14 Set Il phishing, la frode che le aziende non possono permettersi di sottovalutare

L’aumento esponenziale delle tecnologie dell’informazione e della comunicazione è uno stimolo costante per il progresso sociale, economico e politico, ma i suoi risvolti, spesse volte, si riversano sul piano della criminalità attraverso operazioni volte ad aggredire patrimoni informativi ed economici.

Il «phishing» è una vera e propria frode online attuata da un utente malintenzionato attraverso l’invio di una e-mail alla vittima affinché acceda con la propria password a un sito apparentemente legittimo, tuttavia fasullo.[1]

Si parla di social engineering oppure di ingegneria sociale per fare riferimento agli apparentemente meno scientifici termini inganno e raggiro; erroneamente questi fenomeni sembrano non avere impatti sull’impresa che offre il servizio web legittimo, invece, la giurisprudenza ha creato precedenti diversi in tal senso, condannando il provider per misure di sicurezza non adeguate.[2]
Il numero di soggetti che cade nel tranello è aumentato negli ultimi tempi, lo spiega bene il Rapporto sulle violazioni dei dati (DBIR) 2021 di Verizon: il phishing è la principale “varietà d’azione” nelle violazioni nell’ultimo anno e il 43% dei data breach ha comportato tale modalità criminosa.[3]

Il caso DHL: tre diverse campagne di phishing

Recentemente, per appropriarsi indebitamente di credenziali di accesso e di dati sensibili degli utenti iscritti al servizio DHL sono state individuate tre campagne di phishing: italiana, tedesca e inglese; la prima attuata tramite un messaggio recante la mancata reperibilità dei dati del ricevente e quindi l’impossibilità di consegnare il pacco senza scambio di nuove credenziali, la seconda tramite il pagamento di una ulteriore tassa doganale senza la quale sarebbe stato impossibile consegnare il pacco e la terza attraverso un allegato da stampare con password annesse.[4]

Per ovviare al problema e con la consapevolezza che anche il servizio web lecito è responsabile per le misure di sicurezza inadeguate, DHL ha ideato una pagina dedicata alla consapevolezza delle frodi nel world wide web.[5]

Risolvere il problema dall’interno

Realizzare un programma strategico ed efficace con il supporto dell’esecutivo è possibile: la formazione di base può aiutare sia a evitare che le risorse aziendali possano essere ingannate dalle moderne tecniche di raggiro, sia a dirigere operazioni complesse volte a implementare misure tecniche e organizzative adeguate al fine di neutralizzare minacce di accesso, uso, modifica, perdita, distruzione di dati personali così come richiesto dalla normativa in materia di privacy all’articolo 32 del GDPR.[6]

Una delle tecniche più efficaci riguarda il c.d. fake phishing cioè l’invio, da parte degli specialisti del settore verso la popolazione aziendale, di e-mail identiche a quelle che il cracker, o pirata informatico, utilizzerebbe con finalità frodatorie che richiedono dati di accesso aziendali oppure sensibili sotto forma di pagine web autorizzate. Il risultato non è solo quello di aumentare la consapevolezza dei destinatari, bensì di individuare i soggetti con un maggiore bisogno di formazione sul tema.[7]

L’azienda ha il compito di predisporre un programma sufficientemente aperto e semplice che consenta di segnalare anomalie e problematiche; il fine ultimo rimane quello di responsabilizzare e proteggere il nucleo informativo ed evitare la dispersione di fondi e dati indispensabili per la prosecuzione dei servizi.

[1] C. Gallotti, Sicurezza delle informazioni, pp. 114 ss.

[2] v. Tribunale di Firenze, III sez. civile, sentenza del 20 maggio 2014

[3] Per ulteriori informazioni sulla disquisizione si consiglia la lettura del report 2021 Data Breach Investigations Report | Verizon

[4] Al fine di ottenere una visione più chiara v. Phishing: tre campagne colpiscono DHL, nel mirino anche l’Italia (cwi.it)

[5] La pagina web dedicata è disponibile sul sito Prevenzione delle frodi | DHL | Italia

[6] REG. (UE) 2016/679, art. 32

[7] Le informazioni sul phishing sono essenziali per poter condurre una campagna di fake phishing v. Come rilevare e rimuovere pagine Web di phishing (false) (sensorstechforum.com)