Home»Digital Life»7 azioni semplici per difendere i tuoi account digitali e i dati personali

7 azioni semplici per difendere i tuoi account digitali e i dati personali

Un vademecum per evitare di esser raggirati da hacker esperti. Dalla password forte all’analisi di link e url, poche semplici mosse per preservare i nostri dati.

0
Condivisioni
Pinterest Google+

Come in ogni realtà che si rispetti, anche nel mondo virtuale esistono infiniti rischi, che potrebbero arrecare gravi danni nella vita concreta di un qualsiasi utente. La rete è uno strumento ormai indispensabile per chiunque e per svolgere svariate attività, ma spesso si accettano termini di iscrizione o si acconsente a determinati criteri senza nemmeno valutare le possibili ritorsioni. Ultimamente sono migliaia i corsi di formazione nati con l’intento di aumentare la consapevolezza sulla sicurezza dei dati online e sull’utilizzo corretto delle piattaforme social proprio perché, data la complessità di questo mezzo, è utile avere delle chiare “istruzioni per l’uso”. Per parlare di rischi virtuali e dare utili consigli su come prevenire danni ingenti, riepilogheremo i punti salienti del caso circa la maxi campagna di spam e phishing via mail, della quale ha dato una primaria allerta la Polizia Postale lo scorso mese.

Spam, phishing e truffe del web – quali sono i rischi?

Chiunque abbia un proprio indirizzo di posta elettronica avrà almeno una volta rilevato la presenza di fastidiosi messaggi di spam nella propria e-mail box. Queste non sono altro che e-mail inviate in modo reiterato a centinaia di utenti che, in base al contenuto del messaggio, possono essere suddivise in due categorie:

  • “Unsolicited commercial e-mail”, ossia e-mail commerciali non richieste, espressione convenzionalmente abbreviata con l’acronimo UCE
  • “Unsolicited bulk e-mail” o UBE, mailing di massa non richiesti, dagli intenti non commerciali.

La campagna di spam sopra citata sfrutta questo meccanismo di mailing, unendo ad esso il così detto phishing – una strategia che induce con l’inganno l’utente a rivelare le proprie informazioni sensibili, come dati personali, numeri di conto corrente e di carta di credito, codici di sicurezza per l’accesso a banche dati ed altro. Il metodo attraverso cui la frode viene messa in atto ha inizio con l’invio di un’e-mail, l’apparizione di un link in Facebook, o un banner pubblicitario in qualche applicazione molto usata dall’utente. Spesso il messaggio in questione ha come mittente una fonte apparentemente attendibile e/o istituzionale, il che spesso convince in modo subdolo il mal capitato a condividere le proprie informazioni riservate. Purtroppo, nel tempo, i phisher hanno affinato la propria capacità di raggirare gli utenti, rendendo i link del tutto simili alla denominazione di un noto sito legittimo. Le tecniche sono svariate, dall’utilizzo di sottodomini che imitano le effettive denominazioni, a l’uso di veri e propri nomi di dominio particolarmente lunghi e complessi, magari intervallati da vari trattini.

Leggi anche: “Facebook è davvero vulnerabile? Sotto attacco anche il profilo di Zuckerberg”

Siti hard e hacker internazionali

I casi di spamming e phishing registrati negli anni sono centinaia. Analizzare il più recente, cioè l’avviso lanciato dalla Polizia Postale lo scorso 20 settembre, è un utile esempio di questa pratica online a scopo estorsivo. In questo caso gli utenti vengono minacciati attraverso l’invio di una e-mail in cui gli stessi sono avvisati dell’hackeraggio del proprio account di posta elettronica ad opera di un gruppo internazionale di Criminali. Il modo attraverso cui l’hacker avrebbe agito prevede l’inoculamento di un virus mentre venivano visitati siti per adulti. Conseguentemente viene fatta richiesta esplicita di denaro in criptovaluta per non divulgare a tutti il tipo di siti hard visitati. In grassetto la rassicurazione della Polizia recita “ATTENZIONE, nulla di tutto ciò è reale: rappresenta  un’invenzione dell’autore del reato, elaborata al solo scopo di gettarci nel panico ed indurci a pagare la somma illecita: è tecnicamente impossibile, infatti, che chiunque, pur se entrato abusivamente nella nostra casella di posta elettronica, abbia potuto – per ciò solo – installare un virus in grado di assumere il controllo del nostro dispositivo, attivando la webcam o rubando i nostri dati”.

Ma come riconoscere le mail di phishing per starne alla larga?

A stilare un utile vademecum è Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino specializzata in sicurezza informatica. “Originariamente gli utenti malevoli inviavano numerose mail di phishing ad utenti selezionati casualmente. Con il passare del tempo, però, gli hacker hanno innalzato l’asticella, iniziando ad inviare mail di phishing targettizzate – chiamate in gergo “Spear Phishing” –  quindi cucite sull’utente stesso, sui suoi interessi, esperienze passate, connessioni familiari ed altri dettagli”. Queste le parole di Hassan Metwalley, founder di Ermes Cyber Security, che prosegue affermando:

L’uso di questo tipo di messaggi incrementa enormemente le possibilità di successo dell’attacco. Per preparare attacchi del genere è indispensabile avere una conoscenza approfondita del proprio obiettivo. Queste informazioni possono essere anche semplicemente reperite dal profilo social dell’utente, ma sempre più spesso gli hacker ricorrono ai Web tracker, servizi che raccolgono dati per tracciare le abitudini degli utenti.

