Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Nel dominio cyber contemporaneo, uno degli errori più frequenti è immaginare l’attacco soprattutto come un fatto tecnico: malware, exploit, vulnerabilità. Questo resta vero, ma sempre più spesso la fase decisiva arriva prima e riguarda la persona, non il dispositivo.
Il caso della Dr. Tehilla Shwartz Altshuler, responsabile del programma Democracy in the Digital Age dell’Israel Democracy Institute, è utile proprio per questo. Nel suo racconto pubblico descrive un tentativo di spear-phishing costruito attraverso un contatto iniziale apparentemente credibile, attribuito a una figura coerente con il suo ambiente professionale, seguito da interazioni su WhatsApp, dall’invio di un PDF e infine da una richiesta operativa che avrebbe potuto portare alla compromissione del computer. La vittima non ha cliccato sul link finale e, per quanto emerge dal suo stesso racconto, il tentativo non è andato a buon fine.
L’interesse del caso non sta soltanto nel fatto che l’attacco sia fallito, ma nel metodo impiegato. Non si tratta del phishing tradizionale, riconoscibile per toni grossolani, errori evidenti o urgenze artificiali. Qui l’elemento centrale è la costruzione di un rapporto plausibile. Il mittente apparente appartiene a un contesto professionale credibile, il tono è misurato, il dialogo si sviluppa in modo progressivo e i materiali condivisi sono coerenti con il profilo della destinataria. In altre parole, la leva non è l’allarme, ma la normalità.
Questo aspetto merita attenzione perché mostra bene come oggi lo spear-phishing punti innanzitutto a sfruttare meccanismi cognitivi e sociali. Una persona esposta in ambito istituzionale, accademico, imprenditoriale o mediatico tende a ricevere contatti, richieste di pareri, inviti, documenti e proposte di collaborazione. Proprio questa normalità professionale crea uno spazio di vulnerabilità. L’attaccante non forza la diffidenza: prova invece a inserirsi in un flusso comunicativo che la vittima considera abituale.
In questo schema la raccolta informativa preliminare è essenziale. Un attore ostile non ha bisogno, almeno nella fase iniziale, di violare sistemi complessi per preparare un attacco credibile. Spesso gli basta osservare. Profili pubblici, pubblicazioni, conferenze, contatti professionali, biografie istituzionali e presenza sui social possono offrire abbastanza elementi per costruire un messaggio su misura.
Un altro elemento importante del caso è il passaggio tra canali diversi. Email, messaggistica istantanea, documenti allegati e richiesta finale di interazione tecnica non sono fasi casuali. Sono passaggi che rafforzano progressivamente la credibilità dell’interlocutore.
Conta anche il momento in cui avviene la richiesta finale. Altshuler racconta che la fase conclusiva è arrivata mentre si trovava a una conferenza a Nuova Delhi. Questo dettaglio è rilevante perché viaggi, eventi, incontri istituzionali e giornate dense di impegni riducono il tempo disponibile per verifiche puntuali e aumentano la probabilità di risposte rapide.
Sul piano dell’attribuzione occorre mantenere prudenza. Nelle fonti pubbliche disponibili sul caso specifico non emerge una attribuzione forense definitiva. Esiste però un contesto che rende l’episodio coerente con campagne già segnalate. Nel dicembre 2024 lo Shin Bet ha dichiarato che operatori iraniani avevano tentato oltre 200 operazioni di phishing contro figure israeliane di alto profilo.
La lezione più importante va oltre il singolo episodio. La stessa architettura di attacco può essere adattata a obiettivi diversi: ingerenza politica, spionaggio industriale, accesso a reti decisionali e manipolazione del contesto mediatico.
Chi assume responsabilità pubbliche o istituzionali dovrebbe partire da una premessa semplice: spesso non è bersagliato per ciò che possiede materialmente, ma per la posizione che occupa nella rete delle relazioni.
In definitiva, casi come questo ricordano che la superficie d’attacco reale non coincide soltanto con il sistema informatico, ma anche con la biografia pubblica della vittima e le sue abitudini professionali.
