Il termine “phishing”, variante della parola inglese pescare o fishing si riferisce al tentativo da parte di un malintenzionato di “pescare” dati personali, dati finanziari della vittima o informazioni aziendali riservate, mediante l’uso di tecniche d’inganno sempre più elaborate.
Tra i metodi più diffusi email o messaggi che, simulando format standard e plausibili, sono inviati da entità conosciute, creando nella vittima una situazione di urgenza inducendola a fornire numero di carta di credito, conto bancario etc.
A scopo di mitigare la vulnerabilità da questo genere di attacchi, i security team delle grosse compagnie usano una strategia già praticata negli ambienti militari come il tentativo in tempi di pace, di intrusione all’interno di infrastrutture amiche, per verificare l’efficacia dei sistemi atti a prevenirla.
GoDaddy, grossa azienda americana di domain registrar e web-hosting con base in Arizona, ha pensato giorni fa di inviare una mail agli impiegati, per verificare la capacità del sistema -o meglio degli impiegati- di non cadere nella trappola del phishing.
E fin qui tutto appare nei limiti delle procedure standard. Nulla di nuovo.
Se non fosse che l’IT security team in questione, interrogatosi su come poter, ancora una volta, “agganciare” l’umana creduloneria, ha deciso di inviare un bonus del valore di 650.00 dollari agli inconsapevoli impiegati, richiedendo di compilare il format di richiesta, tramite l’inserimento dei dati personali.
“Buone Feste GoDaddy! Il 2020 è stato un anno record per GoDaddy grazie a te!” recitava il messaggio. “Anche se non possiamo festeggiare insieme durante l’Holiday Party (cancellato per Covid N.d.R.), desideriamo dimostrare la nostra riconoscenza donandoti un bonus di 650.00 dollari.”
I circa 500 impiegati caduti nel tranello, sono stati “premiati” due giorni più tardi da una mail del capo della sicurezza:
“Stai ricevendo questa mail perché hai fallito il nostro recente test di phishing”.
Il resto è facile da immaginare, o forse no. Insomma è quello che in alcuni ambienti è definito col nome “the cure”, la cura.
L’aggressività della cura dipende dal numero di offese precedenti e può oscillare da una semplice ripetizione del training annuale in via “speciale”, al licenziamento in tronco. Per juste milieu c’è invece qualcosa di simile, almeno in principio, alla “rieducazione” cui furono sottoposti i membri della gang dell’Arancia Meccanica, il famoso film del 1971 di Stanley Kubrick, da cui scaturì la famosa-e quantomai calzante- frase di Alex “I feel cured allright” (tongue in cheeck). Mi sento veramente guarito. Come no.
La decisione dei membri dell’IT Security Team di GoDaddy di approfittare sia del particolare contesto storico-sociale, come del -in questo momento particolarmente vulnerabile – fattore umano è al centro di critiche su Twitter.
Il mondo versa in una grave crisi pandemica ed economica. Senza contare il numero di recenti licenziamenti all’interno della stessa compagnia dovuti a Covid. E siamo sotto Natale. Probabilmente il Natale più sfigato mai visto dai nostri dipendenti. Quale migliore momento per attuare simili “trappole”?
È chiaro che il fatto di abboccare ad un “invito” che richieda l’inserimento di dati personali già in possesso della compagnia che lo invia, non deponga a favore dello stato di allerta che si intende promuovere.
Capisco anche che il phishing, quello vero, è un affare serio, dove il malintenzionato non esita a sfruttare le umane miserie, senza esclusione di colpi.
Credo però che per tutto ci sia un modo e un tempo, e forme di terrorismo simili non contribuiscano a creare quel senso di appartenenza e coesione all’interno dell’habitat lavorativo che separa il semplice worker dal company man, ovvero l’impiegato che aspetta con ansia le cinque del pomeriggio dall’individuo che si muove all’insegna dello sviluppo organico e multidirezionale dell’entità per cui lavora, e se ne sente responsabile in prima persona.
E non dimentichiamo che la company mail in questione è stata probabilmente l’unica dell’anno a portare una buona notizia.
Beh, almeno per due giorni.
È innegabile constatare che sussistano motivi oggettivi sufficienti a validare o condannare l’azione di GoDaddy.
Voi che ne pensate?
