di Barbara Bassi
La posta elettronica è la nostra connessione con il mondo: con quello che vogliamo raggiungere dandogli in mano il nostro biglietto da visita, con quello a cui inviamo il cv con tutti i nostri dati, con quello a cui lasciamo i nostri contatti perché abbiamo partecipato a un evento o abbiamo effettuato una qualche iscrizione…tutto il mondo ha il nostro indirizzo di posta elettronica. Ma quanto è rischioso questo per la sicurezza? Inutile dire “tanto”. Per questo motivo dobbiamo proteggerci in modo molto più consapevole di quanto siamo soliti fare, specialmente quando abbiamo a che fare con i dati del nostro lavoro.
I livelli di protezione della posta elettronica
“Quando si parla di protezione informatica inerente la posta elettronica, si fa in realtà riferimento a diversi livelli di protezione”: questa l’introduzione del CEO di Naquadria Alessandro Solari, durante il seminario tenuto al RICT di Confindustria Piacenza.
“Bisogna capire e differenziare i livelli di protezione da adottare per proteggersi dalle minacce della posta elettronica, che possono essere paragonati agli strati di una cipolla.” ha spiegato Solari, focalizzando l’attenzione su due livelli fondamentali: l’Internet Service Provider e l’utente.
Il primo rappresenta la protezione più bersagliata, poiché filtra le email indirizzate all’account di posta dell’utente, bloccando le minacce e segnalando i possibili tentativi di truffa: ma non è tutto così semplice come può sembrare.
Gli Internet Service Provider sono tutti uguali?
Ovviamente no, ma soprattutto i servizi che offrono non sono tutti uguali. “E’ facile scrivere antispam e antivirus e vendere tali prodotti a prezzi molto competitivi, senza però specificare la reale efficacia e tipologia di protezione” prosegue l’esperto informatico, proprietario di un Internet Service Provider e Datacenter a Piacenza.
Dopo anni di esperienza nel settore e l’acquisizione di clienti con esigenze di sicurezza sempre meno standardizzate, Naquadria ha trovato in Barracuda Email Security Gateway la soluzione che meglio risponde ai propri requisiti di qualità: questo sistema di sicurezza utilizza Barracuda Central per identificare le email provenienti da spammer conosciuti e Barracuda Spam Filter, che scansiona le email e i file in entrata utilizzando tre potenti livelli di tecnologia per la protezione dai virus, oltre a realizzare la decompressione degli archivi per assicurare una copertura completa.
Visivamente tutto questo si traduce in indicatori delle azioni compiute dal sistema: i tag delle email consegnate agli utenti (per avvisarli dei possibili rischi), la quarantena remota (report giornaliero delle email trattenute dal sistema) e il block (nel caso in cui lo score sia molto alto è possibile impostare il sistema per scartare la mail).
Naquadria infine utilizza sistemi di Advanced Threat Protection (ATP) e Advanced Threat Detection (ATD): le email dei clienti vengono inviate attraverso un sistema di CPL (Cloud Protection Layer) che tramite sandbox studia il loro “comportamento”.
Ma cosa può fare l’utente per proteggersi?
Innanzitutto l’utente deve fermarsi un momento per fare un semplice esercizio, diviso in due parti: Assessment ed Evaluation. In poche parole deve fare un accertamento dello stato attuale delle cose e vedere se la catena dei livelli di protezione è adeguata a proteggere il suo business (la famosa cipolla). L’utente deve chiedersi: che tecnologie vengono usate nei vari livelli?
Poi deve fare una valutazione (ovviamente supportato da esperti del settore, per esempio il team IT della propria azienda) delle tecnologie esistenti, di quelle acquistate e della loro differenziazione ed eventuale sovrapposizione: la ridondanza in questo caso è fondamentale, così come la diversificazione, ossia l’affidarsi a diversi vendor di software di protezione (i cosiddetti “antivirus”) perché se un file malevolo “passa” da una parte, può essere bloccato dall’altra.
Il ruolo dell’Internet Service Provider è quindi quello di fermare le minacce a priori, prima che possano arrivare nel perimetro dell’azienda… ma spetta all’utente l’ultima difesa (prima di sperare che esista un backup utilizzabile per ripristinare tutti i dati persi in un secondo).
Cosa può fare ancora l’utente per proteggersi? Investire in formazione. Leggere, chiedere, informarsi… e assistere a seminari come quello tenuto da Naquadria, perché no? (E se ti stai chiedendo quale sia il tuo fornitore di servizi internet, hai imboccato la strada giusta).
Tipologie di minacce via posta elettronica
Per imparare a conoscere i tipi di truffe e minacce informatiche della posta elettronica, cerchiamo di fare un po’ di ordine e di suddividere l’area in due macro categorie iniziali: da una parte ci si può trovare nel caso della ricezione di mail standard massive, dall’altro si potrebbero ricevere mail mirate, elaborate con attenzione, che veicolano infezioni da virus. Se le prime sono facili da riconoscere, fastidiose e a volte anche piuttosto comiche, le seconde possono nascondere insidie che sfuggono all’occhio del lavoratore impegnato in una difficile giornata di lavoro.
Come si diffondono le minacce della posta elettronica
Esistono innanzitutto virus che prelevano le credenziali dell’utente, entrano nel suo account e diffondono spam e virus a tutti i contatti che trovano. Se questo accadesse, è facile accorgersene: nella propria casella di posta elettronica comincerebbero a comparire le classiche notifiche di “Delivery failure”. La causa dell’intromissione di terze parti nei propri account di posta potrebbe avvenire anche utilizzando protocolli non sicuri su una connessione di accesso come quella dei grossi hotspot pubblici, come per esempio quelli degli aeroporti (ci avevi mai pensato?)
