3 punti chiave
- Il phishing è una minaccia più grande di quanto le scuole credano: Solo il 27% dei distretti scolastici ritiene che il phishing sia un rischio elevato, ma è uno dei principali metodi con cui gli hacker prendono di mira le scuole primarie e secondarie, mettendo a rischio studenti, personale e dati.
- La consapevolezza e la verifica sono fondamentali: Insegnare al personale scolastico a riconoscere le e-mail di phishing e a verificare le richieste sospette tramite telefono o SMS, non tramite e-mail, per evitare di cadere in attacchi sofisticati.
- Utilizzare strumenti gratuiti e MFA resistenti: Piattaforme come Microsoft 365 e Google Workspace dispongono di funzionalità integrate per rilevare il phishing, mentre gli MFA resistenti al phishing come PassKeys possono bloccare gli hacker anche se rubano le credenziali.
Il phishing rappresenta una grave minaccia per le scuole primarie e secondarie, soprattutto perché molte non dispongono del budget o del personale necessari per affrontarlo direttamente. Nell'episodio 6 di Lightning Chat, John Genter, Chief Information Security Officer di Lightspeed Systems, e Brad White, Principal Applications Security Architect, si sono incontrati per parlare del phishing nelle scuole primarie e secondarie. Con oltre 30 anni di collaborazione nella sicurezza informatica e profondi legami con l'istruzione (John è stato membro del consiglio scolastico per 22 anni e Brad proviene da una famiglia di insegnanti), hanno spiegato perché il phishing è un problema più grave di quanto la maggior parte delle scuole pensi e hanno condiviso soluzioni pratiche ed economiche per combatterlo.
Le scuole sono bersagli di phishing più grandi di quanto si pensi
John ha dato il via alle danze con un fatto sorprendente da un Rapporto CoSN: "Solo il 27% dei distretti ha identificato il phishing come un rischio elevato". È una grande mancanza, soprattutto se si considera quanto affermato dalla Cybersecurity and Infrastructure Security Agency (CISA): "I malintenzionati stanno prendendo di mira le organizzazioni educative K-12 in tutto il paese, con impatti potenzialmente catastrofici su studenti, famiglie, insegnanti e dirigenti". Brad concorda, affermando: "Le scuole K-12 sono un bersaglio relativamente facile per diversi motivi". Perché? Ecco la ripartizione:
- Budget limitati: Spesso le scuole non possono permettersi strumenti di sicurezza informatica di prim'ordine.
- Piccoli team IT: Con meno persone diventa più difficile tenere sotto controllo le minacce.
- Mentalità sbagliata: Molte persone pensano che le scuole non siano un bersaglio valido, ma gli hacker sanno che sono un bersaglio facile.
John ha condiviso un esempio concreto: "Solo nelle ultime settimane, abbiamo visto cinque account compromessi di clienti che cercavano di phishing i dipendenti di Lightspeed". Brad ha spiegato come funzionano questi attacchi: "Gli autori delle minacce utilizzano sofisticati attacchi adversary-in-the-middle... rubando sia il nome utente e la password dell'utente sia il token di sessione, anche se utilizzano l'autenticazione a più fattori (MFA). Questi attacchi possono colpire chiunque, personale IT, insegnanti e chiunque altro, e possono aggirare l'autenticazione a più fattori (MFA) standard se non è progettata per bloccare il phishing.
Modi semplici e gratuiti per proteggersi dai tentativi di phishing nelle scuole
John e Brad erano chiari: non serve un budget elevato per iniziare a combattere il phishing. La consapevolezza è il primo passo. Brad lo ha detto in modo semplice: "La cosa più economica è semplicemente una maggiore consapevolezza. Assicuratevi che i vostri utenti sappiano di essere bersaglio di attacchi di phishing e che dovrebbero prestare particolare attenzione alle email inaspettate". John aveva una frase accattivante per questo, rielaborando Ronald Reagan: "fidati ma verifica", o meglio ancora, "non rispondere, verifica". I loro consigli includono:
- Controlla attentamente le email strane: Se un'email ti chiede di fare qualcosa di strano, come cliccare su un link, non rispondere. Chiama o invia un messaggio al mittente. Brad ha avvertito: "Abbiamo visto casi in cui gli autori della minaccia hanno preso il controllo della casella di posta elettronica del mittente".
