La cibersecurity dipende da te

Quando parliamo di cibersecurity a cosa pensiamo? Sai difendere adeguatamente i tuoi dati  personali, le tue password, il tuo conto corrente bancario da eventuali attacchi fraudolenti? Facciamo il punto insieme, andando a tracciare anche le possibili evoluzioni di questo settore nel prossimo anno.

C’era una volta… il tema della sicurezza aziendale.

La mattina andavi in ufficio e per utilizzare il PC avevi una serie di regole da seguire, c’erano “cose” che non potevi fare, siti che non potevi navigare, password che dovevi rigenerare con regole improbe, etc.

Oggi, se fai parte della categoria “smart working”, “home working” o semplicemente “uso il portatile/cellulare sia per lavoro che per cazzeggio” sai che gestire i tuoi dispositivi con troppa leggerezza, dal punto di vista della sicurezza, può avere effetti devastanti.

Spesso immaginiamo che la sicurezza informatica sia una materia molto tecnica, dove hacker geniali usano tecniche informatiche spettacolari per “entrare” nel PC della vittima designata.
In realtà i due terzi degli attacchi vengono architettati da singoli individui che sanno perfettamente dove colpire… e non al PC bensì agendo sull’anello più debole della catena: la credulità delle persone!

E’ possibile che così tanta gente cada in queste trappole? Assolutamente!
Ti porto un esempio di un tipo di “attacco” salito alle luci della ribalta lo scorso anno.

Hai mai sentito parlare di “CEO fraud”?
Si tratta di una mail che pensi stia arrivando da un tuo superiore dove viene chiesto di fare qualcosa di specifico, tipo un pagamento o condividere dati sensibili. Se non sei allenato per capire l’inganno la frittata è fatta.

Ecco un esempio:

From: John Smith
Sent: Monday, 13 November 2017 11:27 AM
To: Susan Brown
Subject: Urgent Attention

Are you available to handle an international payment this morning?
Have one pending, let me know when to send bank details.

Regards
John Smith
Sent from my iPhone

E’ incredibile quante persone siano cadute in questo tranello messo in atto dal malintenzionato di turno!

Un’altra email classica è quella dove ti scrivono per comunicarti che sanno che visiti siti porno e che hanno una registrazione di te che li guardi.
Se non vuoi che il video venga divulgato hai 48 ore per cliccare sul link e fare un pagamento in bitcoin.

Stai tranquillo: anche se guardi siti porno, cancella pure la mail e non accadrà nulla 🙂

Infine, un super classico: le mail da paypal o dal tuo home banking dove ti si chiede di cliccare su un link e fare il login o inserire dei dati sensibili. NON FARLO!

Molte banche hanno inviato mail  per avvertire i propri correntisti del pericolo.
Ecco per esempio una mail di ING che manda periodicamente ai suoi clienti:

Sai cos'e' successo a Gigi, un cliente ING proprio come te?  

Ha ricevuto un'email molto simile a quelle di ING, così simile che, senza alcun sospetto, ha subito cliccato sul link nell'email e - ops! - e' atterrato in una pagina di login, che sembrava proprio la nostra. Così Gigi ha ingenuamente inserito il suo codice cliente, la data di nascita e il suo PIN e ha abboccato!  Cosa non avrebbe dovuto fare Gigi?     

Accedere all'Area Riservata tramite il link di un'email: nelle nostre comunicazioni non troverai mai un link che ti porta in modo diretto a dover inserire i tuoi codici identificativi.     

Fornire informazioni personali: nessuna email ti chiederà mai informazioni personali, il tuo numero di telefono, le domande e le tue risposte di sicurezza.

E’ evidente che i tempi dove arrivavano le mail dal “principe Nigeriano” che voleva regalarci un sacco di soldi, con testi pieni di errori grammaticali, sono ormai storia.

UPDATE dell’ultimo minuto: aggiungo un ulteriore esempio appena segnalato. Stanno arrivando finte email dall’Agenzia delle Entrate con allegati un file “VERDI.doc” che se aperto installa il ransomware Maze. Fate attenzione! 

Gli attacchi di cui stiamo parlando sono frutto di “social engineering”, cioè di uno studio dei profili social della vittima per carpire le informazioni necessarie per fare attacchi mirati e realistici.

Che dati è possibile reperire dai social?

La data di nascita; la foto di famiglia con il nome dei famigliari e la data di compleanno di amici e parenti; l’indirizzo di casa; dove lavori; il numero di cellulare; e questo solo per fare alcuni esempi!

Alcuni consigli da mettere in atto da SUBITO:

  • fai un po’ più di attenzione sui dati sensibili che condividi on-line
  • tieni sempre aggiornati PC e cellulare. Il cellulare in particolar modo è sempre più un ghiotto bersaglio per gli hacker.
  • usa un password manager, cioè un’applicazione che ti aiuti a gestire, generare e ricordare le password, in questo modo puoi avere una password differente per ogni servizio (email, social, etc)
  • usa una VPN (virtual private network) se usi un dispositivo per collegarti tramite wi-fi, questo ti permette di navigare in modo più sicuro
  • fai backup periodici dei tuoi dati, come ad esempio i numeri di telefono in rubrica, le mail importanti ecc... Questa indicazione di buon senso suona come “ricordati di salvare spesso il documento sul quale stai lavorando”, e poi sistematicamente invocare tutti i santi passati e futuri quando si perdono ore di lavoro. 🙂

Alcune previsioni per il 2020

Concludo indicando le probabili evoluzioni legate alla cyber-sicurezza per il 2020:

  • Aumento dei ransomware.
    Se ti dovesse capitare di essere vittima di ransomware le prime due cose da fare sono:
    1 - stai calmo. Il 30% degli attacchi ransomware si possono annullare.
    2 - hai fatto il backup dei dati come ti suggerivo nel paragrafo precedente? 🙂
  • Gli attacchi phishing non avverranno più solo via mail.
    Aspettiamoci che tenteranno di prenderci dati sensibili come login e password anche via SMS, social media o piattaforme di gaming.
  • Malware su mobile.
    Questi attacchi aumenteranno con l’intento di rubare i tuoi dati home banking o di pagamento online.
  • Conseguenze legate all’introduzione del 5G.
    Il 5G porterà con sé l’aumento esponenziale di oggetti (IoT - internet of things) collegati online. Aumenterà la quantità di informazioni che trasmetteremo, quindi questi dispositivi diventeranno anche un nuovo punto di accesso per i malintenzionati, e la sicurezza per questi dispositivi è ancora tutta da consolidare.
  • L’AI al servizio della sicurezza.
    L’intelligenza artificiale permetterà di rispondere più velocemente ai tentativi di attacco, ma l’intelligenza artificiale verrà utilizzata anche per portare avanti attacchi più sofisticati.