Nel film del 1973 La stangata, due truffatori (interpretati da Robert Redford e Paul Newman) raggirano un banchiere corrotto costruendo un mondo fittizio in uno scantinato di Chicago in piena grande depressione. Preparano una sala scommesse clandestina, ingaggiano degli attori per rendere credibile la scena e arruolano dei falsi poliziotti per fingere una retata contro il loro bersaglio. Il film, una delle migliori opere nel suo genere, descrive con meticolosità il lavoro dei truffatori.
L’equivalente online della Stangata è il phishing: un sito di realtà fittizia che esiste solo online e nasce per rubare informazioni preziose come i nomi utente e le password, i numeri di conti correnti e altri dati personali. Questi universi fasulli possono essere curati nei minimi dettagli, oppure messi su alla bell’e meglio come un set cinematografico di compensato.
Ecco un buon modo di pensare al phishing: un set creato intorno a noi per rubarci informazioni, messo in piedi da generici truffatori oppure (come nel caso dell’attacco intercettato e neutralizzato da Microsoft nell’agosto 2018) orchestrato da spie e agenti dei servizi di qualche governo.
La sicurezza informatica spesso si concentra sui malware, quei programmi che sfruttano le falle dei nostri computer per trasferirne il controllo a qualcun altro. Il malware è un software mediamente sofisticato che prende il controllo di un computer senza essere rilevato: una volta installato può copiare ogni tasto che battiamo sulla tastiera, osservare le pagine che apriamo, accendere il microfono o la telecamera e registrarci, oppure bloccare direttamente il computer chiedendoci un riscatto per sbloccarlo.
Ma programmare nuovi malware è difficile e richiede programmatori con molto talento. In più, è un’operazione costosa e spesso lascia delle tracce grazie alle quali si può risalire ai suoi autori. Il phishing, invece, non attacca i computer: attacca le persone che li usano.
In un’azienda, anche uno stagista può mettere online un sito di phishing in un paio di settimane. Se voleste creare una versione phishing di un articolo dell’Atlantic, potreste cominciare salvando tutta la pagina web dal vostro browser, in modo da acquisire foto, testo e codice della pagina che state leggendo.
Se poi quest’articolo contenesse un paywall, potreste simularlo su un server che controllate e dove magari avete registrato un nuovo dominio, qualcosa tipo http://tehatlantic.com. Se poi riusciste a convincere qualcuno a usare le sue credenziali di accesso a TheAtlantic.com su tehatlantic.com, allora entrereste automaticamente in possesso dei suoi dati.
Questo tipo di phishing è una truffa nata per rubare denaro su larga scala. “Dieci anni fa era usato per accedere a conti in banca, PayPal, eBay e qualsiasi altra cosa avesse un valore economico”, racconta Cormac Herley, ricercatore della Microsoft. “Ma penso che questo problema sia ormai scomparso, perché nel frattempo i filtri antispam e i browser sono migliorati e le banche sono diventate più abili a individuare le truffe”.
Fin qui però abbiamo parlato di roba non mirata. È quando si spinge qualcuno a cliccare su un link di phishing – per esempio su un’email – che l’attacco diventa mirato. L’operazione è nota anche come spear phishing e consiste nell’acquisire informazioni sulla vita e sulle abitudini di una persona per individuare quale tipo di email potrebbe indurla a cliccare senza pensarci. È una realtà fittizia tagliata sull’individuo, o su un piccolo gruppo di persone. Un set con attori ingaggiati per dar vita alla fregatura, il tutto a partire da un browser.
Siamo tutti potenziali vittime: dipende da come viene allestito il set
All’inizio del 2016, un’email di phishing che chiedeva un pagamento urgente nel quadro di una truffa nota come “fake president”, è arrivata sui server della Facc, un’azienda austriaca che produce componenti aeronautiche. Il “fake president” è un messaggio urgente di una persona autorevole che generalmente chiede di inviare denaro a un conto estero. Nel caso della Facc all’email ha fatto seguito un trasferimento di denaro i cui contorni non sono stati mai chiariti pubblicamente, ma sta di fatto che l’azienda ha perso più di quaranta milioni di euro e ha licenziato il suo amministratore delegato.
John Podesta, direttore della campagna elettorale di Hillary Clinton, ha subìto un attacco di spear phishing nel 2016, quando un’email lo ha avvisato che qualcuno stava cercando di accedere al suo account Gmail dall’Ucraina. Dopo aver cliccato sul link nell’email e aver inserito nome utente e password (invece di entrare da Google), qualcuno ha preso il controllo del suo account.
