È stata segnalata al CERT-AGID una campagna di phishing particolarmente sofisticata che sfrutta il servizio SPID per carpire le credenziali di accesso degli utenti di 12 istituti bancari italiani tra i quali figurano BNL, Ing, Intesa Sanpaolo, Mediolanum, UBI Banca e UniCredit.
A questi si aggiunge BancoPosta che, tecnicamente almeno, non può essere considerata un istituto bancario propriamente detto ma che entra comunque nelle mire degli hacker.
È una minaccia che si ripete con una certa ciclicità e, per poterne comprendere meglio la genesi, ci avvaliamo dell’ausilio dell’esperto ICT e socio Clusit Salvatore Lombardo il quale, sulle pagine di questo media, ha già documentato un attacco simile censito durante il mese di febbraio del 2024.
Infine, anche per lanciare una provocazione, valutiamo l’ipotesi che sia necessario attendere almeno una generazione per avere utenti più addentro alla cyber cultura e quindi meno vulnerabili.
Indice degli argomenti
Lo SPID e i dati bancari
Gli hacker usano tecniche di phishing per condurre gli utenti su una pagina web simile a quella dello SPID, così come viene spiegato nel comunicato CERT-AgID.
Il sito fraudolento invita a selezionare l’istituto bancario di riferimento dell’utente per poterne verificare l’identità e, una volta scelto l’istituto pertinente, si viene reindirizzati a una pagina web che replica in modo accurato la procedura di identificazione all’istituto stesso.
Quando si inseriscono le credenziali d’accesso gli hacker ne entrano in possesso.
Gli accorgimenti
È stato lo stesso CERT-AgID a lanciare una campagna di sensibilizzazione suggerendo agli utenti a cosa fare attenzione per non cadere nella rete tessuta dagli hacker. Tra queste misure:
- Controllare l’URL di un qualsiasi sito web prima di inserire le credenziali d’accesso
- Ricordare che gli istituti di credito non chiedono mai dati bancari via email, sms, social network oppure mediante app di messaggistica istantanea (come WhatsApp, Telegram o Signal)
- Aggiornare costantemente i dispositivi dai quali si naviga online e dotarsi di un software antivirus
Misure facili da adottare, fatta salva la basilare cyber cultura che, come confermano le continue campagne hacker, tende a latitare.
Appare evidente che non ci si possa più nascondere dietro un dito: gli utenti faticano a orientarsi sul web e la sensibilizzazione di cui si fanno carico istituzioni, istituti e media non sembra essere sufficiente.
Una generazione persa?
Con Salvatore Lombardo entriamo nelle pieghe del contesto attuale, nel quale ci sono persone “credulone” perché prive della cultura minima – peraltro non difficile da acquisire – per difendersi online.
Prima, però, è utile spiegare perché le campagne di phishing, anche quelle che fanno leva sullo SPID, si ripetono con una certa ciclicità: “Le campagne di phishing a tema SPID si ripetono ciclicamente per diversi motivi. Con l’aumento del suo uso per accedere a vari servizi online, lo SPID è diventato un bersaglio attraente per i criminali informatici. Inoltre, una volta che una campagna di phishing ha successo, è relativamente facile per gli stessi criminali replicarla con piccole variazioni, rendendo difficile per le difese informatiche bloccare le varianti. Infine, nonostante le campagne di sensibilizzazione, molti utenti non sono ancora sufficientemente informati sui rischi del phishing e su come riconoscerlo, rimanendo pertanto vulnerabili”, spiega Salvatore Lombardo.
Considerando l’elevato numero di minacce, l’estro degli attaccanti e la scarsa cultura cyber, è lecito attendersi che gli utenti di oggi sono da considerare al pari di una generazione persa?
Anticipiamo che Lombardo è incline all’ottimismo, seppure con qualche riserva: “Non credo che l’attuale generazione sia ‘persa’ dal punto di vista della cyber cultura, ma è evidente che ci siano sfide significative da affrontare. I più giovani, sono spesso più abili nell’uso della tecnologia, ma non sempre consapevoli dei pericoli associati. Pertanto, è essenziale puntare sui giovanissimi per aumentare la consapevolezza dei rischi, ma non dobbiamo dimenticare l’importanza di educare anche le generazioni attuali”.
Se sui giovanissimi occorre fare leva, risulta allora ancora più ostico comprendere perché, nelle scuole, non vengono introdotti programmi didattici opportuni: “La collaborazione tra famiglie, scuole e istituzioni è fondamentale per creare una cultura della sicurezza informatica solida e duratura. Ma a mio parere la mancanza di mentalità, di risorse adeguate e di formazione ostacolano l’introduzione della didattica digitale. Non è una novità che l’educazione sulla sicurezza informatica non sia in molti settori ancora vista come priorità urgente”, conclude Lombardo.
