Spesso, l’anello debole nella sicurezza di un sistema informatico non va ricercato nelle sue caratteristiche tecniche, ma nell’utilizzo imprudente della posta elettronica da parte di un utente. Esponendo i dati al rischio di compromissione della disponibilità, dell’integrità, e della riservatezza, il phishing, oltre che il maggiore vettore di infezione di un sistema informatico, rientra nelle principali cause di Data Breach, con conseguenze che facilmente comportano l’obbligo di notifica al Garante (ex Art. 33 GDPR).
Da alcuni anni, ad esempio, è esplosa la minaccia rappresentata dai ransomware, malware di vario genere che hanno in comune la caratteristica di criptare i dati di un’organizzazione (rendendo talvolta inaccessibili anche le copie di backup), e richiedere un riscatto economico per rimediare al danno. CryptoLocker, WannaCry, Hermes, Ryuk sono solo alcuni dei più noti malware di questa categoria.
Tra le ragioni della loro allarmante diffusione, vi è soprattutto l’efficacia del phishing: non a caso, anche queste truffe, che sfruttano vari espedienti per persuadere i destinatari di un’e-mail ad attivare link verso siti web terzi o aprire allegati pericolosi, sono divenute sempre più frequenti. Poiché una volta infettato il dispositivo di un singolo utente, il software malevolo potrà propagarsi autonomamente all’interno della sua rete.
Con l’aumento di queste minacce, perciò, se da una parte diventa sempre più importante per ogni organizzazione dotarsi di misure tecniche di sicurezza (come il regolare aggiornamento dell’antivirus e del sistema operativo, l’installazione delle patch, la corretta configurazione del firewall in entrata e in uscita), dall’altra parte occorre riconoscere che, senza una costante formazione di tutto il personale, reso consapevole e vigile nei confronti delle minacce informatiche, un’adeguata protezione della rete rimarrebbe irrealizzabile.
Pertanto, ecco un vademecum in 7 punti per aiutare a riconoscere il phishing ed evitare di abboccare.