Gli utenti Netflix sono sotto attacco

Pierguido Iezzi

Netflix è solo l'ultima delle grandi aziende a essere stata usata come Cavallo di Troia per portare avanti campagne di Phishing

Ahimè oramai stiamo facendo il callo sulle notizie di violazioni di falle nella Cyber Security delle grandi aziende di servizi a cui quotidianamente affidiamo i nostri dati. Questa volta è toccato a Netflix, il gigante dello streaming che, a seguito di una di reclami e proteste da parte dei suoi utenti irlandesi, si è vista costretta a inviare una comunicazione ufficiale urgente che segnalava a tutti i suoi iscritti di diffidare delle email in arrivo a nome Netflix e di controllare attentamente chi fosse il vero mittente. Questo perché negli ultimi mesi l’intera base clienti in Irlanda era stata oggetto di un’imponente e molto aggressiva campagna di phishing.

 

I Criminal Hacker che si celano dietro questo tipo di attacchi sono sempre alla ricerca di nuovi bersagli – delle vere audience – privilegiando un pubblico meno cyber aware e il più ampio possibile. Netflix certamente riempiva tutte queste caselle. L’attacco è iniziato con una mail che leggeva: “Gentile cliente, durante i regolari processi di manutenzione e verifiche di sicurezza abbiamo rilevato un grave errore nel suo account. Sfortunatamente se le informazioni del suo account non verranno aggiornate entro le prossime 24 ore la sua capacità di accedere ai nostri servizi verrà interrotta definitivamente”.

 

Phishing, un fenomeno da 1 bilione di mail all’anno

Il fenomeno del phishing ha la stessa età della Rete e come questa si è evoluto in dimensione e sofisticazione. Le mail di Phishing oggi mirano principalmente alle informazioni e ai dati sensibili, la merce più ambita del Dark Web. L’approccio, come nel caso di Netflix, è quello di simulare urgenza con deadline stringenti e di chiedere, appunto, informazioni sensibili minacciando chiusure dell’account o possibili sanzioni. Tuttavia è bene notare come le aziende, in particolare le multinazionali à la Netflix, raramente chiedono agli utenti di fornire informazioni personali via e-mail. Se si dovesse palesare una situazione di questo tipo, quindi, è bene sapere come questo possa costituire un chiaro segno che l'e-mail non sia stata inviata attraverso i canali ufficiali, ma da Criminal Hacker che tentano di accedere al vostro account.

 

Secondo un’agenzia di Cyber Security irlandese che ha seguito da vicino il caso Netflix la notizia non dovrebbe sorprendere nessuno. Con oltre 250mila clienti in Irlanda, gli aggressori hanno gettato la rete in lungo e in largo in questa occasione. Ma se questo attacco di phishing sembra puramente rivolto ai consumatori, è importante notare che attacchi di questo tipo sono anche comunemente usati per colpire le singole figure a livello aziendale, come management o amministrazione, in particolare quando gli indirizzi e-mail aziendali sono usati anche per scopi personali. Per questo motivo c’è bisogno del massimo livello di awareness sia nelle imprese sia nella vita di tutti giorni.

 

Quindi, che si tratti di un conteso aziendale o personale, è fondamentale educare gli utenti su queste tattiche fraudolente e addestrarli a individuare e, nel caso di riscontro positivo, segnalare e-mail sospette, salvaguardandoli da violazioni dei dati e perdite finanziarie, se si tratta di privati. Un esempio concreto: gli utenti dovrebbero essere sospettosi di e-mail contenenti link in cui l'URL non va al sito ufficiale dell'azienda una volta cliccato, così come di URL abbreviati – compresi i link bitly o goo.gl – che sono tutte prove potenziali di un attacco di phishing.

 

La strategia di difesa

Ma come fare a far fronte all’ondata di phishing? Sicuramente la risposta non è tra le più facili perché le azioni da intraprendere comprendono molti fattori e aree d’intervento. Un primo step è quello di eseguire dei controlli costanti e regolari del proprio conto corrente: movimenti e transazioni sono da tenere sempre monitorate in modo da accorgersi in caso di scostamenti irregolari. Non dobbiamo neppure dimenticarci di segnalare ogni contenuto potenzialmente pericoloso come le mail di SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta e contrassegnalo. Ogni volta che si riceve un messaggio, come accennato prima, verificarne sempre e accuratamente la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori di grammatica o di battitura: rileggilo più e più volte se non sei sicuro. Nel caso in cui venga individuato il chiaro tentativo di phishing, ovviamente, non dobbiamo cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati.

Per gli utenti le regole consigliate sono:

1. Non toccare niente:
Quando ricevi una mail che non riconosci, aprila ma non cliccare in nessuna parte del suo contenuto, nemmeno nello spazio bianco.
2. Controlla sempre intestazione e parte successiva alla @:
Se non corrisponde al sito web del mittente fai attenzione, probabilmente non proviene dall’azienda.
3. Fai attenzione alle mail che mettono fretta:
Attenzione ai messaggi “verifica il tuo account” o “rispondi entro 48 ore” che sembrano essere stati inviati a social network, dalla tua banca o dalla tua azienda.
4. Controlla la forma della mail:
Il testo deve essere scritto in modo corretto, senza errori di grammatica, e deve avere immagini di alta qualità.
5. Attenzione ai link:
Controlla che i link presenti nella mail siano originali e corrispondano al sito ufficiale. Per farlo, passa con la freccia del mouse sul link, senza cliccare.
6. Fai attenzione agli allegati:
Non aprirli se non sei sicuro e controlla che non vi siano doppie estensioni.

Se queste possono essere considerate le regole auree per ognuno di noi da seguire alla lettera nel day to day, per le aziende, invece, le raccomandazioni sono di:

  • Formare costantemente i propri dipendenti: i dipendenti dovrebbero seguire alla lettera le indicazioni specificate sopra, punto fondamentale per una corretta gestione del rischio;
  • Aggiornare costantemente i web browser: eseguire attività di Vulnerability Assessment per essere certi che i siti web e le web application aziendali siano prive di vulnerabilità potenzialmente attaccabili da un terzo malintenzionato;
  • Svolgere periodicamente attività di Network Scan per essere certi che la propria infrastruttura IT aziendale sia al riparo da spiacevoli attacchi;
  • Svolgere attività di Phishing attack Simulation: questa permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco. È infatti possibile, attraverso un’interfaccia web inviare vere e proprie campagne di phishing simulate che generano delle insostituibili occasioni di apprendimento per i dipendenti. I dipendenti, infatti, grazie a questi attacchi simulati riusciranno, in futuro, ad individuare una vera e-mail di phishing e ad evitarla.