- Coinvolgi tutti: Dai dirigenti ai custodi, assicuratevi che tutto il personale sappia di poter essere preso di mira e che cosa significa phishing.
Trucchi tecnologici per bloccare le cose
Dal punto di vista tecnologico, hanno spinto per un'autenticazione a più fattori (MFA) resistente al phishing. Brad ha affermato che i metodi MFA più comuni, come codici SMS o notifiche delle app, "possono essere rubati da attacchi Adversary-in-the-Middle". Invece, è meglio optare per "token basati su FIDO, come UVKey o PassKey... come Windows Hello". John ha aggiunto: "Anche un'autenticazione a più fattori di base è meglio di niente", ma quella resistente al phishing è un punto di svolta. Hanno anche indicato strumenti gratuiti in piattaforme come Microsoft 365 o Google Workspace:
- Tieni d'occhio i registri: Controlla se ci sono strane regole di posta elettronica, come messaggi contrassegnati come letti e spostati in cartelle nascoste o accessi da luoghi strani.
- Mantieni la guardia contro gli attacchi furtivi: Brad ha osservato: "Osserveranno il comportamento di un utente una volta ottenuto l'accesso... e avranno una macchina nelle vicinanze", rendendo difficile individuare accessi non autorizzati.
Limitare i danni del phishing con il minimo privilegio
Un'altra grande idea era quella di limitare l'accesso per ridurre i danni in caso di hackeraggio. Brad ha detto: "Non date loro automaticamente accesso a tutto. Date loro accesso a ciò di cui hanno bisogno". John ha paragonato la cosa a un sottomarino: "Se c'è una falla in una parte... non affonda l'intero sottomarino". Ecco come fare:
- Concedi solo l'accesso necessario: In Office 365 o Google Workspace, consenti al personale di utilizzare solo gli strumenti di cui ha bisogno, come la posta elettronica o Word, e non SharePoint o Teams.
- Modifica man mano che procedi: Se cambia il lavoro di qualcuno, aggiornane l'accesso per garantire la sicurezza senza rallentarlo.
Una formazione breve e frequente è meglio di lunghe lezioni
Dimenticate le sessioni di allenamento di un'ora una volta all'anno. John e Brad hanno affermato che promemoria brevi e regolari funzionano meglio. John ha raccontato come Lightspeed pubblichi un "suggerimento della settimana" nella sua newsletter, e a Brad è piaciuta l'idea di una "comunicazione più breve e regolare" per tenere tutti aggiornati. Hanno suggerito:
- Aggiornamenti settimanali: Invia brevi email con esempi concreti, come "ecco cosa sta succedendo ora... ecco alcuni link di altre organizzazioni K-12 che sono state compromesse".
- Semplifica la creazione di report: Incoraggiate il personale a segnalare rapidamente le email sospette, senza giudicarle.
Conclusione: attenzione al phishing
L'ultima parola di Brad è stata schietta: "Assicuratevi che i vostri utenti siano consapevoli di essere vittime di phishing. Sono sicuramente vittime di phishing, garantito, 100%". Ha insistito sull'utilizzo di passkey, che funzionano sulla maggior parte dei dispositivi, per gli account non studenteschi. John ha suggerito di consultare il rapporto CoSN e il sito web del CISA per ulteriori consigli.
Il phishing non è un problema solo per le grandi aziende: sta colpendo duramente anche le scuole. Diffondendo la consapevolezza, utilizzando l'MFA (Multi-Factor Authentication) a prova di phishing e sfruttando strumenti gratuiti, le scuole possono ridurre notevolmente i rischi. Come hanno dimostrato John e Brad nell'episodio 6 di Lightning Chat, alcune mosse intelligenti e a basso costo possono proteggere studenti, personale e dati. Guarda l'episodio completo e restate vigili!
