Cybersecurity: come proteggersi al meglio

Foto di Adi Goldstein su Unsplash

Uno dei timori più ricorrenti tra gli utilizzatori di prodotti tecnologici è la possibilità di incappare in virus o, in generale, in malware che possano portare a veri e propri danni anche a livello patrimoniale, con l’attacco a sistemi di pagamento o profili di e-banking. Spesso si legge sui portali di stampa, ancor più che sui giornali cartacei, di persone frodate a cui abbiano clonato la carta di credito o svuotato il conto corrente ma ci sono casi anche più frequenti ma non considerati sufficientemente come il furto di identità o la semplice duplicazione dei dati e dei contatti dei profili social ma anche la duplicazione delle password di accesso alla rete domestica per accedere al web con un indirizzo IP altrui ed è evidente che queste azioni possano portare a dei problemi seri.

Di questi ultimi le perdite patrimoniali sono le più evidenti ma un furto di identità o l’accesso alla propria connessione, mobile in tethering o direttamente tramite il wifi domestico, sono anche più dannose perché i malintenzionati le potrebbero utilizzare per commettere illeciti, dalla violazione di siti istituzionali alle frodi telematiche con evidenti ricadute legali sulla vittima del furto di informazioni. La domanda che sorge spontanea, a questo punto, è il leniniano “che fare?” ovvero “come proteggersi al meglio”?

Il punto vero da tenere in considerazione, dal lato della sicurezza informatica, non è la vulnerabilità dei sistemi, banche e istituzioni, ad esempio, hanno dei sistemi di protezione estremamente efficienti così come il computer che abbiamo in casa o lo smartphone non sono violabili, in sé dal primo pirata che passa, ma c’è un punto vulnerabile che non è una backdoor del SO e nemmeno la facilità di inserirsi come “man in the middle” nella comunicazione tra il dispositivo nelle mani dell’utente e i server su cui lavora ma sei tu che leggi queste righe! Questa non è certo una bella notizia, volendo vedere, ed è piuttosto choccante per chiunque venire additati come il rischio maggiore che possa esistere dal lato della sicurezza dei propri archivi o delle applicazioni più usate ma è la realtà.

In realtà non esiste alcun sistema informatico completamente impermeabile agli attacchi informatici e non è possibile pensare ad una sicurezza assoluta ma le protezioni che sono già inserite nei programmi a disposizione del pubblico o dei server e dei mainframe che gestiscono i dati per le piattaforme più diffuse sul web o di aziende e enti pubblici hanno un elevato grado di sicurezza e implicano uno sforzo, anche solo di tempo, per “bucarli” che renderebbe, spesso, antieconomica qualsiasi attività in tal senso, è meglio e più redditizio puntare al punto più debole della “fortezza” che è proprio l’operatore umano. Basta una disattenzione, per la stanchezza o per la fretta ad esempio, che un “pirata” può utilizzare per entrare in aree protette ed ecco che il danno è fatto.

Si pensi alla nuova password aziendale annotata su un foglietto, poi, buttato nel cestino o al collegamento alla rete con connessioni gratuite e non protette, magari in mezzo alla gente che può anche osservare quello che si sta facendo dallo schermo; queste sono solo alcune delle situazioni di rischio che nella stragrande maggioranza delle volte non avranno alcuna conseguenza ma se anche il reperimento delle credenziali avvenisse in meno dell’1% dei casi questo potrebbe portare a dei danni irreparabili, dal furto di dati e di identità alla sottrazione di cifre ingenti dai rapporti bancari.

Sicuramente si sarà letto, più volte, sui media di casi di persone che si siano visti ripulire il conto corrente o il plafond della carta di credito a opera di malintenzionati che, solitamente, si fanno passare come operatori della banca su cui il soggetto intrattiene i rapporti, il primo pensiero, non nascondiamolo, è di compatimento o, addirittura, di scherno ma se ci si pensasse un secondo ecco che ci si renderebbe conto che la cosa potrebbe capitare quasi a chiunque.

Come funziona, solitamente, il raggiro? Il modus operandi è piuttosto semplice e parte sempre da una comunicazione via mail (phishing) o via SMS (smishing) allarmante, spesso indicante un’operazione sospetta da controllare alla svelta o un adempimento urgente da effettuare via home banking, solitamente accompagnati dal link con cui fare l’accesso al proprio profilo. Quest’ultimo, di norma, rimanda ad una pagina di login su un sito clone che richiede le credenziali di accesso e un numero telefonico di controllo (che nei portali di e-banking non c’è mai), l’urgenza e la tensione fanno, spesso, perdere di lucidità e dopo aver compilato il form e dato invio ecco che si plana su una pagina di blocco. Sale l’agitazione ed ecco che il telefono squilla, alla risposta, dall’altro capo della cornetta, risponde la voce rassicurante di un tecnico dell’assistenza che è stato allertato dall’accesso sospetto e che sta facendo un controllo. Una sensazione di sollievo comincia a farsi breccia nella mente del malcapitato soprattutto di fronte alle precise e rassicuranti parole dell’operatore che, però, fa parte del team di truffatori e che non ha alcun rapporto con l’istituto di credito o con il gestore della carta di credito. Qui inizia il vero raggiro facendo accedere la persona al vero portale e seguendolo passo passo, facendosi, poi, confermare delle “operazioni di prova” oppure facendosi dare i codici per abilitare la 2FA (l’autenticazione a due fattori) su un terminale mobile in mano alla squadra di malintenzionato oppure, ancora peggio, facendo installare un’app che permette il controllo in remoto del terminale che genera l’autenticazione forte alle operazioni. Tempo dieci minuti e il conto corrente viene azzerato o quasi.

Come difendersi, quindi? Rendendosi conto di essere, come essere umano, l’unico vero punto con cui i malintenzionati possano fare breccia, con maggiore facilità, sui vari profili informatici e alzare l’attenzione in tutto quello che si faccia ponendo dei semplici accorgimenti per evitare spiacevoli sorprese: dall’uso di password complesse e non “qwerty” (che è una di quelle più diffuse), all’accesso a internet solo tramite connessioni protette e alla calma nella gestione dei messaggi ricevuti. Quest’ultima è il punto fondante, se anche arrivasse una comunicazione di allerta verosimile non bisogna mai usare il link indicato ma collegarsi a quello certificato, magari salvato nei “preferiti” del browser, ad esempio, non scaricare mai programmi e app da piattaforme non certificate e munirsi di un buon antivirus che non è risolutivo ma aiuta sempre.

Nico Cereghini, quando faceva le prove delle nuove moto appena arrivate sul mercato, concludeva i suoi video con la frase, diventata iconica, “Casco in testa ben allacciato, luci accese anche di giorno, e prudenza, sempre!”, ecco questo potrebbe essere declinato anche per l’uso del web e dei sistemi informatici in generale e fissato nella propria testa.