Incontro con Gianni Amato dell’Agenzia per l’Italia digitale: come difendersi da truffe online e quali azioni intraprendere in futuro per aumentare una cultura della sicurezza condivisa.
di Enzo Argante.
Dunque si può essere attaccati anche con una semplice telefonata o SMS?
Allora, in realtà dipende, nel senso che sicuramente è un inizio. Sfruttando tecniche di phishing e social engineering i criminali possono cercare di ottenere informazioni sensibili e quindi di indurre le persone a compiere azioni dannose, ma a mio avviso bisognerebbe distinguere tra una truffa mirata, le campagne apposite, le frodi bancarie, oppure attività mirate diciamo allo spionaggio. Quindi diciamo che ci sono varie tipologie, sicuramente la telefonata o l’SMS è l’inizio, tutto parte con un SMS o una telefonata da parte di un truffatore che informa solitamente di un problema urgente, oppure un SMS che sembra provenire dalla propria banca e chiede all’utente di confermare alcune azioni, di compiere alcune azioni, confermare, verificare l’identità, ad esempio, cliccando sul link e approdando in una pagina che sembra identica a quella della propria banca, per fare un esempio, quindi chiede attraverso un form di inserire informazioni personali e tutto il resto. Chiaramente quelle informazioni vengono sottratte, non arrivano alla banca, ma arrivano ai criminali. Poi chiaramente ci sono altre tipologie, come dicevamo prima, se la campagna sono mirate, sono delle campagne apposite, delle campagne messe in atto, studiate appositamente per una tipologia specifica di utenti o per un utente specifico, una sola persona, in questo caso spesso diciamo, sono volte allo spionaggio e si tratta di applicazione malevole, e attraverso l’SMS viene chiesto appunto di scaricare ed installare una nuova applicazione che si finge essere quella della Banca, ad esempio, perché viene spiegato attraverso il messaggio che in questo caso è necessario aggiornare l’applicazione per problemi di sicurezza, quindi l’utente magari ci casca, aggiorna l’applicazione che riporterà gli stessi loghi dell’applicazione originaria e in quel caso diciamo che il truffatore, o chi sta combinando queste azioni da remoto ha il controllo completo del dispositivo. Di esempi ne abbiamo tanti, soprattutto in Italia, ultimamente abbiamo avuto a che fare con Irata – Iranian RAT per Android, sono delle applicazioni malevole sviluppate appositamente per compromettere e prendere il controllo dei dispositivi delle vittime. Abbiamo avuto Spynot, abbiamo avuto Brata, sono tutte applicazioni malevole, il cui scopo è quello che prendere il controllo del telefonino, ma in particolar modo, e questa cosa importante di accedere agli SMS. Questo ha una duplice funzione, ovvero nel momento in cui si ha il controllo degli SMS si possono inoltrare altre campagne verso altre vittime, e la cosa più importante è che sia accesso al doppio fattore di autenticazione, perché ormai tutte le applicazioni soprattutto le applicazioni bancarie, richiedono una verifica con un SMS, quindi il secondo fattore di autenticazione, nel momento in cui hanno il controllo dell’SMS, fondamentalmente hanno il controllo di tutto.
Capisco che la domanda non può avere una risposta facile, ma qual è il primo suggerimento di difesa che te la senti di dare a chi ascolta?
Beh sicuramente una delle domande che dobbiamo porci è come fanno questi criminali ad ottenere diciamo queste informazioni? Il recapito telefonico viene solitamente ottenuto attraverso banche dati che circolano sul darkweb, sul deepweb, e sui form appositi, poi ci sono i datalink, ovvero social network ai quali vengono filtrati i dati, o attraverso attività di scraping, che quindi senza necessità di compromettere diciamo l’applicazione si riesce in qualche modo a simulare le attività di un utente per raccogliere le informazioni, così come è successo nel 2020 con Facebook, dove sono state censite tutte le informazioni di migliaia, se non milioni di utenti, con relativi numeri di telefono. Il punto quindi è essere scettici, sicuramente non lasciare il proprio recapito telefonico ovunque, è molto semplice per noi, è molto banale, non ci facciamo nemmeno caso, nel momento in cui ci ritroviamo ad esempio al supermercato e ci chiedono di compilare una scheda, lasciamo facilmente la nostra email, il nostro numero di telefono, non pensiamo a cosa può comportare, quali problematiche possono scaturire da questa azione, quindi bisogna essere sempre scettici soprattutto per quanto riguarda le chiamate e i messaggi inaspettati, quelli per i quali soprattutto si richiedono informazioni personali o finanziarie, quindi drizzare le antenne nel momento in cui qualcuno chiede queste tipologie di informazioni, verificare chiaramente l’identità di chi ci sta telefonando, di chi ci sta inviando il messaggio, soprattutto attraverso i canali ufficiali, appunto il i siti web ufficiali, non rispondere naturalmente alle domande con il rilascio di informazioni sensibili, quindi nel momento in cui ci vengono chieste informazioni sensibili non rispondere mai immediatamente, ma pensarci 10 volte prima di rispondere con informazioni che potrebbero compromettere diciamo la nostra sicurezza, e infine sicuramente mantenere aggiornati i nostri dispositivi, quando ci sono aggiornamenti per i nostri dispositivi è giusto ed è corretto che vengano applicati questi aggiornamenti senza ritardare, anche perché nonostante magari siamo scettici, siamo attenti a non lasciare informazioni a non cadere in queste trappole, ma potrebbero i criminali sfruttare delle vulnerabilità non note, così chiamate appunto zero-day, vulnerabilità non ancora conosciute, che attraverso un sms, quindi magari cliccando sul link specifico per quella tipologia di telefono, per quel sistema operativo specifico possono compromettere senza necessità che l’utente compia altre azioni, quindi sicuramente stare attenti e poi chiaramente è necessario avere una cultura a riguardo e quindi essere informati.