Di solito le informazioni registrate dai Web tracker vengono usate in modo innocuo per proporre contenuti mirati sulla base delle operazioni che compiamo sul Web. Tuttavia, è stato documentato come questi stessi strumenti possano essere utilizzati per spiare costantemente le attività degli utenti e raccogliere informazioni sensibili e private.

Leggi anche: “Fake news: nasce “Rosetta”, il nuovo algoritmo Facebook che riuscirà a smascherarle”

Tutela la tua sicurezza in 7 mosse

I consigli elargiti dalla Polizia Postale nell’avviso sono pochi e immediati. In primis mantenere la calma e ragionare razionalmente, dato che con molta probabilità gli hacker non sono in possesso di video compromettenti o delle password dei profili social da cui ricavare la lista di amici o parenti. Successivamente si invita l’utente a non pagare il risarcimento, poiché spesso ciò provoca un accanimento nelle richieste estorsive, al fine di ottenere ulteriore denaro. Importante è poi proteggere adeguatamente la propria e-mail: cambiando la password, utilizzando password complesse e diverse per ogni profilo, oltre ad abilitare, ove possibile, meccanismi di autenticazione “forte” ai nostri spazi virtuali, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul nostro telefono cellulare.

Gli esperti di Ermes Cyber Security, invece, racchiudono i segreti per riconoscere le e-mail di phishing e difendersi dalla minaccia hacker in 7 mosse:

  1. Verificare il mittente dell’e-mail – fare un controllo minuzioso, scoprendo nei dettagli del messaggio ricevuto quale sia l’indirizzo da cui proviene e se lo si ritenga affidabile. Purtroppo, questo controllo non è infallibile. Hacker e malintenzionati, infatti, riescono facilmente a mascherare il proprio indirizzo attraverso l’e-mail spoofing, ovvero la pratica che consiste nell’impostare un indirizzo ufficiale come nome del mittente. L’utente distratto potrebbe quindi essere più facilmente ingannato e tenderà a fidarsi della comunicazione ricevuta. Ermes Cyber Security suggerisce quindi di fare un passaggio in più e controllare le intestazioni, header, dell’e-mail ricevuta.
  2. Occhio agli allegati – mai e poi mai scaricare allegati di mail di cui non si è sicuri. Anche semplici file come .pdf o .doc possono essere veicolo di malware o di altri file eseguibili (.exe o simili) che possono installare virus o backdoor sui dispositivi.
  3. Attenzione all’URL – fare caso all’indirizzo effettivo del sito visualizzato nella stringa del browser. Il più delle volte le e-mail di phishing informatico invitano l’utente a cliccare su un link malevolo che riporta a un sito trappola, per far sì che il malcapitato riveli dati e informazioni personali. Cliccando sul link, eventualmente, ci si potrebbe ritrovare in un sito uguale a quello originale, in quel caso l’attenzione all’URL , che potrebbe presentare un’estensione di dominio diversa dal normale, dev’essere massima.
  4. Proteggi anche i social – sempre più comune è il phishing tramite social network, con la violazione degli account che diventano a loro volta veicolo di infezione. Il consiglio in questo caso è di stare attenti se un amico invia link dubbi, catene o richieste di aiuto, magari scritte in un italiano sgrammaticato, a non cliccare o diffondere il contenuto ad ulteriori contatti. Utile in questo contesto fare un controllo nella propria cerchia di contatti, non accettarne di nuovi senza che si abbia un qualche elemento di valutazione e magari contattare il mittente della catena per chiedergli qualche informazione in più.
  5. Studiare l’aspetto dell’e-mail – delle e-mail è importante valutare sia contenuto sia forma. Se viene usato un italiano scorretto ed appellativi troppo generici, per esempio ‘gentile utente della Banca’, potremmo essere di fronte ad una banale traduzione meccanica di un testo, che viene spedito a migliaia di utenti in tutto il mondo.
  6. Segnalare ai provider – non solo è possibile segnalare le e-mail di spam, ma molti provider permettono di fare la stessa operazione anche con quelle di phishing. Questo strumento è utile anche per altri utenti, poiché aiuta il sistema a classificare definitivamente in black list specifici indirizzi e-mail o interi domini fraudolenti.
  7. “Difendere a monte” – soprattutto nel caso delle aziende, è sempre più importante proteggersi a monte dagli attacchi informatici, attraverso soluzioni automatizzate che filtrino alla base questo genere di spam.

di Federica Tuseo

Articolo Precedente

In Italia arriva Nextdoor: il social della porta accanto per scambiarsi favori con i vicini

Articolo Successivo

Project manager professione del futuro: nei prossimi 10 anni ne serviranno 22 milioni

Nessun Commento Presente

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *