Sul sito dell’AeCI, risultano degli avvisi uno del 16 e uno del 19 maggio in cui si comunica la sospensione e la successiva riapertura dei servizi web, “disattivati in via precauzionale a seguito degli attacchi hacker che hanno colpito diversi importanti siti della Pubblica Amministrazione”. Dunque, viene segnalata una campagna di phishing in corso nei confronti dei piloti di velivoli ultraleggeri, destinatari di una comunicazione il cui mittente contraffatto è un indirizzo riconducibile all’Aero Club d’Italia. L’oggetto del messaggio riguarda il rinnovo dell’attestato VDS (ovverosia: la certificazione richiesta per pilotare ultraleggeri), con l’invito ad aprire un allegato .zip per le istruzioni e i documenti da compilare per la procedura, che invece andrà ad installare un malware sul dispositivo della vittima.
Come sempre, gli elementi che i cybercriminali impiegano è un’apparente affidabilità e genuinità dell’e-mail, in modo tale che il destinatario ne segua le istruzioni – indotto da abitudine, urgenza, desiderio o anche curiosità – e vada ad aprire il file malevolo. L’affidabilità del messaggio viene rafforzata non solo dal mascheramento dell’indirizzo del mittente, ma soprattutto dalla personalizzazione dello stesso in quanto contiene i dati personali riconducibili al destinatario quali nome, cognome e numero di attestato. Non solo. Nel contenuto del messaggio viene fornita anche una password per aprire l’allegato, così da provocare un falso senso di sicurezza totalmente basata su un’azione di sviamento dell’attenzione. Sia chiaro però che recapitare la password unitamente all’allegato non risponde ad alcun criterio di sicurezza: semplificando, è come inviare insieme ad una scatola tenuta chiusa da un lucchetto anche la chiave. Così facendo però si compie un’azione di illusionismo che distoglie dal contenuto dell’allegato attirando l’attenzione su un’apparente confidenzialità dell’allegato.
Tutto ciò può far riflettere non solo sulle modalità attraverso cui gli attaccanti possano avere avuto accesso a questo database – quale ad esempio un precedente data breach – ma soprattutto sui profili di rischio da dover considerare anche quando sono oggetto di violazione dei dati “apparentemente” innocui quali un database di indirizzi, nominativi e numero di riferimento dell’attestato VDS. Tale considerazione non deve riguardare però esclusivamente l’aspetto successivo e (parzialmente) rimediale della comunicazione di una violazione dei dati, bensì deve condurre l’approccio risk-based richiesto dall’art. 32 GDPR per la predisposizione di misure di sicurezza adeguate da parte delle organizzazioni che svolgono attività di trattamento su dati personali.
E forse gli interessati potrebbero non limitarsi solamente ad astenersi dal diventare vittime di phishing, cancellando l’e-mail fraudolenta, ma cogliere uno spunto per chiedere maggiori garanzie di sicurezza.