Quindi in realtà serve una cultura di massa, una nuova cultura di massa sulla sicurezza e non solo nell’Istituzioni e nelle imprese, ma proprio anche nelle singole persone, quindi il pubblico è impegnato, deve impegnarsi in questo?
Beh decisamente, diciamo che dovremmo impegnarci un po’ tutti a imparare quali sono le problematiche alle quali si va incontro, soprattutto quando navighiamo online, e quindi cosa può succedere, quali sono le tipologie di truffe. Siamo ormai abbastanza ferrati a comprendere le tipologie di truffe ed essere scettici nei confronti di chi magari vuole propinarci qualcosa nel mondo fisico, quando incontriamo una persona siamo sempre diffidenti a fornire informazioni, online invece non c’è questa sensibilità e questo è un problema: è un problema di educazione, è un problema sicuramente che dovrebbe essere in qualche modo superato attraverso la cultura, attraverso la promozione e la divulgazione della consapevolezza in ambito digitale. Non sempre purtroppo si riesce a capire l’importanza delle truffe online, in quanto si pensa che magari tutto ciò che succede online non è reale, invece no, c’è un riscontro nella realtà e non è più come una volta, ma oggi tutto quello che facciamo online si ripercuote perfettamente nella realtà, per cui c’è bisogno sicuramente di cultura.
Parliamo di viaggi da questo punto e del ruolo istituzionale che chi già svolge e forse ha in programma di svolgere nella direzione di cui stiamo parlando di più…
Allora sì, AGID diciamo che ha una struttura che è il CERT AGID, ovvero il Computer Emergency Response Team di AGID che si occupa appunto attraverso articoli, attraverso informative, di promuovere diciamo l’uso della consapevolezza della tecnologia. In particolare ci occupiamo di effettuare analisi su tutto ciò che riguarda le campagne malevole, ma in particolar modo ci si concentra non sullo scam e quindi sui classici SMS, che, come quello che è successo di recente, ad esempio un criminale invia un SMS a una persona dicendo “mamma/papà, mi è caduto il telefono nell’acqua, ho perso la scheda, ho preso i dati, questo è il mio nuovo numero contattami…”, poi da lì scaturisce tutta la truffa telefonica e tutto il resto, non ci occupiamo prevalentemente di questo, anche perché non c’è modo, diciamo se non è l’utente stesso a cercare di capire che non deve cadere in queste trappole, e quindi ad avere un minimo di cultura a riguardo, ma quello che facciamo invece riguarda tutto ciò che è inerente le applicazioni volte allo spionaggio, quindi tutto ciò che riguarda quelle applicazioni malevole che vengono installate sui dispositivi mobile a quel punto censiamo le campagne, individuiamo da dove provengono, individuiamo i link, quindi le URL dove arrivano, raccogliamo queste informazioni facciamo un’analisi del malware, qualora non sia mai stato fatto e quindi qualora ancora non sia riconosciuto, cerchiamo di capire cosa fa, con quale intento, da dove arrivano queste informazioni, e chiaramente dopo rilasciamo i famosi indicatori di compromissione, che sono diciamo quegli indicatori che servono a bloccare le campagne sul nascere e li diramiamo alle Pubbliche Amministrazioni che sono accreditate presso il nostro flusso di IOC dell’indicatore di compromissione. Chiaramente poi attraverso altre attività, come possono essere convegni o incontri di altro tipo, AGID divulga queste tematiche e cerca di mettere in allerta i cittadini in particolare.
Domanda d’obbligo: la scuola dovrebbe svolgere un ruolo in questo senso, non c’è ancora nessun segnale, speriamo che arrivi…
Sì, diciamo che è importante che la scuola inizi già sin dalle elementari ad insegnare la cosiddetta etica digitale, le scuole possono insegnare agli studenti l’importanza dell’etica digitale e quindi di come comportarsi responsabile e rispettoso online e incoraggiandolo appunto a rispettare la privacy, e a comportarsi in modo corretto per evitare soprattutto da parte loro azioni illegali, ma anche per difendersi da chi cerca di commettere dei reati e delle truffe. Quindi creare una cultura sulla sicurezza informatica, ma la cosa a mio avviso ancora più importante, sì sicuramente istruire i bambini è fondamentale, è importantissimo e si parte sicuramente da lì, ma coinvolgere i genitori è un altro aspetto altrettanto importante. Coinvolgere il genitore appunto nell’educazione della sicurezza informatica, fornendo loro risorse, fornendo informazioni utili e incoraggiarli appunto a monitorare, a controllare i figli per verificare quello che stanno facendo perché tante volte i bambini compiono delle azioni navigano su internet tranquillamente senza che i genitori sappiano esattamente cosa stanno facendo.
English version here