Phishing mirato: perché chi fa sicurezza è un bersaglio appetibile

Ve lo scrivo perché lo vedo passare ogni settimana sul lavoro. Il phishing “nigeriano” lo cestinate a occhi chiusi. Il problema è l’altro: lo spear phishing, costruito su misura per chi ha un ruolo di sicurezza. Lì cascano anche i bravi.

Perché proprio noi

Chi opera nel settore ha accesso, contatti, e abitudini ricostruibili. Per un attaccante un nostro account vale dieci account qualsiasi. E spesso lasciamo in giro abbastanza (ruoli, eventi, corsi) da rendere un messaggio credibilissimo.

I segnali che insegno a cercare

• Pretesto plausibile e urgente: un corso, una convocazione, un fornitore noto. L’urgenza serve a spegnere il pensiero critico.
• Mittente quasi giusto: dominio con una lettera cambiata, display name corretto ma indirizzo no. Guardate sempre l’indirizzo vero, non il nome.
• Link che non combacia: il testo dice una cosa, la destinazione un’altra. Passateci sopra prima di cliccare.
• Richiesta che “scavalca” la procedura: pagamenti, credenziali, eccezioni urgenti. La fretta che rompe il processo è quasi sempre un attacco.

La regola che salva

Una sola: canale di verifica indipendente. Ti arriva una richiesta sensibile? Non rispondi su quel canale: chiami il riferimento sul numero che già conosci. Trenta secondi che fanno saltare il 90% degli attacchi mirati.

Punti chiave

• Lo spear phishing è cucito su di te: niente errori grossolani.
• Controlla l’indirizzo reale, non il nome visualizzato.
• Diffida dell’urgenza che scavalca le procedure.
• Verifica sempre su un canale indipendente.

Nota dell’autore

Ho visto colleghi tostissimi sul campo farsi fregare da una mail ben fatta in un momento di stanchezza. Non è questione di intelligenza, è questione di abitudine. Costruitevi il riflesso della verifica indipendente.

Riferimenti

• Tassonomie di social engineering (pretexting, baiting, urgency).
• Linee guida ACN/CERT su phishing e gestione delle credenziali.