Come fare per prevenire che non ti rubino le credenziali?
Una cosa molto importante da fare è assicurarsi di utilizzare protocolli di comunicazione sicuri come pop3S e imapS. Ad esempio per il web questo visivamente si traduce con l’url che inizia con “https” = HyperText Transfer Protocol over Secure Socket Layer e, a seconda dei browser, anche con il simbolo del lucchetto chiuso e/o il colore verde. Attenzione: queste accortezze vanno utilizzate anche e soprattutto quando si utilizza la web mail e la app dello smartphone.
Ma non basta! Ultimamente si parla molto di attacco omografico, che simula addirittura un url con protocollo sicuro. Si tratta infatti di un sistema utilizzato per poter registrare un nome a dominio che usa caratteri ASCII non standard (un carattere ASCII non standard è, per esempio, un nostro qualsiasi carattere accentato come à o è). Dato che questa tipologia di caratteri non viene riconosciuta nella registrazione dei domini, viene tradotta visivamente con i caratteri standard a cui tutti siamo abituati. Per esempio il dominio apple.com, può essere in realtà la “traduzione visiva” di un dominio registrato con caratteri ASCII non standard. L’utente atterra quindi su una pagina che lo spingerà ad azioni per lui dannose (cliccare su un link, inserire dati personali ecc.) ma, nonostante i dubbi, potrà essere portato a proseguire nell’azione perché si trova su un dominio apparentemente sicuro.
Come comportarsi in questo caso? In un modo molto semplice, ma non del tutto scontato: passare il cursore sul link di dubbia destinazione per visionare il suo reale indirizzo e visualizzare i cookies della pagina: se compare una lunga stringa senza senso dove il nome dell’azienda (e quello che credevi essere il dominio) non è nemmeno più presente… allora è meglio fermarsi a riflettere un momento.
Purtroppo c’è sempre il caso peggiore: quello in cui non ci si accorge di nulla perché semplicemente gli hacker stanno monitorando l’utente, lo fanno anche per mesi fino al momento giusto in cui intervengono in una conversazione tra lui e un fornitore e tentano di dirottare i pagamenti (si pensi a quanto siano frequenti queste tipologie di conversazioni in un contesto di lavoro). In che modo? Utilizzando un indirizzo email (creato precedentemente) molto simile a quello del reale interlocutore, tanto che anche all’occhio più attento potrà sfuggire la distinzione.
Chiamare per nome le minacce della posta elettronica
Quando si parla di phishing, si intende quella truffa informatica effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito, una società di telefonia o di commercio elettronico, in cui si invita il destinatario a fornire dati riservati e utili a fornire denaro (es. numero di carta di credito, password di accesso al servizio di home banking ecc.)
Un malware (abbreviazione di malicious software) è, in generale, un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata.
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (in inglese ransom) da pagare per rimuovere la limitazione.
Un cryptolocker è una forma di ransomware: di fatto si tratta di un programma per cifrare i files, “impacchettato” in varie forme … il problema è che la chiave per la decrittografia venga rilasciata solo a pagamento. Alcuni esempi? Archivi compressi con dentro un file di estensione .exe; archivi compressi sotto forma di Javascript che si collega a internet per poi scaricare a pezzi il programma vero e proprio; link nel testo o pdf con collegamenti che portano a scaricare un codice che poi effettua il download ed esecuzione del “crypto”.
Cosa fare in questi casi di estorsione? Pagare o non pagare? Il consiglio di Naquadria è quello di non pagare MAI perché nessuno assicura che verrà davvero ricevuto il programma per decriptare i file (fermo restando che i truffatori nel mentre potrebbero essere stati arrestati!)
Quando gli attacchi hacker diventano famosi: Wannacry
Infine parliamo di Wannacry, l’attacco hacker segnalato per la prima volta a febbraio 2017 e diffusosi in tutto il mondo alla velocità della luce. Durante una normale giornata lavorativa di maggio, i computer di cittadini, università, aziende telefoniche e ospedali sono andati k.o. in un secondo. Perché Wannacry (e già dal nome si capisce che non si tratta di nulla di buono) è una forma di ransomware che entra in azione quando l’utente apre un file (generalmente un allegato mail) che contiene il virus: a quel punto tutti i file presenti sul computer vengono criptati e a tutti viene aggiunta l’estensione .wcry.
Il virus elimina le copie di sicurezza del sistema operativo presenti nelle partizioni nascoste, così da impedire il ripristino. A questo punto il computer mostra solo e unicamente il messaggio con la richiesta di riscatto in bitcoin. Qual è stata la principale, banale, causa di questa diffusione capillare? Un semplice aggiornamento mancato! Microsoft aveva di fatto rilasciato un aggiornamento per la vulnerabilità sulla condivisione file chiamato Server Message Block, rivolto a tutti i sistemi a partire da Windows Xp. Proprio questa vulnerabilità ha permesso la diffusione (contemporanea!) del virus all’interno delle reti aziendali dei pc non aggiornati.
Quanto è importante il ruolo dell’utente?
Risulta evidente che una buona formazione dell’utente e la creazione di una cultura informatica aziendale efficace siano cruciali per prevenire ed evitare futuri attacchi hacker. “Noi di Naquadria – sottolinea Solari – abbiamo stilato il decalogo delle buone abitudini, perché anche se coperto da vari strati di protezione, l’utente (e il suo buon senso) rimane sempre l’ultima ancora di salvezza per evitare anche grossi danni alla sua privacy, ai suoi risparmi e al suo business (ricordi la cipolla di prima?)”.
