Il DOJ ha avviato nei giorni scorsi una curiosa iniziativa per monitorare il che modo i propri apparati possano essere vulnerabili agli attacchi di phishing. Il Dipartimento di Giustizia americano, infatti, avrebbe simulato un attacco per vedere come il proprio personale avrebbe risposto alle sollecitazioni. Approfondendo il caso è emerso inoltre come non sia nemmeno la prima volta che la cosa succede, ma da almeno tre anni l’ente starebbe portando avanti iniziative simili a scopo preventivo.
Il phishing è un fenomeno difficile da debellare: i filtri sviluppati nel tempo rimangono perfettibili ed il contatto tra la mail e l’utente rimane un momento difficilmente prevedibile. Sta proprio nell’utenza, però, il filtro più valido: un dipendente ben addestrato al sospetto, infatti, sa come muoversi nel momento in cui riceve una mail dubbia e sa di conseguenza agire secondo le migliori modalità ed evitando di cadere nelle trappole create da appositi malintenzionati. Monitorare direttamente i propri dipendenti, quindi, sembra essere una procedura intelligente per capire dove siano i punti deboli dell’azienda e dove sia possibile intervenire per ottimizzare la sicurezza del sistema.
La conferma giunge da Gina Talamona, portavoce del Dipartimento di Giustizia: le mail inviate tra il 25 ed il 27 gennaio ai dipendenti del DOJ erano effettivamente fasulle e facevano parte di un programma per valutare come e se i dipendenti sarebbero caduti nella trappola cliccando sui link proposti e consegnando eventualmente i dati richiesti. L’esercizio permette di tenere alta l’attenzione e di capire se vi siano dipendenti ancora da formare relativamente ai pericoli del phishing.
L’iniziativa del DOJ ha scopo educativo ed è priva di pericolosità in quanto condotta internamente e senza possibili danni. Tuttavia la questione ha acceso un piccolo caso interno, con mail inviate tra colleghi per evitare il diffondersi di quella che era stata identificata come una truffa. La DOJ è pertanto dovuta intervenire chiedendo ai dipendenti di cancellare la mail in oggetto e di evitare denunce alle forze dell’ordine in quanto trattasi nel caso specifico di un semplice esperimento precauzionale e non di un vero e proprio attacco. Trattasi, peraltro, di una iniziativa di “autophishing” da cui potrebbero e dovrebbero prendere esempio molte aziende o molti altri enti pubblici. Il DOJ non ha però al momento rilasciato i risultati del test in corso, limitandosi a validare le descrizioni relative alle modalità con cui il test è stato portato a compimento.