Le sue email, insieme a quelle del Comitato nazionale democratico trafugate allo stesso modo, sono state diffuse in rete, seminando scompiglio alla vigilia delle elezioni del 2016. Di recente, la Microsoft ha individuato e chiuso sei domini che riteneva legati alla direzione principale d’informazione delle forze armate russe, il Gru, che aveva preso di mira alcuni istituti di ricerca repubblicani e il senato degli Stati Uniti. Non è chiaro come fossero fatti e come funzionassero questi siti, ma la Microsoft ha detto che non hanno provocato danni. Ha detto anche, però, di non sapere quanti altri siti del genere siano ancora attivi, pronti a scattare grazie alla giusta email o telefonata truffa.
“L’unico phishing che rappresenta ancora oggi una minaccia è quello che va a caccia di credenziali d’accesso”, spiega Herley, che ha studiato l’economia delle truffe su internet e testato i sistemi di sicurezza per evitarle. “Lo spear phishing rimane uno strumento molto efficace per hackerare le reti aziendali, perché il suo volume d’attività è basso e quindi molto più difficile da rilevare”. Nei casi di spionaggio politico e industriale la prassi è studiare tutti, perché chiunque è una potenziale vittima: basta solo allestire il set giusto.
Phishing e malware non si escludono l’uno con l’altro. Aggiungere un malware al phishing può essere l’approccio più efficace, spesso nella forma di un’email ben scritta che contiene un documento importante e urgente in allegato. Solo che il documento è in realtà un malware, e quando clicchiamo sull’allegato è come se dicessimo al computer che vogliamo installarlo, rovinandoci con le nostre stesse mani. Questo approccio usa l’utente per arrivare al suo computer e viene usato contro giornalisti e attivisti in tutto il mondo. E probabilmente contro molte altre persone, anche se è dei giornalisti e degli attivisti che si sente parlare.
La cosa più inquietante, però, è che in tantissimi casi un finto sito costruito decentemente riesce a raggiungere l’obiettivo senza l’uso di malware costosi. Voi seguite un link, inserite nome utente e password e magari la pagina vi mostra un messaggio di errore con un link che reindirizza al sito reale. In fondo, si tratta di uno di quegli intoppi della rete che ci capitano spesso e di cui ci dimentichiamo subito dopo.
Qualcuno, verrebbe ragionevolmente da dire, dovrebbe risolvere questo problema, e quando diciamo qualcuno intendiamo le aziende tecnologiche. Il massimo che Google, la Microsoft o qualsiasi altra azienda tecnologica possono fare con la loro tecnologia è cercare di rilevare il malware e i siti di phishing e impedirgli di comunicare con il resto di internet. Per rimanere nella nostra metafora, questo significa sbarrare la porta d’accesso alla cantina dove si trova la bisca clandestina. In termini tecnici si chiama blackholing.
Ma dal momento che a creare un centinaio di queste cantine su internet è facile come crearne una sola, lasciare tutto il lavoro alle aziende tecnologiche non può funzionare. Il vero anello debole del phishing sono le vittime. Le aziende tecnologiche non potranno mai mettere in circolazione degli aggiornamenti che modifichino il comportamento degli utenti o facciano evitare le disattenzioni.
“Investiamo un sacco in aggiornamenti che migliorano la protezione delle reti, oppure in sistemi come AccountGuard e Defending Democracy, e incoraggiamo le autenticazioni a due fattori per gli account importanti”, dice Herley. “Ma è anche una questione di comportamento: ci piacerebbe mettere gli utenti in condizioni di totale sicurezza, ma non è sempre possibile”.
Sviluppare buone abitudini è più efficace della paranoia
AccountGuard e Defending Democracy sono due prodotti pensati dalla Microsoft per i clienti più vulnerabili, ma anche in questo caso buona parte dell’offerta consiste in raccomandazioni, buone pratiche, corsi online e notifiche: ovvero tentativi esterni di correggere i comportamenti sbagliati delle persone.
Gli esperti di sicurezza informatica, e molti dei consigli che si trovano in rete sull’argomento, sottolineano l’importanza di vigilare costantemente sui propri dati e prestare estrema attenzione a ogni minimo dettaglio. È un consiglio pessimo. Sono una professionista con anni d’esperienza nel settore e non mi prendo la briga d’ispezionare le mie email o di leggere con attenzione tutti gli indirizzi delle pagine web che visito: ho altre cose da fare. Inoltre, come strategia contro gli attacchi informatici questo approccio si è rivelato fallimentare anche solo nei confronti degli attacchi di phishing più amatoriali che abbiamo osservato negli ultimi dieci anni.
