Fino al 25 maggio i criminali informatici metterenno in atto attacchi per sfruttare l’occasione del nuovo GDPR. Come difendersi
Lo scorso 11 aprile mi sono imbattuto in un post pubblicato sul blog italiano dell’azienda Trend Micro circa lo stato di avanzamento delle aziende italiane in ottica GDPR (General Data Protection Regulation).
Lo scenario è a dir poco desolante a poco più di un mese dalla sua definitiva entrata in vigore. Bene, quasi il 75% delle aziende italiane sembra aver creato una procedura per notificare le violazioni di dati, ma solo il 49% ha aumentato gli investimenti in IT Security.
Leggi anche: GDPR: cosa cambia per le aziende? Fine della comunicazione data driven oppure occasione per una miglior interazione?
Come i criminali informatici possono sfruttare l’occasione
Davvero preoccupante, non trovate? Il GDPR è quindi percepito ancora come l’ennesimo adempimento burocratico da soddisfare cercando di minimizzare la spesa.
In un tale contesto è facile immaginare come stiano gioendo i criminali informatici pronti a sfruttare l’occasione.
Disinformazione, scarsa conoscenza del regolamento e mancata percezione del rischio cyber rendono le nostre imprese vulnerabili a predatori informatici pronti a colpire.
Partiamo da un caso concreto, una campagna di phishing che ha preso di mira gli utenti del colosso Airbnb.
Che cosa è successo ad Airbnb
Gli affittuari ed utenti del sito Airbnb si sono visti recapitare una mail con carattere di urgenza circa la necessità di adeguarsi al nuovo regolamento sulla protezione dei dati personali(GDPR) previa l’impossibilità ad offrire i propri appartamenti.
Per spaventare ulteriormente gli utenti si fa menzione delle severe sanzioni previste dal regolamento per gli irregolari.
Con questo trucco la campagna invita gli utenti di Airbnb a fornire le proprie informazioni personali, e son certo che molti non avranno esitato a rispondere positivamente all’invito.
L’interesse per l’argomento è molto alto tra i professionisti e le aziende che operano in vari settori, è normale che i criminali informatici cerchino di approfittare di questa situazione.
Airbnb, come molte altre aziende, sta inviando e-mail per informare gli utenti dei cambiamenti nella politica sulla privacy in base al recepimento del GDPR. I criminali informatici stanno prendendo di mira gli utenti di Airbnb chiedendo informazioni personali e dati finanziari riferendo esplicitamente il GDPR.
Il messaggio spam
Secondo gli esperti dell’azienda di sicurezza Redscan, è in atto una campagna di spam indirizzata agli utenti di Airbnb con messaggi come il seguente: “Questo aggiornamento è obbligatorio a causa dei nuovi cambiamenti nella legislazione sulla privacy digitale dell’UE che agisce sulle società con sede negli Stati Uniti, come Airbnb, al fine di proteggere i cittadini e le imprese europee”, si legge il messaggio di spam secondo Redscan.
La portata della campagna di phishing non è ancora chiara, i criminali stanno prendendo di mira le aziende i cui indirizzi sono facilmente reperibili online. I messaggi di phishing includono la richiesta di informazioni in nome della conformità GDPR da parte degli utenti del servizio.
“L’ironia della sorte vuole che i criminali informatici stiano sfruttando l’arrivo di nuovi regolamenti sulla protezione dei dati per rubare gli stessi alle persone”, ha detto a Skynews, il direttore della sicurezza informatica di Redscan, Mark Nicholls.
Le email di phishing utilizzano un semplice ed efficace trucco di social engineering, il messaggio informa gli affittuari che non possono accettare nuove prenotazioni o contattare potenziali ospiti finché non sarà accertata la loro conformità al GDPR.
Le email dannose utilizzano un dominio che potrebbe apparire legittimo, secondo Redscan, in questa campagna, gli hacker, piuttosto che usare il dominio @airbnb.com, hanno utilizzato il dominio @mail.airbnb.work.
Se le vittime fanno clic sul link dannoso incorporato nell’email, vengono reindirizzate alla pagina di phishing progettata per richiedere alle vittime informazioni personali e finanziarie.
Come difendersi
“Le campagne di phishing moderne stanno diventando sempre più difficili da individuare e le persone devono essere più vigili quando aprono email e fanno clic sui collegamenti, poiché è importante assicurarsi che provengano da una fonte attendibile”. Ha dichiarato Mark Nicholls, direttore della sicurezza informatica di Redscan.
È importante sottolineare che le notifiche GDPR inviate dalle società ai propri clienti non richiedono le credenziali degli utenti, occorre quindi fare attenzione.
Premesso ciò, in queste ore molti colossi del web, tra cui Facebook e Twitter stanno informando i loro clienti del cambiamento della politica di privacy in conformità all’imminente GDPR.
L’utente si vede recapitare una mail dall’azienda che lo riporta alla piattaforma legittima.
Lecito attendersi che milioni di messaggi di spam prenderanno di mira gli utenti delle piattaforme per invitare loro a fornire ulteriori informazioni personale oppure per loggarsi a false pagine accesso studiate per rubare le credenziali alle vittime.
Altro rischio è che attaccanti possano sfruttare l’interesse nel GDPR da parte di organizzazioni europee per condividere documenti al cui interno sono nascoste macro alla cui esecuzione di avvia un processo di infezione del computer della vittima.
Non aprite quella mail!
Ed allora come difendersi?
Diffidare di mail non sollecitate, non aprite gli allegati e controllate la sua autenticità ove possibile contattando al telefono il mittente.
Altra cosa da considerare e che le aziende stanno informando del GDPR i propri utenti fornendo loro informazioni, ma mai richiedendo accessi ai servizi piuttosto che richiedere informazioni supplementari.
State attenti!