MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Riconoscere e difendersi dagli attacchi phishing
I martedì della cybersecurity/ Il vademecum dell’esperto dedicato alle Pubbliche Amministrazioni

di LUISA DI GIACOMO*

Che le Pubbliche Amministrazioni siano il bersaglio preferito dei criminali informatici lo abbiamo già detto, con quasi 200 attacchi in poco più di due anni. Da un’analisi compiuta da AgID nel 2021 su circa 11mila data center tra Enti locali e centrali, è emerso che il 95% dei data center esaminati non era in linea con i requisiti di sicurezza minimi, dunque a rischio non solo di attacco dall’esterno, ma anche di crash del sistema internamente.
La scarsa preparazione degli utenti, poi, completa il quadro, a cui si sta cercando di porre rimedio con la Strategia per la Cybersicurezza Nazionale, il piano che, tra il 2022 e il 2026, dovrebbe implementare i sistemi e fissare gli interventi a breve e medio termine per le PA.
Ben vengano, dunque, fondi per acquistare nuovi sistemi, ma ad oggi la miglior misura per difendere il proprio Ente da un attacco informatico, con tutti i danni che ne derivano in termini di responsabilità e sanzioni, restano la formazione e la prevenzione.

Il phishing

La tecnica del phishing rappresenta uno dei modi più Comuni con cui i criminali informatici si impossessano del computer delle Pubbliche Amministrazioni, per piazzarvi un ransomware, carpire credenziali di accesso o perpetrare un furto di dati. Circa il 75% delle organizzazioni ha segnalato un attacco di phishing nel 2021 ed il costo medio di ognuna di esse (in termini di danno emergente, tempo e denaro spesi per ripristinare i sistemi, danno di immagine, sanzioni del Garante della Privacy) è di quasi 4 milioni di euro per ciascuna violazione. Anche il “famoso” attacco alla Regione Lazio dell’estate scorsa è avvenuto tramite phishing.
Conoscere questa tecnica e avere qualche accortezza nel proteggersi è quindi essenziale per il buon funzionamento dell’Ente.
Come dice la parola stessa, il phishing non è altro che una pesca a strascico: una serie di email pericolose, contenenti allegati malevoli o link infetti vengono immesse nella rete, inviate al maggior numero di utenti possibile, in attesa che qualcuno, appunto, abbocchi all’amo. Lo scopo può essere diversificato: una email di phishing può voler farci cliccare su un link, carpire con l’inganno le nostre credenziali al conto corrente, farci scaricare un malware, farci cedere una password. Ma l’obiettivo finale è sempre uno: i nostri dati personali, il petrolio della rete.
Vediamo dunque qualche piccola accortezza per imparare a riconoscere e difenderci dalle campagne di phishing rivolte al nostro Ente.

  1. Occhio al mittente

La prima e banale difesa da una email sospetta è verificare da dove arrivi. Qualsiasi email proveniente da agenziadelleentrate@gmail.com o inps@libero.it è evidentemente una truffa e deve essere cestinata senza esitazione, ma se non andiamo a cliccare sul mittente, potremmo vedere soltanto il nome “Agenzia delle Entrate” oppure “INPS” ed essere indotti, nella fretta del lavoro quotidiano, ad aprirla. Di solito aprire soltanto una email non provoca ancora danno, perché è poi necessario scaricare o cliccare qualcosa al suo interno perché si verifichi materialmente il danno, ma in ogni caso, meglio non rischiare. Alcune volte i mittenti delle email pericolose, che si nascondono quasi sempre dietro siti istituzionali, sono quasi identici a quelli delle email vere: una banca che si chiama, ad esempio “Istituto Bancario” e non semplicemente “Banca”, oppure due vocali invertite nel nome, che spesso non vengono percepite dall’occhio umano. Una delle leve su cui il phishing spinge è la fretta, l’urgenza con cui quotidianamente lavoriamo, ed il gran numero di email scambiate nel mondo: circa 227 miliardi ogni giorno, il veicolo perfetto per trasmettere virus e altre amenità assortite.

