Recentemente una mail che sembrava inviata da uno studio legale risulta proporre l’installazione di un trojan. Poi leggo dell’ennesima frode via mail per carpire credenziali e numeri di carte di credito. Ogni giorno una nuova, ma in fondo sempre uguali. Ogni volta mando un avviso a qualche amico, e ogni tanto qualcuno mi risponde “in questa forse ci sarei cascato anch’io”. Eppure, il meccanismo è sempre lo stesso e le soluzioni sono sempre le stesse: non seguire i link nelle mail ma accedere direttamente ai siti tramite i canali abituali, non scaricare programmi indicati nelle mail, non aprire file direttamente ma salvarli e poi se è il caso aprirli, aggiornare l’antivirus e il computer. Magari sono soluzioni che non proteggono al 100%, ma abbastanza da ridurre il problema drasticamente.
Social engineering, chiaramente. Il problema è che anche l’utente che ci sta attento ha segnali contrastanti. Da una parte gli diciamo di non prestare attenzione alle mail che chiedono di autenticarsi, dall’altra la nostra banca ci manda pubblicità in messaggi in HTML con link ai siti. Certo, magari sono link che non richiedono l’autenticazione, ma la distinzione la capiamo noi che sappiamo di cosa parliamo!!! Su quella stessa pagina magari poi c’è un link che richiede subito l’autenticazione. Ci dobbiamo davvero aspettare che l’utente distingua:
- la mail solo testo senza link che la banca ci manda per informazioni critiche, che ci richiede di accedere al sito manualmente;
- la mail con qualche link al sito, che tanto è solo pubblicità, salvo poi proporci l’autenticazione in quella stessa pagina
- la mail fasulla con un link che ci porta ad un sito identico a quello della banca, e che guarda caso ci chiede l’autenticazione
Esempi come questo ne possiamo fare tantissimi, compreso il solito del ‘lucchetto vero – lucchetto fasullo – lucchetto solo su un frame’, ma il problema è sempre lo stesso: nel chiedere all’utente di distinguere casi così simili, gli diamo in realtà segnali contrastanti (non usare i link nelle mail, ma intanto ti mando le mail con i link; dai le credenziali nelle pagine col lucchetto, ma il lucchetto te lo nascondo ben bene), e quindi l’utente non si riesce a creare uno schema e una mentalità che lo difenda dalle truffe.
Ah, ma provate a dirlo al marketing, che non può mettere i link nelle mail…
