| Dicono che nel 2022 ci siano stati 5 incidenti con fatalità nell'aviazione commerciale mondiale (di cui uno in Nord America e nessuno in Europa). IATA - IATA Releases 2022 Airline Safety Performance Detto così come numero potrebbe sembrare alto. Sicuramente a memoria non avremmo detto che ve ne fossero stati così tanti. Il nostro errore qui è di definirli "tanti" senza tenere conto del numero di voli effettuati.
|
Chiaramente 5 incidenti su 10 voli significa una quasi certezza, mentre 5 su 32.200.000 voli fa già molto meno paura.
Ma ancora più significativo è il "fatality rate", che dicono essere 0.11. Questo significa che un passeggero che prendesse un volo al giorno dovrebbe provarci per più di 25.000 anni per essere certo di essere coinvolto in un incidente fatale.
Questa cosa mostra come lo stesso numero, la stessa probabilità, può sembrare molto differente a seconda del punto di vista. Dal punto di vista dell'insieme delle compagnie aeree, 5 incidenti sono comunque pochi ma siamo quasi certi che in un anno almeno un incidente capiterà, perché da quel punto di vista stiamo "osservando" 32 milioni di eventi (voli). Dal punto di vista del singolo, che osserva un singolo evento, o una manciata di eventi, la stessa probabilità diventa tanto improbabile da essere (quasi) l'impossibile. Tanto che prendiamo l'aereo senza preoccuparci più di tanto. Sappiamo che probabilmente è più rischioso andare in auto all'aeroporto. (*)
Una situazione analoga si presenta tutte le volte dove si ripete la stessa operazione tante volte. Anche un guaio che ha bassa probabilità di verificarsi, prima o poi si verifica se insisto a provare.
Ed è qui che volevamo arrivare.
Che probabilità c'è che ad un utente che aspetta un documento Docusign da firmare arrivi una mail di phishing che giusto si finge Docusign? Oppure che a un utente che aspetta conferma della attivazione di un account da qualche parte arrivi proprio in quei giorni una mail di phishing che parla di attivazione di un account?
Ovviamente bassissima. E quindi dal punto di vista dell'utente se me l'aspetto ed arriva allora sicuramente è legittima.
Ma dal punto di vista dell'IT di una azienda con 1000 o anche solo 100 utenti, ognuno dei quali riceve (esageriamo?) una mail di phishing al giorno, che probabilità c'è che nel giro di uno o due anni una di questa atterri nella mailbox giusta al momento giusto? Se ci riprovo 356.000 volte…
Aggiungiamo che l'autenticazione a più fattori sicuramente riduce il rischio, ma non lo annulla. E gli hacker hanno imparato, e oggi si aspettano la richiesta di MFA e sanno come gestirla.
Morale: ripetere il mantra "non fare click sui link nelle mail" è un punto di partenza, ma non è sufficiente. Come abbiamo già avuto modo di osservare ci sono casi dove l'utente deve poter seguire un link. Ad esempio Onedrive quando si condivide un documento manda al destinatario un link, e office spinge l'utente a non inviare documenti via mail, ma a condividerli. E Docusign è diventato di uso comune (insieme a diversi concorrenti) per cui sarebbe difficile vietarne l'utilizzo.
Sicuramente i meccanismi come Safe Links di Defender possono fare una grande differenza, ma anche questi non sono infallibili, soprattutto perché un sito di phishing appena fatto non appare in modo evidente come malevolo (e forse tecnicamente non lo è, non contiene malware). Tanto è vero che ci è capitato di osservare un caso di una mail di phishing dove Defender ha rilevato il problema qualche ora dopo che il fatidico click era stato fatto (e la password inserita, con tanto di MFA).
Un meccanismo relativamente nuovo, ma di non facile adozione, può essere il cosiddetto passwordless, in sostanza il sostituire la password con una chiavetta usb, il che è un po' come usare una smartcard per fare login. L'idea è poi di cambiare la password dell'utente in modo automatico mettendone una che l'utente non conosce e che quindi non potrà farsi rubare. Questa però non è una soluzione facile da implementare e nemmeno da gestire. Ad esempio non è evidente come si possa gestire il caso della chiavetta perduta o rubata. La soluzione banale (helpdesk) non funziona, almeno non del tutto, perché gli hacker hanno imparato a chiamare l'helpdesk fingendosi l'utente, e l'utente fingendosi l'helpdesk. Quindi l'helpdesk idealmente non dovrebbe poter abilitare il logon classico a un utente che ha perso la chiavetta se non lo vede in faccia. Ma non può vederlo in faccia in una conf-call perché gli hacker hanno imparato a fare dei deepfake che si fingono qualcuno in una call (Company worker in Hong Kong pays out £20m in deepfake video call scam | Hong Kong | The Guardian). Quindi deve presentarsi di persona. Per fortuna, i robot che sembrano gente gli hacker ancora non li sanno fare. Almeno così ci dicono…
----------------------------------------------------------------------------------------
(*) lo è, andare in auto è più pericoloso di prendere l'aereo. In Italia si ci sono più o meno 3000 morti in auto all'anno. Quindi una persona che usasse l'auto secondo il valore medio nazionale dopo un anno ha probabilità 1/15.000 di lasciarci le penne, molto più dell'1/3.000.000 di una persona che prende 10 voli all'anno (che ci pare una ragionevole ipotesi)