Il profilo di Mark Zuckerberg, fondatore di Facebook, è stato violato. Usava la stessa password, “dadada”, per Twitter, Instagram, LinkedIn, Pinterest. Ma gli era stata sottratta nel 2012 durante un’incursione su LinkedIn. Su Pinterest gli autori del furto hanno modificato il nome del profilo in ‘Hacked By OurMine Team’. Era già accaduto a Katy Perry, la popstar con più follower del Papa.Era il 6 giugno 2016.
Email ricattatorie e ransomware
Il 7 giugno la BBC inglese ha rilanciato l’allarme dei ricercatori di Intel sulle tipologie di ransomware che sono diventate 120. Tra queste spiccano i cryptolocker, software che una volta installati sul computer della vittima cifrano i file e li rendono illegibili a meno che non si paghi un riscatto al criminale che ha portato a termine l’operazione.
E che ti contatta via email con le istruzioni per pagarlo. Gli attacchi di ransomware sono aumentati da inizio anno del 3500%.
L’8 giugno il sito LeakedSource ha rivelato di essere in possesso di circa 32 milioni di account twitter inviatigli da una fonte anonima, “[email protected]”. Gli account sono adesso in vendita nel dark web (il web non indicizzato dai motori di ricerca dove siti e servizi necessitano di software appositi per esser usati). Si tratta di dati personali, indirizzi email, username e password. Per verificare che ci sia anche il tuo devi pagare, ma la eventuale rimozione dal loro database che ha 2 miliardi di account rubati, è gratuita.
Le password degli account rubati sono “password”, “123456”, “QUERTYOP”, e poi la data di nascita, il nome del gatto o dei figli.
Il 9 giugno la Polizia Postale e delle Comunicazioni ha diffuso l’allarme circa un nuovo fenomeno di “phishing”, cioè il tentativo di rubare informazioni attraverso la richiesta di dati personali. L’ultimo in ordine di tempo è basato sull’invio di e-mail aventi come falso mittente “Procura della Repubblica”, per la falsa notifica di un avviso di un procedimento penale a carico del destinatario per una serie di illeciti. Nel messaggio il destinatario deve seguire un link per scaricare un documento informativo che invece contiene un virus.
Il 10 giugno girava una email simile ma con un finto questionario Alitalia, e precedentemente era successo con un finto documento dei supermercati Lidl. In entrambi i casi i delinquenti cercavano di ottenere dati personali da usare e rivendere successivamente.
Nel darkweb un’email nominativa viene pagata 10 centesimi di dollaro, ma insieme ai dati fiscali vale anche un euro e con i numeri della carta di credito può valere da 10 a 70 dollari.
Ma che succede online?
Succede che gli italiani online sono ormai la metà della popolazione del Belpaese e 23 milioni di persone dai 18 anni in su ad aprile si sono collegate via smartphone o tablet alla rete. Sono pochi di più quelli che l’hanno fatto usando un pc.
Aumentando il numero di utenti online, aumenta il numero di persone che lo fanno senza una preparazione specifica e che usano gli strumenti digitali come una moderna lavatrice: cioè senza sapere come funzionano. Ma, a differenza della lavatrice, i danni potenziali per chi non protegge le proprie informazioni online sono notevoli, basti pensare a quanti di noi oggi si collegano ai servizi della pubblica amministrazione per pagare multe e tasse, ai siti delle banche per compiere transazioni, e che usiamo gli stessi account e gli stessi pc sia per svago che per lavoro e che questi contengono dati sanitari, foto di familiari, fatture e moduli di pagamento.
Il nostro sé digitale ormai ci precede sempre
Aumentando le attività e il numero di persone online, aumenta anche la platea di vittime potenziali di criminali che a partire da un profilo Facebook possono ricavare un’email personale a cui mandare virus sotto forma di documenti allegati che una volta aperti si installano nel computer e lo prendono in ostaggio fino al pagamento del riscatto. Oppure lo trasformano in un computer zombie da risvegliare per operare attacchi su larga scala (DDoS, Distributed Denial of Service) a siti governativi e commerciali a nostra insaputa.