  1. Occhio al contenuto

Se il mittente della nostra email passa il vaglio, un ulteriore occhio di riguardo deve essere prestato al contenuto. Email sgrammaticate, con marchiani errori di ortografia e sintassi, ma anche semplicemente scritte con uno stile bizantino e poco consono all’asettico linguaggio da ufficio a cui siamo abituati, rappresentano un segnale di allarme. Dal momento che tutte (o quasi) le nostre attività sono tracciate online, è facile che succeda, ad esempio, che pochi minuti dopo aver effettuato un acquisto online, ci arrivi una email che ci informa sulla nostra spedizione, invitandoci a monitorarla cliccando su un certo link. Facciamo molta attenzione: seguiamo solo le istruzioni ufficiali del corriere del sito su cui abbiamo effettuato l’acquisto, diffidando di tutte le altre “esche”.

  1. Occhio agli allegati

Allegati con estensioni strane o excel con macro da attivare sono senza eccezioni segnali elevatissimi di allarme. Anche quando si chiamano “Fattura”, soprattutto se dopo fatture c’è l’estensione .exe che scatenerebbe immediatamente “l’inferno”, peggio di quello ordinato dal Gladiatore, sul nostro pc e sul sistema operativo di tutto il nostro Ente. Per dirne una, ormai le fatture alla PA vengono emesse solo elettronicamente, quindi è semplice collegarsi alla propria area e scaricare la fattura dallo SDI: se quella era la copia di cortesia di una fattura presente sul sistema, saremo grati a chi ce l’ha mandata. Nel molto più probabile caso contrario, cestiniamo senza se e senza ma.

  1. Che cosa ci chiedono?

Una sola regola aurea vige in rete, tra persone per bene: nessuno, per nessuna ragione al mondo, ci chiederà mai le nostre password e i nostri codici di accesso. Quindi questo vuol dire che se ci arriva una email allarmista che ci informa che il nostro conto corrente o, in alternativa, il sistema operativo che emette le carte di identità digitali è compromesso e dobbiamo fornire la nostra la password, per verificare che sia ancora sicura, non crediamoci, si tratta di un tentativo di phishing. Nel dubbio, prima di precipitarci a fare quello che ci chiedono, alziamo il telefono e verifichiamo con la banca, con l’ufficio che gestisce il sistema, con il mittente da cui “apparentemente” quella email proviene. Attendere qualche minuto di sicuro non indebolirà ulteriormente le nostre difese, anzi potrebbe letteralmente salvarle.

  1. Non crediamo all’urgenza

Pagamenti da effettuare “immediatamente”, azioni da compiere subito, qualsiasi cosa ci venga richiesta con urgenza dovrebbe farci alzare la soglia dell’attenzione. In particolare, se una sedicente Agenzia delle Entrate ci chiede soldi per fermare un’ingiunzione di pagamento, un fermo amministrativo sull’auto, un pignoramento sullo stipendio, prima di precipitarci a pagare non si sa cosa a non si sa chi, riflettiamo. In questo caso la burocrazia ci viene in aiuto, perché nel nostro Paese quasi niente è mai veloce, ed anche quando deve prendere denaro, lo Stato ci concede la possibilità di verificare ed eventualmente opporci. Se vi vengono chiesti dei pagamenti ufficiali, dunque, avremo sempre la possibilità di verificare a quale titolo sono dovuti, se per caso non abbiamo già effettuato il pagamento ed eventualmente che cosa possiamo fare per contestarlo: qualsiasi azione ci venga richiesta di fare con urgenza, puzza di fregatura.

  1. Nessuno regala niente

Infine, questa sembra una banalità, ma purtroppo non lo è, così come i criminali sfruttano la fretta, il fatto che siamo sempre di corsa, che spesso le email vengano consultate da mobile, quindi in movimento, quindi mentre stiamo facendo altro, un’altra chiave di entrata potrebbe essere un momento di debolezza psicologica. A tutti noi piacerebbe vincere oggetti di valore o somme di denaro, essere, almeno per una volta baciati dalla dea bendata, ma purtroppo sono veramente scarse, per non dire zero, le probabilità che ciò accada. Diffidiamo di qualsiasi comunicazione che ci annuncia, a squillanti lettere, che abbiamo appena vinto la vacanza della nostra vita, basta un semplice click sul link qui sotto: molto probabilmente quel click ci porterebbe a una vacanza, ma solo perché manderebbe in tilt per giorni, o settimane, il sistema operativo del nostro Ente.

Riconoscere e difendersi dagli attacchi phishingL’AUTORE

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

www.lagazzettadeglientilocali.it