Fra le email ricevute, ti sarà capitato almeno una volta nella vita di ricevere alcune email con oggetto "cambia password di accesso al suo profilo bancario" o "hai un bonifico da 127.500 euro in entrata". Niente di nuovo purtroppo, ti sei trovato di fronte ad una classica mail di Phishing.
Truffa on-line del "man in the middle". Un amministratore di condominio perde 30.000 euro
Cos'è il Phishing? È un tipo di truffa informatica che, in questo caso, tramite l'invio di una mail, simula un'azione da compiere richiesta da parte di un ente che sia posta, banca ecc., per acquisire i tuoi dati.
Quello che è richiesto direttamente nel corpo della mail è di inserirei tuoi dati sensibili, proponendo un link o un bottone che, se si procede al clic, riporta ad un sito verosimilmente identico a quello dell'ente originale.
Il Phishing è una tecnica ormai molto conosciuta e ahimè molto utilizzata; in questo articolo voglio metterti in guardia da un tipo di attacco in particolare, molto poco conosciuto ma molto diffuso negli ultimi anni, dal quale metto in guardia gli Amministratori di Condominio da circa due anni, questo attacco viene denominato "man in the middle" per gli amici "uomo nel mezzo".
Come funziona? Te lo spiego in poche parole: un hacker riesce ad accedere alla tua email, si intromette in una conversazione fra te e un fornitore ad esempio, al solo scopo di modificare dati utili per ricevere denaro.
Questo tipo di attacco è stato utilizzato più volte a discapito di vari Amministratori di Condominio, in quanto abituali alle comunicazioni e richieste di bonifico da svariati fornitori via mail.
Un Amministratore in particolare è finito sul giornale "La Stampa" per aver subito questo tipo di attacco; l'articolo riporta: "L'amministratore del condominio «Villa Guerci», in via Tripoli, angolo via Faà di Bruno, fa effettuare alcuni lavori di edilizia a un'impresa di Castelspina.
A opera ultimata, il capomastro invia un'email all'indirizzo di posta elettronica con cui, già in precedenza e più volte, aveva intrattenuto corrispondenza con l'amministratore, allegando la fattura in formato pdf, teoricamente più difficile da alterare.
L'amministratore stampa il documento su cui è indicato l'Iban dell'impresa, va in banca e su quel conto paga l'importo di 11 mila euro. Alcuni giorni dopo, però, incrocia l'impresario che con garbo, gli sollecita il pagamento: è una cifra consistente per il suo bilancio, se potesse provvedere… «Ma io ho già saldato il conto» replica l'amministratore.
Sito internet condominiale, le responsabilità dell'amministratore
Controlla e mostra, a prova di assoluta buona fede, le pezze giustificative dell'avvenuto bonifico effettuato in banca. Purtroppo, però, il denaro, partito dal conto del condominio, è stato intercettato lungo il tragitto verso quello dell'impresario e «dirottato» su un altro, aperto su una banca on line, sede a Milano.
Ti starai chiedendo, come ha fatto? Semplice più a dirsi che a farsi, l'hacker ha effettuato l'accesso all'account di posta dell'amministratore di condominio in questione, visualizzando e monitorando tutte le sue conversazioni per giorni e giorni, fino a quando non ha trovato un file allegato di suo interesse, una fattura di un fornitore, l'ha scaricata, ha modificato la parte relativa all'IBAN ed ha rispedito la sua fattura modificata con il suo l'IBAN di un conto dove l'hacker può avere facile accesso.
L'amministratore quindi ha emesso correttamente il pagamento, ma alla persona sbagliata. I tentativi da parte della Polizia Postale di bloccare il pagamento verso il conto corrente errato sono stati vani, in quanto dietro ad un conto corrente possono esistere triangolazioni per girocontare i soldi altrove, in altri stati come ad esempio a Panama.
Gli investigatori sono ancora a lavoro ma rimangono questi 11 mila euro "sfumati", versati dai condomini, pagati da parte dell'Amministratore di condominio ma finiti nel conto sbagliato.
Come si può prevenire? Ti elenco 5 cose da fare assolutamente:
- massima attenzione nel controllare i link e dati delle mail e degli allegati che si ricevono;
- dotarsi di un antivirus aggiornato con funzionalità di controllo mail di spam;
- avere un CRM/software contabilità per memorizzare i dati ricorrenti (es. IBAN del fornitore);
- avere un software sicuro a gestione delle password;
- cambiare le password periodicamente.
Purtroppo in molti studi di Amministrazione condominiale, mi sono trovato di fronte a password del tipo "forzajuve1980", date di nascita o nomi dei propri figli, è assolutamente errato in quanto esistono molteplici programmi che, tramite attacchi ripetuti basandosi su un database di parole, numeri e anche parole + numeri, automaticamente possono scoprire la tua password.
Scegliere una password alfanumerica complessa eviterà sicuramente problemi in futuro.
"787sgewk25#" è un esempio di password corretta e complessa, contiene numeri, lettere (maiuscole e minuscole) ed un carattere speciale.
Almeno una volta al mese andrebbe effettuato il cambio password, diminuendo drasticamente le possibilità di accessi indesiderati al vostro account di posta.
Certamente mi rendo conto di quanto possa essere difficile ricordarsele tutte a memoria, e qui entrano in gioco alcuni programmi chiamati "Gestori Password". Di seguito alcuni esempi:
- ZohoVault: organizza le password con possibilità di condividerle in team, totalmente in cloud, e si può configurare l'autenticazione a due fattori
- Dashlane: semplice da usare, permette di cambiare più password contemporaneamente
- KeePass: completamente gratuito, si può salvare il database tramite chiavetta USB e si possono sincronizzare le password con Gdrive o Dropbox.
Ormai gli hacker hanno svariati punti di accesso, dal classico PC allo smartphone, passando dalla domotica per arrivare ai robot presenti nella produzione in fabbrica; l'elenco è davvero impressionante.
La prevenzione e protezione da attacchi informatici, sia per l'ambito privato che per lo Studio, deve divenire a stretto giro una priorità assoluta perché, in caso di superficialità o noncuranza, il non agire in questa direzione è un rischio per te, per i tuoi dati e per la tua professionalità.
