Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
iNsecurity: una storia di phishing, altruismo e buona volontà

Povero signor M.C. Su, avanti con la buona azione! Riempio il form, chiedo il contatto per l'indomani e.... miracolo, all'ora spaccata un'operatrice italiana (o che parla perfettamente l'italiano) mi chiama al cellulare chiedendo gentilissimamente di cosa ho bisogno. Tanto di cappello all'help desk del noto produttore.

Le spiego che io personalmente non ho bisogno di niente, ma che il loro cliente signor M.C. è attualmente vittima di un tentativo di attacco come quello finito sui giornali, e che quindi sarebbe opportuno avvertirlo di cambiare la password con una molto robusta nel caso non ce l'avesse già, e di togliere da iCloud i dati sensibili che ci fossero finiti.

Si fa spiegare tutto due volte, gentilissima sembra che abbia capito la questione; vengo congedato con la promessa di essere richiamato. Ovviamente nulla. Nei giorni successivi continuano però ad arrivarmi altre email, sempre col mio indirizzo di posta, sempre con il nome di questa persona.

Leggi anche:

Le paure più frequenti

Come si vendono i malware sul dark web? La storia del nuovo Rogue

Smishing, i consigli per non cadere nel tranello

Il giustiziere mascherato che sostituisce il malware con Gif animate

Riproviamo; altro form, altra richiesta di contatto, altra telefonata puntualissima, altra signorina gentilissima a cui racconto la storia, con l'aggiunta dei dati della precedente chiamata a cui non era stato dato seguito. Con una certa sorpresa da parte mia, mi viene stavolta risposto che per risolvere il mio problema dovevo mandare una richiesta scritta o utilizzare un altro link perché loro non potevano fare niente.

Con tono giustificatamente seccato faccio presente con non si trattava di un "mio" problema, ma di un "loro" problema, di un loro cliente e quindi di tutta l'organizzazione, iniziando da lei fino ad arrivare al CEO (che tra l'altro aveva appena rilasciato la dichiarazione suddetta).

Risposta ripetuta tal quale. Mi limito perciò a comunicare che la mia buona volontà si è esaurita, e che tutto quello che mi rimane è raccontare la storia. Gentilissimi saluti, e dopo pochi minuti mi viene spedita un'email con un link generico e del tutto inutile.

Articoli suggeriti:

Il preservativo per i dispositivi USB

Come rubare 1300 carte di credito senza usare hardware

Il test che ti dice quanto sei bravo a riconoscere il phishing

2019, i bot supereranno il traffico web umano

La morale della storia? Pur esistendo mezzi e buona volontà, senza un'organizzazione orientata al cliente e reattiva ai problemi di sicurezza, soprattutto a quelli semplici da contrastare, i clienti non vengono aiutati, sono abbandonati a sé stessi. È inutile che i CEO promettano miracoli crittografici, quando le serrature dei servizi sono ridicolmente semplici da aprire, e irrobustirle subito costerebbe soldi e figuracce. Questa storiella può anche servire come monito per un problema ormai imminente.

Gli standard qualitativi, i modelli organizzativi e gli approcci alla sicurezza degli utenti con cui le aziende più disparate produrranno i pezzi dell'Internet degli Oggetti sono di questo tipo, anzi probabilmente ancora inferiori. I rischi per coloro che si credono padroni dei loro oggetti connessi a Internet saranno quindi infinitamente maggiori.

Spunti di approfondimento:

Nuovo attacco di spear phishing legato alle gift card

Le password peggiori dell'anno

Yahoo, gli account violati nel 2013 sono ben 3 miliardi

Per violare Yahoo è bastato un clic

Speriamo quindi che il signor M.C. abbia una password robusta, e comunque nessun selfie compromettente sul telefono. Dopo tutto, quella di fare a meno di qualsiasi "nuvola" è un'abitudine che consiglio caldamente a tutti.

Non perderti anche:

400 milioni di password rubate ad Adult Friend Finder

Facebook compra le password dagli hacker del deep web

L'Attacco delle Centomila Telecamere che ha paralizzato Internet

Hackerato l'iPhone 6S protetto da password e impronta digitale