Assistiamo al dilagare di sempre più numerose minacce informatiche di vario genere, ovvero campagne di phishing e spam che, sfruttando la situazione di smart working "in emergenza" e l’ondata di emotività e allarmismo creata dalla diffusione del coronavirus, fanno arrivare via mail vari tipi di malware che cercano di rubare informazioni personali o ricattare le vittime. Nella gran parte dei casi più recenti l’utente viene spinto a cliccare su un link che lo porta su una finta pagina della propria banca dove si chiede di inserire i dati e-banking con pretesti di vario genere (ad esempio bloccare un bonifico importante, mai realmente effettuato).
Gli altri principali attacchi a “tema” coronavirus riportati ad oggi sono i seguenti:
-Mail o messaggi fasulli riportanti presunte informazioni sanitarie apparentemente provenienti da OMS o altre autorità sanitarie;
-Pagine di login a Office 365 online abilmente falsificate;
-False mappe del contagio in tempo reale dichiarate provenienti dalla Johns Hopkins University;
-Applicazioni Android malevole in grado di crittografare i dati sul telefono della vittima;
-Attacchi "comment spamming" che attraverso commenti su social o siti molto frequentati, diffondono link malevoli.
Cosa possono fare le imprese
Il perimetro aziendale (e di conseguenza del rischio) si è allargato a dismisura. Oggi i dispositivi personali dei dipendenti, spesso obsoleti e insicuri, sono in grado di accedere a dati ed applicazioni aziendali. Per contrastare gli attacchi di social engineering a danno di utenti, data breach e diffusione di informazioni riservate, le imprese possono adottare precauzioni e misure di sicurezza per gli accessi da remoto a dati e applicazioni aziendali.
L'impresa può innanzitutto invitare i propri dipendenti a prestare la massima cautela verso le campagne di phishing e soprattutto diffondere le misure organizzative da adottare per lavorare in piena sicurezza anche da casa.
E' importante, superata la prima fase di emergenza, attivarsi per bonificare le situazioni più a rischio, mettendo in sicurezza dati e sistemi incautamente esposti a causa dell'emergenza, fornendo progressivamente hardware aziendale più sicuro ai dipendenti e diramando policy e regolamenti specifici per la situazione peculiare nella quale ci troviamo, con un occhio di riguardo alla protezione dei dati personali. Si consiglia fortemente l'adozione di procedure di sicurezza per le disposizioni amministrative (validazione incrociata da parte di due o tre impiegati, verifiche telefoniche IBAN). Non considerare l'autenticazione a due fattori assolutamente sicura. Il sistema è già stato più volte compromesso con un cambio SIM fraudolento (per operazioni bancarie).
Risulta fondamentale l’impiego di Virtual Private Network (VPN) sicure in  modo da poter mantenere privata e crittografata la connessione alla rete aziendale.
E' opportuno infine effettuare una ricognizione sulle politiche di backup in corso: sono ancora valide con lo scenario attuale? Che tipo di interventi potrebbero essere messi in campo per mitigare i rischi?
Cosa può fare l'utente
Per contrastare questo fenomeno in rapida evoluzione, l'utente oltre a dotarsi di un antivirus anche gratuito ma costantemente aggiornato, deve innanzitutto operare con cautela e seguire delle semplici regole di buona pratica valide per contrastare, in generale, sia il phishing sia lo spam malevolo:
-Attenersi scrupolosamente alle disposizioni aziendali;
-Verificare sempre il mittente controllando l’indirizzo email;
-Controllare dove puntano realmente i link contenuti nei messaggi di posta prima di fare clic: basta passarci sopra con il mouse e leggere l’indirizzo reale nella barra di stato (quasi sempre in basso) del programma di posta elettronica. Spesso gli indirizzi sono falsificati nella prima parte del dominio, mentre sul finale rivelano il "trucco". Esempio: Univa-Varese.sitoqualunque.ru oppure Banca-TUA.sitoqualunque.website. Nel dubbio chiedere conferma;
-Prestare attenzione quando si forniscono informazioni personali: non fornire mai le proprie credenziali a terzi; se abbiamo fornito informazioni riservate, reimpostiamo al più presto le credenziali di accesso sui siti ufficiali ed avvisiamo i responsabili IT. Nessuna banca o altra autoritàci chiede le nostre credenziali;
-Scaricare app solo dagli store ufficiali Google e Apple;
-Non farsi prendere dal panico o sentirsi sotto pressione, cedendo a trucchi ideati apposta per far cliccare su collegamenti o aprire allegati malevoli. "Pensa, verifica e, se sei proprio sicuro, clicca";
-Tenere sotto controllo la proliferazione di file contenenti dati riservati o personali sul proprio pc, supporti mobili o cloud privati. Valutate sempre cosa vale la pena (o siete autorizzati a) conservare e cosa potrebbe succedere se quei file cadessero nelle mani sbagliate.