Per la prima volta la scorsa settimana la PEC, Posta elettronica certificata, è stata coinvolta in un attacco informatico. La cosa ha fatto notizia, perché la PEC è sempre stata vista come garanzia di sicurezza. Questa caratteristica in realtà non viene messa in dubbio da quanto accaduto, perché il messaggio ricevuto via PEC non portava nessun malware in sé.

Si trattava solamente della richiesta di ricevere dati personali, con un messaggio simile a quanti da anni ne arrivano quotidianamente.

Secondo Maurizio Tondi, CTO Axitea, il fatto di arrivare via PEC può aver indotto più persone a cadere nel tranello, perché evidentemente la soglia di attenzione su questo canale, per così dire certificato, si è rivelata più bassa del solito.

In realtà, sostiene Tondi, questa operazione è solo la prova ulteriore di un trend che stiamo vedendo da tempo in tema di cybersecurity. Piuttosto che puntare su falle tecnologiche di sicurezza o sull’invio di codice maligno, i criminali vanno direttamente alla fonte, chiedendo al loro obiettivo le informazioni di cui necessitano, o di realizzare azioni specifiche, come ad esempio effettuare un pagamento non autorizzato.

Che questo tipo di attacchi possa rivelarsi davvero fruttuoso lo confermano differenti studi.

Una recente ricerca Proofpoint ha stimato in 5 miliardi di dollari il costo a carico delle organizzazioni di tutto il mondo causato da attacchi di tipo Business Email Compromise (BEC), ovvero messaggi privi di malware per ingannare i riceventi e spingerli a inviare informazioni confidenziali o addirittura denaro ai cybercriminali.

È la normale dinamica che da sempre caratterizza il mondo della sicurezza, con i criminali impegnati costantemente a cercare strumenti più efficaci, e i vendor e i service provider di sicurezza a trovare adeguate contromisure.

Il problema è che in questo caso la battaglia si gioca su un campo che non è più tecnologico. O meglio, non è più “solo” tecnologico.

I criminali puntano sulla superficialità e sulla scarsa attenzione che viene riservata dall’utente singolo a quella che ormai è un’operazione assolutamente di routine, ovvero la gestione della posta elettronica.

In questo caso, la stessa richiesta di credenziali via mail, anche via PEC, avrebbe dovuto sollevare il sospetto, cosa che in molti casi non è avvenuta, a vantaggio dei criminali.

Per Tondi esistono soluzioni tecnologiche in grado di aiutare, magari rendendo meno immediata la risposta a determinati tipi di messaggi, come pure l’invio all’esterno di informazioni definite confidenziali, ma queste operano tipicamente in ambito aziendale.

L’utente singolo deve difendersi col buon senso, prestando la giusta attenzione ai messaggi che arrivano e alle azioni che vengono richieste, senza dare per scontato che da fonti che si ritengono affidabili arrivino per forza comunicazioni autentiche.

In ambito aziendale, secondo Tondi, poi, deve crescere sempre più la consapevolezza che la sicurezza informatica dipende da tutti, e non solo dal personale dedicato. «Ogni catena è forte come il suo anello più debole, e mai come in questo caso è vero. Ogni singolo dipendente, ogni singolo utente dovrebbe essere formato a considerare la sicurezza un aspetto importante, per sé e per l’azienda che rappresenta, nella consapevolezza che ogni sua azione, anche la più abitudinaria, potrebbe avere conseguenze importanti. Mai come in questo caso vale la pena di dire che la sicurezza di un’organizzazione dipende dall’attenzione di ognuno di noi».