Con il passare dei mesi e con le nuove informazioni rilasciate sull’ormai tristemente celebre hack subito da Sony a fine 2014, è chiaro come le preoccupazioni per questo tipo di attacchi vadano oltre il concetto di phishing. L’hack di Sony è stato infatti portato avanti sfruttando vulnerabilità di carattere tecnico, ma non solo e se l’attenzione dei media si è concentrata soprattutto sul fatto che dietro a tutto ci fosse la Corea del Nord, in realtà l’aspetto più importante è capire perché l’attacco sia andato a segno e cosa abbia permesso agli hacker di entrare indisturbati nei sistemi interni di Sony.

Benché i messaggi di spearfishing siano stati ormai identificati come il primo passo che ha permesso di mettere in pratica l’attacco, è troppo facile ricondurre tutto a essi e sperare che con una maggior consapevolezza sui rischi del phishing si potranno evitare casi simili in futuro. Certo, un minimo di formazione per capire i rischi legati a questi attacchi è fondamentale, ma dietro all’hack di Sony c’è molto di più e mi riferisco soprattutto agli errori umani.

Quando si guarda alla descrizione dettagliata dell’attacco, c’erano sicuramente delle questione legate al phishing, ma scendendo più in profondità si capisce come si fossero anche altre vulnerabilità, legate in modo particolare alla sovraesposizione sui social media e al riutilizzo della stessa password per loggarsi in servizi e account diversi. Problemi e rischi che vanno oltre il phishing e che possono essere risolti nella maggior parte dei casi con un programma di consapevolezza personale nei confronti della sicurezza.

Da quanto si è capito, gli hacker nordcoreani hanno innanzitutto scandagliato LinkedIn e altri social network per capire quali dipendenti di Sony avessero privilegi amministrativi. Anche figure con privilegi di basso livello infatti possono tornare utili agli hacker, non tanto per le informazioni che possono avere, ma come cavallo di Troia per mettere piede nel sistema informatico di un’azienda. Certo, non si può vietare alle persone di postare su LinkedIn o su altri social, ma almeno bisogna renderle consapevoli che la loro esposizione sui social network può renderle un bersaglio molto invitante per i cybercriminali.

Si è poi scoperto che le email di phishing hanno scelto come obiettivo le password degli account Apple. Ciò comporta che i dipendenti con iPhone o altri prodotti Apple devono capire di essere target preferibili agli occhi degli hacker, anche perché i dispositivi Apple stanno diventando sempre più comuni in ambito lavorativo e non solo come strumenti personali. Il fatto poi che i prodotti di Cupertino siano immuni da rischi legati alla sicurezza è un mito da sfatare assolutamente; al giorno d’oggi infatti qualsiasi tecnologia può infatti essere presa di mira direttamente o indirettamente.

i programmi di consapevolezza e la formazione dei dipendenti riguardo la sicurezza sono due elementi fondamentali per un’azienda che voglia evitare rischi e vulnerabilità

Un altro aspetto degli attacchi di phishing è la quasi certezza che alcuni utenti hanno rivelato questo tipo di minaccia ma non l’hanno fatto sapere a chi di dovere. E se anche lo hanno fatto, allora c’è stato un problema nel reagire immediatamente e con i mezzi più idonei.

Anche il riutilizzo delle password, che dovrebbe essere al centro di una corretta formazione in fatto di sicurezza, ha rappresentato una vulnerabilità di primo piano presa di mira dagli hacker nordcoreani. La cosa che fa pensare ancora di più è come gli hacker abbiano sfruttato questa falla delle password non solo per quanto riguarda i dipendenti “medi” di Sony ma anche i dirigenti. Se uno degli executive utilizza la stessa password per accedere a un account personale e a uno amministrativo, la vulnerabilità aumenta inesorabilmente e in casi come questi non si può ricondurre tutto ad alcuni “utenti stupidi”.

Tutto questo per puntualizzare due cose. La prima è che i programmi di consapevolezza e la formazione dei dipendenti riguardo la sicurezza sono due elementi fondamentali per un’azienda che voglia evitare rischi e vulnerabilità. Non basta insomma fornire la necessaria formazione ai tecnici specializzati in sicurezza, ma, seppur con le dovute differenze, a tutto quanto il personale (dirigenti compresi), che deve ricevere almeno una minima infarinatura su concetti come il phishing e la gestione delle password.

Il secondo aspetto da sottolineare è che non bisogna limitarsi a considerare un solo fattore di pericolo. L’hack di Sony, che dovrebbe servire da perfetto esempio per qualsiasi azienda, dimostra infatti che oltre al phishing sono coinvolti anche altri elementi e che la maggior parte di essi riguarda errori umani e non solo di carattere tecnico.