Spam e Phishing non sono la stessa cosa!

Nel 2015 l’entità degli attacchi condotti attraverso mail malevole è stata costante durante tutti i mesi dell’anno mentre in questo primo semestre del 2016 abbiamo assistito ad una fortissima ed improvvisa impennata. I rilevamenti di spam e phishing effettuati solamente da Kaspersky Lab nello scorso anno evidenziano una quota mensile costante di circa 5M di minacce rilevate, valore poi esploso improvvisamente a 23M da Dicembre a questa parte.

La posta elettronica può essere utilizzata come veicolo per portarci a contatto con una vasta sfera di minacce, più o meno pericolose e più o meno difficili da affrontare.

Se consideriamo la definizione precisa di spam dobbiamo pensare a tutti quei messaggi che trattano offerte di carattere pornografico, materiale illegale, medicinali senza prescrizione, discutibili proposte finanziarie, richieste di incontri, auguri di Natale e Pasqua e pubblicità, in genere più fastidiosi che pericolosi non sono utilizzati come veicolo di malware perché ormai essendo facilmente identificabili dall’utente come “posta indesiderata” non sono efficaci per portare a termine le infezioni, piuttosto mirano a riempirci le caselle, sovraccaricare il server di posta ed occupare banda Internet.

Con i prodotti disponibili anche sul mercato di fascia medio-bassa riconoscere e bloccare questa famiglia di minaccia non è più un problema e se consideriamo che anche la capacità degli utenti di riconoscerli si è evoluta, quella minima parte di questi messaggi che riesce ad approdare sulle nostre caselle viene immediatamente cancellata.  

Troppe volte però l’utilizzo di un gergo crea confusione e la sicurezza informatica non è un tema su cui possiamo permettercelo perché rischiamo di avere credenze sbagliate e per questo fare passi sbagliati.

Il termine “Spam” viene erroneamente usato per riferirsi senza distinzione a tutte le email “indesiderate” ma è fondamentale distinguere quelle innocue di cui abbiamo parlato fino ad ora, ovvero lo Spam, da quelle che oggi sono ancora molto pericolose, che prendono il nome di Phishing.

Data l’esperienza che stiamo avendo con i ransomware è obbligatorio fare questa distinzione perché ciò che ci protegge dallo spam non è assolutamente efficace per il Phishing.

La caratteristica principale e più malevola di questa famiglia di “posta indesiderata” è che a guardarsi sembra lecita, pulita ed innocua, perché graficamente non contiene nulla di tutto ciò che possiamo vedere in una mail di spam, per questo cosa succede?

• Che i controlli antispam non la bloccano
• Che il destinatario non la identifica come indesiderata

In altre parole non solo riesce ad arrivare sulla casella del destinatario ma nemmeno suscita senso di allerta, procediamo per gradi.

I controlli antispam nel senso specifico del termine eseguono una serie di verifiche sul contenuto testuale, ipertestuale, grafico, sul mittente e molti altri assegnando ad ognuno un punteggio e definendo una soglia per la sommatoria finale al di sopra della quale quella mail è considerata come spam, la qualità di un prodotto risiede proprio nella capacità di bloccare solo lo spam effettivo e limitare il più possibile i falsi positivi.

Con i phishing questi controlli non funzionano perché per poter sembrare lecite agli occhi dell’utente queste mail non contengono nessuna di queste caratteristiche distintive tipiche dello spam e per questo non vengono bloccate.

Ecco che se pensiamo di bloccare i phishing con i normali antispam in realtà l’unica barriera di difesa consiste nella remota possibilità che l’utente possa accorgersi che in quella mail c’è qualcosa che non va.

E’ vero e dobbiamo riconoscere che negli ultimi tempi il problema ransomware per forza di cose ha “forzato” gli utenti ad essere più attenti ma quanto tempo ci è voluto? E quanto attacchi vanno comunque ancora a segno?

Questo succede perché le mail di phishing sembrando lecite e avendo sempre un legame di qualche tipo con l’azienda, con la mansione dell’utente o in altri aspetti, portano il destinatario ad effettuare qualche tipo di operazione in modo ingannevole che generalmente si riconduce ad aprire un allegato, cliccare su un link o abilitare le macro di Office e questo è l’input necessario e fondamentale per scatenare l'infezione.

Capite che a livello utente è richiesto di sviluppare una capacità di giudizio che non è per tutti sempre banale, ma esistono una serie di attenzioni comunemente definite “Best Practices” che possono aiutare a capire se abbiamo davanti una mail di phishing.

Il fenomeno è esploso nel 2014 e la risposta dei produttori dei servizi di sicurezza e stata lenta ma c’è stata, non si possono ancora considerare infallibili, perché le varianti di phishing o di ransomware sono tantissime ma di certo questi prodotti non sono più semplici antispam, piuttosto vengono definiti email gateway o email firewall termini che nel gergo informatico identificano prodotti molto più evoluti.

Per far fronte al problema il mio consiglio è di puntare su questi 2 aspetti:

• Sensibilizzazione e cultura, lo so che non è facile ma non mi stancherò mai di dirlo, dobbiamo formare gli utenti e coinvolgerli in modo costruttivo nella sicurezza dei sistemi informativi ovvero dell’azienda per cui lavorano, formazione, non tecnica ma nell’utilizzo con vademecum e best practices.
• Valutare l’adeguatezza del prodotto di email security che abbiamo in uso, deve avere features dettagliate per il controllo sul tipo di allegati da bloccare e sulla verifica dei link ipertestuali presenti nel corpo della mail nonché sollevare l’attenzione dell’utente in caso di caratteristiche poco chiare attraverso delle notifiche e possedere un efficace motore antivirus.

Se vuoi approfondire il tema della prevenzione ti consiglio di scaricare questa guida, nella quale abbiamo  descritto nel dettaglio tutte le funzioni di controllo della posta oggi necessarie ad ogni antispam.