Un episodio realmente accaduto nell’ufficio di Nimble conferma ancora una volta l’importanza della Formazione.
Quando si tratta di privacy, data breach e qualsiasi pericolo connesso alle attività informatiche, il rischio più comune è sempre quello di non prenderli debitamente sul serio. Quante volte, anche noi per primi, abbiamo pensato che tanto non sarebbe successo di certo a noi?
Ahimè, quando si parla di rischi informatici nessuno è escluso. E se è vero che non c’è peggior sordo di chi non vuol sentire, l’ironia della sorte ha deciso di colpire chi alla tutela della privacy e dei dati personali ci si dedica anima e corpo, ogni giorno: noi, quelli di Nimble! E, per ovvi motivi, anche il sottoscritto.
Nimble e il tentativo di phishing: che cosa è successo? [PRIVACY]
Tutto è iniziato il 22 dicembre 2021, a pochi giorni da Natale (e quando i fumi delle prime cene festive, lo ammetto, avevano già iniziato a farci sognare qualche giorno di meritato riposo). Nel bel mezzo di una giornata in ufficio, il collega che si occupa dell’Ufficio Comunicazione (e che quindi, a buon diritto, non è un esperto in tema di privacy quanto potrei esserlo, per esempio, io) mi ha scritto chiedendomi se l’email che aveva ricevuto potesse essere, in qualche modo, un tentativo di phishing.
Che cosa è successo? In pratica qualcuno (uno sconosciuto) è riuscito a rubare una mail di un cliente che poi ha utilizzato al fine di perpetrare il suo intento malevolo.
Come ci sia riuscito non si sa, ma si può supporre che il cliente avesse una password poco efficace e che, probabilmente (anche per questioni lavorative) abbia navigato su un sito poco sicuro (magari senza il protocollo https) oppure che abbia inserito la sua email in un qualche form non ben definito. In tal modo l’intruso è riuscito a recuperare l’indirizzo email, a scoprire la password di accesso e, di conseguenza, inserirsi nello scambio di email (sono abbastanza sicuro che non sia l’unica email inviata).
Nimble e il tentativo di phishing: analisi della e-mail incriminata
Partiamo dall’Oggetto. Si nota subito che l’oggetto della mail è una risposta a una mail precedente, ma (grazie a Google) viene subito segnalato il fatto che questa proviene da un soggetto esterno, anche grazie al triangolo nero.
Il mittente. In questo caso è risultato molto semplice vedere il VERO indirizzo del mittente, ma spesso questo è possibile visualizzarlo solamente posizionando il puntatore sul nome del mittente. L’email non è tra le più rassicuranti: in effetti, “Lockman” fa pensare a un qualcuno che possa bloccare il PC tramite un ransomware.
Altro segnale di allarme ce lo dà sempre Google, dicendoci che il nome del mittente è simile a quello di uno presente nella tua organizzazione (si tratta di un account aziendale) ma con un dominio di posta diverso (@pki.univwiraraja.com). Andando a vedere sul web si può facilmente capire che il dominio fa riferimento a un’università privata indonesiana. In ogni caso Google ci dice, giustamente, di non rispondere alla mail se non viene prima verificato l’indirizzo email.
Passiamo al contenuto della mail.
A prima vista può sembrare una normale richiesta di verifica di un problema nella modifica di un documento, ma leggendo più attentamente si notano una serie di cose:
La persona cui è stato “rubato” il nome inizia le e-mail con Ciao e il nome del destinatario, in questo caso non è presente, ma potrebbe non essere rilevante.
“Ogni volta che cerco di cambiare il documento, ricevo un risultato, il che mi dice che non ho accesso.”, a parte il fatto che la frase in sé non ha molto senso, ma i termini sottolineati sono usati in malo modo; il documento non si cambia, si modifica, cosa vuol dire ricevo un risultato?
Il link in cui andare a controllare il documento da “cambiare” fa riferimento a una fondazione no profit colombiana (ovviamente non bisogna aprire il link, ma fare una ricerca su Google per capire la sua provenienza).
Il fatto di avere un dominio e-mail indonesiano e un link colombiano dovrebbe definitivamente far capire che qualcosa non quadra.
Va bene, ho capito, ma ora?
La prima cosa da fare è verificare se il messaggio (anche se molto strano) è stato inviato dal collega e, in ogni caso, non aprire il link o rispondere alla mail. La conferma la si chiede a voce o tramite telefono o tramite la mail VERA!
Il secondo passo è avvertire tutte le persone presenti nella mail, perché una di loro potrebbe avere l’email lavorativa compromessa e, di conseguenza, cambiare tutte (tutte per davvero) le password dell’account email e le password salvate nell'account (in questo caso) Google.
In fine, l’accaduto è da iscrivere sul registro del data breach.
Anche se colpiti di rimpallo, noi abbiamo provveduto a cambiare le password con altre più sicure.
Si tratta a tutti gli effetti di un data breach, nel nostro caso senza conseguenze, ma che potenzialmente poteva averne di molto gravi.
In quanti articoli abbiamo parlato dell’importanza della formazione del personale? In Nimble abbiamo impegnato molto tempo nella formazione, soprattutto quello che per ovvie ragioni ha molti contatti esterni all’azienda, ed è solo grazie all’investimento in senso di tempo che questa situazione non è sfociata in qualcosa di più serio; basti pensare che nel caso fosse stato aperto il link, i dati presenti nel cloud aziendale sarebbero (potenzialmente) andati distrutti, con conseguenze nefaste per l’azienda e per i clienti. Nel caso di una Banca o di un’agenzia di assicurazioni o, peggio, di un ospedale quali conseguenze ci sarebbero state?
La prima difesa è sempre la formazione del personale. In questo caso specifico, infatti, è stato grazie alla formazione del personale che non ci sono state conseguenze negative, anzi l’intervento è stato molto rapido, perché ricevuta la mail, nel giro di pochi minuti il cliente è stato avvertito e tutto dovrebbe essere stato sistemato. In poche parole: noi non abbiamo subito un data breach, ma il cliente sì! Per questo motivo la formazione è molto importante, proprio per la tempestività nel riconoscere i problemi e per la velocità di risoluzione degli stessi.