I messaggi di phishing consistono in e-mail fraudolente, che in alcuni casi contengono un link che imita la schermata di accesso a un servizio: la vittima inserendo le proprie credenziali crede di accedere al sito originale, invece le invia a chi ha creato il sito fasullo; in altri casi nell’ e-mail è contenuto un allegato malevolo: un malware, che può tracciare le attività che si svolgono sul computer, o rubare le credenziali di accesso, o criptare/distruggere i file, o altro.
Ultimamente i criminali utilizzano anche altri canali per gettare le loro esche oltre alla e-mail: Whatsapp, Facebook o Linkedin, ma il principio è sempre lo stesso.
Generalmente questi messaggi vengono creati in modo che sembrino originati da:
- servizi che hanno accesso ad una carta di credito: banche, Amazon, e-Bay
- servizi che hanno accesso a informazioni personali: Facebook, Instagram, Linkedin
- servizi di storage cloud, che contengono documenti: iCloud, Drive, Dropbox
- autorità: uffici legali, polizia postale, il direttore / reparto IT della nostra azienda
- colleghi di lavoro o apparentemente persone che conosciamo (spoofing)
Nelle mail di phishing l’attaccante spesso cerca di far leva sulle emozioni del destinatario oppure di approfittare di un momento di disattenzione dello stesso: si tratta di tecniche di social engineering. Talvolta hanno carattere di urgenza e richiedono un’azione immediata, un click a un link o il download di un allegato.
La paura delle conseguenze del mancato intervento da parte del destinatario serve a indurre una risposta intuitiva, contrapposta ad un ragionamento lento e ponderato.
Vediamo alcuni esempi di e-mail che inducono un senso di allerta, di urgenza:
- “il tuo account *** verrà temporaneamente chiuso per inutilizzo, se vuoi mantenere attivo il tuo account aggiorna le tue informazioni al seguente link”
- “è stata rilevata un’attività sospetta: tentativo di accesso al suo account ***, se non sei stato tu ad eseguire questa attività è consigliato cambiare la password dell’account al seguente link”
- “tentativo di consegna del pacco numero ***, contattare al più presto il corriere al seguente link”
In altri casi si tratta di offerte allettanti come proposte di lavoro, download di coupon contenenti sconti per hotel, viaggi o altro.
Rischi phishing in farmacia
La farmacia retail italiana, perlomeno nella situazione corrente dove la presenza delle catene è limitato, si colloca, rispetto agli attacchi di phishing, a metà strada fra quelli destinati alle aziende e quelli al singolo consumatore.
Nel phishing alle aziende, sempre fondato sulla psicologia dell’ingegneria sociale, l’attaccante può simulare le sembianze di molti attori quali: clienti, fornitori, colleghi, autorità pubbliche.
Nel phishing al singolo consumatore l’attaccante assume quasi sempre le sembianze di grossi brand, molto conosciuti principalmente nell’ambito digitale.
Il traffico di e-mail della farmacia, spesso confuso col traffico personale del farmacista, è molto limitato.
Raramente il farmacista comunica direttamente col paziente/consumatore via email o Whatsapp, la tendenza resta sempre quella di portare “fisicamente” il consumatore nella farmacia.
Nei casi dove la farmacia ha attivo un canale di vendite on-line si genera un traffico maggiore di e-mail che, in linea di principio, aumenta la probabilità di successo di una mail malevola. Il canale resta però limitato e quasi sempre gestito da terze parti attraverso piattaforme specifiche di e-commerce.
In questa situazione, almeno per il momento, il rischio di attacco phishing ad una farmacia non è molto diverso, per qualità e quantità, a quello di un singolo consumatore. Le conseguenze però, in caso di successo dell’attacco, ad esempio con l’istallazione di un ransomware che blocca tutte le attività informatiche della farmacia, sono molto più gravi.
Qualche raccomandazione
Un attacco di phishing può avere effetti devastanti sulla farmacia, soprattutto se l’attacco mira al blocco di tutte le attività informatiche gestite dalla farmacia: ricetta dematerializzata dei farmaci e dei prodotti veterinari, ordini on line, servizi CUP etc. etc.
Poiché l’attacco di phishing sfrutta la vulnerabilità psicologica dell’utente finale, il farmacista deve essere sensibilizzato sul tema e formato a riconoscere gli elementi che caratterizzano un’e-mail malevola.
Indubbiamente firewall, antivirus ed antispam, creano un primo livello di protezione; in tale contesto sono determinanti le decisioni della farmacia in merito a quali strumenti adottare.
Nei casi però, molto frequenti, dove l’indirizzo e-mail della farmacia coincide con quello personale del farmacista, le protezioni tecniche potrebbero essere carenti o assenti; in questi contesti la consapevolezza del farmacista sui rischi e le conseguenze di un attacco phishing via e-mail è fondamentale.