Il panorama della cybersicurezza per la Pubblica Amministrazione italiana sta attraversando un momento di particolare criticità, con attacchi che diventano sempre più sofisticati grazie all’uso di tecnologie avanzate. Le istituzioni pubbliche rappresentano un bersaglio privilegiato non solo per la mole di dati sensibili gestiti, ma anche per la capillarità della loro presenza sul territorio, che offre ai criminali informatici molteplici punti di ingresso. Recentemente, il CERT-AgID ha acceso i riflettori su due minacce distinte ma ugualmente pericolose che stanno mettendo alla prova la resilienza dei nostri uffici pubblici, dimostrando come le tecniche di social engineering stiano evolvendo verso forme di automazione senza precedenti.
Partiamo dalla prima, che è stata segnalata in data 8 aprile e che riguarda lo sfruttamento del cosiddetto Device Code Flow di Microsoft, un protocollo pensato per facilitare l’accesso su dispositivi privi di tastiera, come tablet e smart TV, e che per questa offensiva viene manipolato per scopi illeciti. L’attacco descritto da CERT-AgID viene sferrato inviando una comunicazione agli utenti con l’invito ad inserire un codice su una pagina di Microsoft, che purtroppo trae giustamente in inganno in quanto si tratta di una pagina reale che non viene infatti bloccata da nessun sistema di protezione. Una volta eseguita l’operazione, tuttavia, l’attaccante riesce a ottenere un token di accesso che gli permette di prendere il controllo dell’account senza mai conoscere la password della vittima. Ciò che preoccupa maggiormente gli esperti è l’integrazione di intelligenza artificiale e automazione in questo processo, che permette di generare campagne di massa estremamente personalizzate e difficili da individuare dai comuni filtri di sicurezza, amplificando l’impatto potenziale su tutta la rete della PA.
Nel caso in esame, essendo l’hacker a mandare la richiesta di accesso è chiaro che una volta fornito a quest’ultimo il codice d’accesso egli lo userà per scopi malevoli, grazie anche al “via libera” dato dall’utente che cade in trappola autorizzando l’accesso pensando di effettuare una richiesta legittima. La campagna rilevata, di per sé, non è una novità, perché si basa su una mail nella quale ci si spaccia per qualcun altro e si chiede uno scambio di documenti e si usa questa scusa per far fare clic su un URL inserito appositamente nel corpo del messaggio o in allegati PDF o HTML. Questa offensiva, spiega CERT-AgID, è stata rilevata in tantissimi paesi oltre all’Italia, ma nel nostro paese sembra aver messo nel mirino proprio le PA, che rischiano quindi una compromissione pericolosissima dei propri sistemi e dei propri account Microsoft.
Parallelamente, passando alla seconda delle minacce descritte in questo breve approfondimento, continuano a persistere campagne più classiche ma estremamente mirate, come quella che vede l’Agenzia delle Entrate come esca per colpire i dipendenti pubblici. In questo caso, i criminali utilizzano messaggi email che riproducono fedelmente l’identità visiva dell’istituzione, sollecitando la consultazione di documenti relativi a presunte irregolarità fiscali o notifiche urgenti. Ovviamente, facendo qualche controllo più attento (ma neanche troppo) si nota subito che collegandosi al link presente nei messaggi si atterra su una maschera di login con la sola richiesta di inserimento di una password e con i loghi ufficiali, ma il dominio è totalmente diverso, come si può notare anche dall’immagine inserita da CERT-AgID nel suo approfondimento (v. link presenti alle fonti). L’obiettivo è spingere il destinatario a cliccare su link malevoli o a scaricare file compromessi capaci di installare malware all’interno dei sistemi informatici dell’ente. La combinazione di un mittente autorevole e del senso di urgenza tipico di queste comunicazioni si conferma purtroppo una strategia ancora molto efficace per bypassare la diffidenza degli operatori.
Per fronteggiare queste minacce è fondamentale che la difesa non sia solo tecnologica ma anche culturale. La formazione continua del personale rimane il pilastro principale, poiché la consapevolezza dei rischi legati alla condivisione di codici di accesso e alla verifica delle fonti può interrompere la catena dell’attacco sul nascere. È essenziale adottare politiche di accesso condizionale e monitorare costantemente le sessioni attive, prestando particolare attenzione a eventuali anomalie nei login. Infine, l’adozione di un approccio di zero trust e la verifica meticolosa di ogni richiesta di autenticazione non standard possono fare la differenza tra una tentata intrusione e una violazione dei dati dalle conseguenze imprevedibili per l’intera collettività, trattandosi di Pubbliche Amministrazioni.
