Phishing: la GDPR come strumento di adescamento

Oggigiorno il phishing è la più grande minaccia di sicurezza informatica. I criminali informatici sono alla continua ricerca di nuove tattiche di adescamento per raggiungere i loro illeciti scopi.

I criminali informatici, noti anche come “cyber criminals”, fanno leva sulla paura, l’incertezza e la disinformazione per portare a compimento i loro malevoli intenti.
La pandemia da COVID-19 è esattamente quell’evento dotato di tutte le caratteristiche necessarie per dar seguito ai suddetti fini. Ma la pandemia in atto è solo una delle tante situazioni che hanno lasciato “carta bianca” ai criminali informatici.
Spesso, infatti, bastano situazioni molto meno devastanti per consentire loro di avere quello “spiraglio” sufficiente per “intrufolarsi” nelle nostre vite.

Ma chi sono i cyber criminals?
Sono persone come tutti noi, ma con uno spiccato e innato ingegno che permette loro di trasformare situazioni di routine in vere e proprie miniere d’oro (per loro, ovviamente!).

E quale scopo avrebbe la GDPR in questo mondo digitale?
Ebbene, quello che rappresenta uno strumento di protezione dai criminali informatici, allo stesso tempo, funge da aggancio per adescare le vittime (in particolare proprietari di aziende e dipendenti).
La natura complessa dei requisiti GDPR, le regolamentazioni e le linee guida da seguire divengono fattore di stress per chi è tenuto ad adeguarsi alla normativa.
Tuttavia, è proprio questo complesso iter che fornisce ai criminali informatici maggiori opportunità per attirare le vittime nella loro trappola digitale.

Questo è ciò che si sta verificando ai giorni nostri: criminali informatici, travestiti da società di consulenza informatica (specializzate in GDPR), informano le aziende sulla labilità dei loro sistemi di sicurezza per la corrispondenza elettronica, sottolineando che non riflettono gli standard attuali sulla GDPR.

Passiamo a comprendere la natura della minaccia.

Le società di consulenza informatica, come dicevo poc’anzi, spesso e volentieri, non sono altro che “criminali travestiti”. Attraverso la loro interazione con i capi di società reali, non fanno altro che aprirsi le porte per disastri informatici.
È sufficiente una sola e-mail aperta dal malcapitato destinatario, per garantire ai cyber criminals di entrare in possesso di account personali e avere accesso a tutta una serie di informazioni sensibili e privilegi.

Vi riporto un recentissimo caso: il 31 agosto di quest’anno l’Area 1 Security ha captato, per la prima volta, una comune e-mail di phishing informatico che, sfruttando le idee errate concernenti le stringenti leggi sulla protezione dei dati, creava un senso di urgenza e paura nei destinatari, invitandoli ad adattarsi alla normativa in tempi strettissimi.
Per i criminali informatici è un gioco da ragazzi – le regolamentazioni GDPR sono notoriamente restrittive e intrise di burocrazia, al punto che non risulta affatto complicato convincere la vittima.

Chi vorrebbe grattacapi a causa di una mancata conformità alla normativa?
Ecco che i cyber criminals assumono le vesti di eccellenti consulenti informatici portando il destinatario ad una “naturale” accettazione dell’offerta fasulla di “aiuto” che risolverebbe il “problema” della compagnia.

È da questo punto in poi che i criminali informatici balzano sul malcapitato. Utilizzano dei messaggi convincenti che includono un collegamento malevolo, indirizzando le vittime a compilare un modulo in formato HTML o fornire informazioni che consentirebbero allo “specialista” di effettuare i cambiamenti necessari. Sfortunatamente, questi dati includono anche le credenziali per l’account di posta elettronica.

Prendere atto dei tratti comuni del phishing

I segnali sono evidenti e semplici da individuare.
Basti pensare che, in alcuni casi di frode, si arriva alla falsificazione delle e-mail aziendali, grazie alle quali i cyber criminals assumono le vesti di tecnici IT interni che effettuano regolari routine di manutenzione.

In determinati casi la realizzazione della truffa viene semplificata al massimo.

Vi mostro una situazione di phishing tipo:

Capi e responsabili di aziende (parliamo dei vertici, in altre parole!), ricevono una mail con “l’invito” a collegarsi ad una determinata pagina.
Quest’ultima, molto stranamente, risulta già completa di tutta una serie di informazioni personali, al punto tale che i malcapitati non devono fare altro che inserire gli ultimi dettagli per completare la richiesta e regolarizzarsi con la normativa GDPR.

Ma gli intoppi sono sempre dietro l’angolo! Spesso, infatti, basta poco per richiamare l’attenzione dei “più attenti” dello staff aziendale:

• Piccoli errori di ortografia, di punteggiatura e grammatica;
• Palette dei colori e caratteri errati;
• Immagini di firme e/o testate un po’ sfocate;
• Uso inappropriato del gergo aziendale;
• Identificazione errata dei dipartimenti o lavoratori della compagnia;
• Indirizzo del mittente appartenente ad un fornitore di servizi e-mail gratuito (ad es. “Gmail”);
• E-mail e pagine di destinazione che utilizzano formati non familiari all’azienda.

L’individuazione di una soltanto di queste falle, a volte, può salvare la compagnia da un dispendioso e caotico disastro!