Continua il periodo non facile per quel che riguarda la sicurezza online, come vediamo spesso nei vari report pubblicati dalle aziende e dai portali specializzati, che suddividono spesso i pericoli e i numeri riguardanti le offensive anche per settori economici. Tra essi figura sicuramente ed obbligatoriamente anche la Pubblica Amministrazione, attorno alla quale si sta cercando di innalzare il perimetro della sicurezza anche in base al numero crescente di minacce, in particolar modo dall’inizio dell’invasione dell’Ucraina da parte della Russia, evento iniziato nel 2022 e che ha inserito anche l’Italia tra i paesi più a rischio.
Per evitare problematiche è necessario, come spesso ripetiamo, dotarsi degli strumenti più adeguati così come formare costantemente il proprio personale, in special modo per le PA, che come sappiamo non brillano in quanto a dipendenti fortemente specializzati in materia IT. Tra le tante cose da fare per evitare problemi c’è anche un sistema, ovvero simularli e capire se si hanno le capacità per combatterli. Nello specifico, molto spesso si simulano campagne di mail malevole per mettere alla prova i propri collaboratori, soprattutto la loro capacità di capire se vengono riconosciute le potenziali minacce. Questa attività viene anche svolta, appunto, da alcune PA, alle quali il CERT-AgID ha dato qualche consiglio per una migliore azione di simulazione, anche perché se sono coinvolti gli enti pubblici c’è il rischio che le finte email malevole vengano malinterpretate e inoltrate ai team di sicurezza per sbaglio, se ovviamente non viene gestita la cosa con trasparenza. Senza comunicazione, i CERT potrebbero quindi segnare come malevole alcune campagne finte, finendo per censirle erroneamente come phishing vero e proprio.
A tale proposito, proprio il CERT-AgID ha diramato una lista di consigli, non regole, per poter effettuare più tranquillamente queste operazioni, evitando errori di valutazione e, quindi, perdite di tempo o falsi allarmi. Il primo consiglio è quello che riguarda il codice HTML col quale vengono costruiti i finti messaggi malevoli, nei quali si chiede la cortesia di lasciare qualche tracciatore, come un commento, di modo che una volta iniziata l’ispezione dei messaggi si noti che si tratta solo di una prova. Sempre nell’ottica di risparmiare tempo, il tecnico si rende conto, grazie al commento nel codice HTML, di non dover procedere con la classificazione della eventuale minaccia, passando più rapidamente all’analisi di altre mail potenzialmente malevole. Un secondo consiglio è lasciare pubblico il WHOIS del dominio mediante il quale si fa la prova, un’attività molto semplice ma anche molto d’aiuto. Questo perché una volta passati all’analisi del dominio di posta “incriminato” si potrà vedere che è intestato a un ente e non sarà privato, nascosto o in generale poco trasparente.
La terza richiesta di CERT-AgID riguarda, banalmente, l’avviso preventivo dei CERT, ovvero una comunicazione istituzionale inoltrata per dire di fare attenzione inserendo ovviamente qualche dato formale in più. Nello specifico, nella mail da inoltrare al CERT sarebbe più indicato inserire i domini che verranno utilizzati, così come gli IP di invio delle finte mail di phishing, i giorni nei quali si intende procedere col test e ovviamente l’eventuale obiettivo della campagna, anche senza grossa dovizia di particolari. Un accorgimento forse un pochino più tecnico è invece il quarto tra quelli forniti, ovvero l’apposizione del file security.txt sul dominio per dare la possibilità di effettuare la verifica dell’esistenza del contatto per la conferma. Un’ultima accortezza, che però potrebbe essere determinante anche a livello formativo per l’utente finale, è quella di segnalare che si tratta di una esercitazione anche a chi inavvertitamente esegue le operazioni delle finte email di phishing. Questo potrebbe essere fatto magari tramite un messaggio che appare nella schermata dopo aver inserito le credenziali richieste, che dovrà specificare che si tratta di una finta campagna, aiutando anche il dipendente o la dipendente a capire dove si è sbagliato, aumentandone la consapevolezza. L’avviso può essere inoltrato ovviamente anche dopo, a campagna ultimata, inviando una mail a coloro che ne sarebbero rimasti vittima se fosse stata reale, ma come procedere dipende chiaramente da chi organizza la simulazione.
Fonte: 1