Lo spear phishing, sopratutto quello politico, è ancor più difficile da rilevare con la sola vigilanza. Anzi, le ossessive raccomandazioni sulla sicurezza informatica che si fanno oggi, così difficili da attuare per i singoli, in realtà hanno contribuito al disastro attuale. La verità è che sviluppare alcune buone abitudini basate sul reale funzionamento dei nostri computer è più facile ed efficace del farsi prendere dalla paranoia.
Attivate le autenticazioni a due fattori quando possibile su tutti i siti che si usano regolarmente. Dispositivi come i token, Yubikeys, Google Authenticator e i codici di verifica tramite sms servono a creare un livello di accesso ulteriore rispetto al nome utente e password che garantisce che, in caso di furto di credenziali, i malintenzionati non saranno comunque in grado di prendere il controllo dei vostri account. Ancora: aggiornate i software o, come suggerisce Herley, lasciate che sia il vostro computer a farlo per voi.
“Consiglierei di usare gli aggiornamenti automatici… Investiamo molto sulle patch e ne rilasciamo di nuove ogni volta che ci accorgiamo che qualcosa non funziona”.
Fate il backup. “Non dovrete preoccuparvi dei furti o di un disco danneggiato se sapete che potrete sempre riavere indietro la vostra roba”, spiega Herley. Usare password lunghe, complesse e uniche, ma anche facili da ricordare per voi. “Scrivetele o usate un programma di gestione password”, aggiunge Herley.
Non cercate di essere perfetti, cercate solo di diventare prede troppo costose
Io consiglierei decisamente un gestore password, ma non solo per questioni di sicurezza. Questi programmi, infatti, sono facili da usare e inseriscono le password sui siti visitati in passato, richiedendo quindi ancora meno sforzo. Molto probabilmente ce n’è uno integrato al browser o sistema operativo che state usando ora, ma se volete essere alla moda, potete usare un sistema di gestione delle password online che si sincronizza tra diversi dispositivi.
Non riusate le password già usate e cambiatele sui siti dove sapete che avete usato credenziali usate anche altrove. È un’operazione che richiede una o due ore di fastidio, ma che va fatta una volta sola. Non tanto perché sarete voi a rivelare direttamente la vostra password su internet, ma perché, prima o poi, uno dei siti che avete usato nella vita lo farà. Esiste anche un sito per scoprire quale delle vostre password sono già state rivelate su internet: si chiama Have I been pwned.
Non aprite i link che indirizzano a siti sui quali si ha già un account: i vostri segnalibri e la cronologia di navigazione basteranno a portarvi al giusto indirizzo. Se ricevete un’email dalla banca o, per esempio, dal datore di lavoro di un centro studi, non seguite i link dell’email ma entrate nel vostro account usando il browser. Dovrete farlo comunque, quindi tanto vale accedere direttamente dall’indirizzo che conoscete.
Un’abitudine che richiederebbe un po’ di tempo per adattarsi, ma che offre la migliore protezione dai malware, è non aprire gli allegati delle email sul vostro computer. Fate in modo che le persone mettano i documenti che vogliono indirizzarvi in un archivio digitale come Dropbox o Google Docs e aprite i documenti tramite il loro servizio remoto: in questo modo l’affidabilità di quei file sarà un problema di qualcun altro.
Non cercate di essere perfetti. Cercate solo di diventare prede troppo costose per gli autori di truffe online. Se dovranno lavorare troppo per raggiungervi, per loro non varrà più la pena perdere tempo con voi. Oggi, la maggior parte degli utenti di computer, dai consulenti politici agli amministratori delegati, dagli scienziati agli studiosi, non sono prede tanto difficili per il phishing.
Se prendiamo in considerazione tutti questi aspetti, le notizie sulle campagne di phishing assumono tutt’altro senso. La domanda non è più perché esistano gruppi legati alla Russia che attaccano la politica statunitense tramite il phishing, ma come mai anche gli altri governi non attacchino con il phishing le aziende e le agenzie statali degli Stati Uniti. Forse lo fanno e semplicemente non ce ne accorgiamo…
Qualunque sia la risposta, è necessario parlare del phishing almeno quanto è necessario aggiornare regolarmente i programmi. Perché gli esseri umani hanno progredito nel corso della storia sforzandosi di capire fenomeni complessi. Ed è in questo modo che renderemo le truffe agli esseri umani tanto costose e difficili quanto lo è hackerare un computer.
Traduzione di Federico Ferrone.
Questo articolo è uscito su The Atlantic. Leggi la versione originale.
© 2018. Tutti i diritti riservati. Distribuito da Tribune Content Agency.
Internazionale pubblica ogni settimana una pagina di lettere. Ci piacerebbe sapere cosa pensi di questo articolo. Scrivici a: posta@internazionale.it