Come ingannare un impiegato

La società di sicurezza britannica Sophos produce un software che serve alle aziende per capire se i loro dipendenti sono abili abbastanza per evitare le trappole e le email ingannevoli degli hacker. La pratica di inviare una email ingannevole si chiama “phishing” ed è molto comune: la vittima riceve una email apparentemente innocua – spesso somiglia alle email della propria banca o della propria azienda – in cui è spinta a cliccare su un link di testo o su un’immagine. Il link conduce a una pagina in cui la vittima è convinta a inserire i propri dati sensibili, oppure fa scaricare direttamente un malware, cioè un programma informatico che provoca danni al computer o ruba dati importanti.

Da tempo le aziende, specie quelle più grandi, cercano di prevenire il phishing e chiedono a esperti di sicurezza di inviare senza preavviso email ingannevoli ai loro dipendenti (ovviamente senza malware) per capire come si comportano e valutare se siano pronti a riconoscere quelle pericolose. Come in un’esercitazione antincendio, si simula un attacco hacker per capire se l’azienda è pronta a reagire.

Sophos sviluppa uno dei tanti software che inviano finte email di phishing ai dipendenti delle aziende, e qualche giorno fa sul suo blog Naked Security ha elencato i dieci tipi di email che nel 2020 hanno tratto più spesso le vittime in inganno. L’elenco è interessante perché siamo abituati a pensare che le email di phishing siano esuberanti e sgrammaticate: annunci di pillole miracolose e di incontri romantici. In realtà, il phishing fatto bene spesso è difficile da riconoscere.

Il nuovo codice di condotta. Una email dell’ufficio delle risorse umane invita tutti i dipendenti a cliccare su un link per leggere il nuovo codice di condotta dell’azienda, appena aggiornato. Di solito l’ufficio del personale è molto insistente su questi temi, e i dipendenti sono portati a cliccare senza leggere con attenzione.

Siamo in ritardo con la dichiarazione dei redditi. In questa email si dice ai dipendenti che la documentazione fiscale per fare la dichiarazione dei redditi potrebbe non arrivare in tempo, e si invita a cliccare su un link per sapere quando arriverà.

Bisogna fare la manutenzione dei server. Una email del supporto informatico spiega che nei prossimi giorni ci sarà una manutenzione straordinaria dei server: per evitare problemi, bisogna cliccare su un link e vedere il calendario completo con tutti gli interventi di riparazione. Ora che si lavora spesso da remoto, cliccano tutti.

Hai una nuova cosa da fare. Molte aziende usano sistemi automatici per attribuire i compiti tra i dipendenti. Gli hacker scoprono quale sistema usa ciascuna azienda e simula una email che dice qualcosa del tipo: il tuo capo ti ha dato un nuovo incarico, clicca qui per capire quale.

Abbiamo cambiato il sistema delle email. I tecnici informatici scrivono ai dipendenti per dire che stanno cambiando il sistema delle email. Potreste cliccare qui per dirci se funziona tutto?

Abbiamo aggiornato il calendario delle vacanze. Se l’azienda ti cambia i giorni di ferie e ti dice di cliccare su un link per sapere cosa succede, tu clicchi.

Hai lasciato i fanali della macchina accesi. L’amministratore del palazzo in cui si trova l’ufficio scrive a tutti i dipendenti perché nel parcheggio c’è un’automobile con i fari accesi. Allega fotografia dell’automobile. Clicca sul link per vederla.

Non siamo riusciti a consegnare il tuo pacco. Clicca qui per riprogrammare la consegna. Spesso queste email sono personalizzate per assomigliare a quelle dei corrieri.

Hai un nuovo messaggio su LinkedIn. Questo è un classico, funziona sempre con tutti i social network.

Sul suo blog, Sophos dà alcuni consigli sempre validi per evitare di farsi trarre in inganno, che sono ottimi anche se non si lavora in un’azienda. Anzitutto, non bisogna mai cliccare sovrappensiero, perché i criminali informatici contano sulla disattenzione delle loro vittime. Poi bisogna stare attenti alle sbavature: molte email di phishing sono quasi indistinguibili dalle email originali che vorrebbero imitare, ma ci sono sempre dei dettagli (l’indirizzo del mittente, le scritte in piccolo in fondo alla email, alcuni errori ortografici) che svelano l’inganno. Infine, non aver paura di controllare. Se l’ufficio del personale invia una email strana, meglio chiederne conto direttamente all’ufficio del personale.