Leggo qui che ad un grosso ente pubblico USA sono stati sottratti 75 Gbyte di dati personali relativo a quasi quattro milioni di cittadini, compresi i soliti dati come numeri di carta di credito, numeri di conto corrente bancario eccetera. Come è stato effettuato l’attacco si legge qui: spear phishing. Lo spear phishing è un phishing mirato, che invece di inviare mail a indirizzi a caso, invia mail realizzate appositamente per colpire i dipendenti di una specifica organizzazione, cercando di convincerli a inserire le proprie credenziali in una pagina civetta o ad eseguire del codice che comprometterà il loro pc. Lo spear phishing è alla base degli attacchi di maggiore scalpore degli ultimi tempi, compreso quello a RSA dello scorso anno.
È una forma di social engineering, come tale si basa su comportamenti scorretti da parte degli utenti. Il che vole dire che si contrasta con un insieme di misure tecnologiche, di politiche ma soprattutto di sensibilizzazione specifica all’utenza. Esercitazioni di spear phishig possono mostrare come, se ben praticato, percentuali molto elevate del personale di un’organizzazione possono consegnare all’attaccante le proprie credenziali, mentre ad un attaccante spesso bastano quelle di un solo utente… Una volta avuto accesso alla rete aziendale con le credenziali di un utente, le possibilità di accesso a informazioni riservate o di praticare ulteriori attacchi per accedere alle credenziali di altri utenti sono generalmente ampissime. Trovo abbastanza curioso che ci sia sempre tanta attenzione al testing delle applicazioni web, e così poca al testing dei propri utenti. Eppure, un’attività di sensibilizzazione mirata può essere estremamente efficace, in modo misurabile.