Lo stesso avviene con i profili sui social. A partire dal nome della vittima prescelta o dalla sua email, con software appositi si può provare a generare la password per impossessarsene e usare l’account per compiere varie operazioni che possono metterci nei guai.
Una volta che si ottiene il nome, l’email e la pwd, è relativamente facile risalire a una serie di dati come il codice fiscale, la residenza, eccetera.
È un’escalation della raccolta di informazioni che, usando le logiche del social engineering consentono di sostituirsi alle identità dei proprietari e svolgere operazioni di natura bancaria o commerciale. Pensate solo al fatto che per accedere e resettare un servizio online in genere è sufficiente mandare una email di richiesta al gestore che nel giro di pochi secondi può inviare alla “vostra” mailbox, in maniera automatica, le password e i dati necessari a usarlo liberamente.
Per questo il nostro sé digitale va protetto e non è un caso che la stessa email vada considerata come un dato personale che gode di particolare protezione nella disciplina della privacy di quasi tutti i paesi.
Tenere al sicuro i propri dati non serve soltanto ai giornalisti minacciati dalle mafie (circa 3 al giorno nella sola Italia) e neppure a blogger e attivisti, ma alle persone comuni che possono cedere al ricatto dei criminali per non vedere la propria reputazione rovinata dall’invio di informazioni personali in rete. Ad esempio quando si accetta di chattare con nuove amicizie fornendo i propri dati o peggio ancora quando si accetta di comunicare in video con uomini e donne sconosciuti che ci chiedono di fare sesso virtuale. Basta lo screenshot di una posa equivoca e ci ritroviamo su siti e canali youtube photoshoppati e montati in filmini dove facciamo delle schifezze che non abbiamo fatto e non ci sogneremmo di fare. (E se l’avete fatto, leggete qui: “Sesso e truffe su Facebook, ecco come difendersi“)
Questi attacchi finalizzati ai ricatti e alle truffe monetarie seppure non hanno sempre conseguenze drammatiche o durature di sicuro ci mettono di cattivo umore e ci fanno perdere tempo e soldi per riparare ai problemi che creano.
Non esiste una strada diversa dall’apprendimento e dalla conoscenza di questi meccanismi per evitare di diventare delle vittime, ma non c’è neanche bisogno di diventare hacker esperti per proteggersi, perciò ecco le misure di precauzione minime per stare un po’ più tranquilli.
Che fare?
1. Proteggersi con password lunghe e complesse (mai e poi mai usare i nomi di parenti, figli e città);2. Cambiare costantemente le proprie password di accesso a pc, telefoni, social network, posta elettronica;3. Se fate un lavoro delicato non usate email gratuite, ma pagate il servizio, con dieci euro all’anno potete usare mailbox sicure con nomi di fantasia (e l’email di lavoro usatela solo per lavorare);4. Mantenere il proprio sistema operativo sempre aggiornato, gli aggiornamenti colmano falle di sicurezza e ripuliscono i dispositivi da file potenzialmente dannosi;5. Installare un antivirus, meglio se a pagamento, ma ce ne sono molti gratuiti;6. Fare continui backup dei propri dati e conservarli in luoghi adatti;7. Conservare i file importanti in un hardisk esterno e usarlo da computer disconnessi dalla rete;8. Non aprire le email di sconosciuti e sopratutto non aprire i file ad essi allegati;9. Non cliccare file inviati in chat e in ogni caso prima di aprirli scansionarli con un antivirus.
La prima linea di difesa rimane la vostra password.
Gli hacker, che sono bravi programmatori e non sinonimo di criminali, consigliano di mettere quattro numeri casuali davanti alle password e gli stessi numeri alla fine della password, oppure di usare come pwd frasi provenienti dalle vostre letture preferite che però non dovrete mai trascrivere sugli stessi post-it che appiccicate allo schermo del computer per ricordarvi gli appuntamenti.
ARTURO DI CORINTORoma. 11 Giugno 2016