. Il che, seppur un po' estremo, è probabilmente la cosa che dovremmo effettivamente fare tutti.
Già, perché anche i migliori ci cascano. Solo che tipicamente non lo vogliono ammettere.

Poi sarebbe ora che si rinunciasse a mandare link nei messaggi di posta, e nei casi dove la si vuole usare per validare ad esempio un indirizzo, ci si limitasse ad inviare un codice, come si fa già in molti casi per l'autenticazione a doppio fattore. Se nessun mittente legittimo inviasse messaggi contenenti link, quelli illegittimi salterebbero all'occhio perché li contengono!

Una terza cosa è la comunicazione in generale, i media. Ci siano casi, nemmeno pochi soprattutto dopo log4j (*), dove effettivamente gli hacker entrano nelle reti private sfruttando buchi nella rete di protezione. Ma sono più frequenti i casi dove il tutto inizia con un utente che abbocca a una mail di phishing. Forse dovremmo smettere di dire ad esempio "gli hacker sono entrati nella rete della regione xyz" o altre cose del genere, ma dire cose come "un utente pollo, della regione xyz, si è fatto fregare da un hacker", evidenziando il fatto che ad aprire la porta è stato un utente…

Ps: per una discussione più approfondita sul phishing, sulle tecniche usate per ingannare il destinatario e su possibili difese si può guardare Phishing.org. Non concordiamo con parte di quanto suggerito per difendersi, e nemmeno su alcune caratterizzazioni delle mail di phishing, ma nell'insieme è certamente istruttivo.

----------------------------------------------------------------------------------------

(*) Recentemente è stata esposta una anomalia in una libreria Java che ha reso facilmente attaccabili una grande quantità di siti e di apparati: Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability - Microsoft Security Blog