Su Internet, non lasciarti ingannare
da David García (Professore universitario)
L'uso costante di Internet in qualsiasi momento della giornata rende la rete un elemento essenziale della nostra vita. L'aumento e l'uso massiccio di applicazioni e servizi su Internet per tutti i tipi di esigenze (shopping, banche, istruzione, tempo libero, ecc.) ha fatto cambiare le nostre abitudini, sia sociali che professionali, facendo scorrere tutto intorno a Internet.
Questo uso massiccio della rete non è esente da pericoli e i criminali informatici che sono aggressori che cercano di sfruttare le falle di sicurezza delle applicazioni e la distrazione degli utenti per realizzare una sorta di profitto, economico, ideologico o per vendetta. Bisogna distinguere tra “hacker” e “cybercriminal”, poiché la parola hacker è usata impropriamente dalla società in generale (aiutata dalla moltitudine di film e serie televisive che quasi sempre gli attribuiscono un significato negativo), attribuendogli qualità dannose. Un hacker è una persona con una vasta conoscenza della sicurezza informatica (proprio come un criminale informatico) ma il suo obiettivo è cercare di migliorare la sicurezza delle applicazioni, segnalare e risolvere gli errori rilevati per proteggerle da possibili attacchi causati dai criminali informatici. Pertanto, la distinzione tra hacker e cybercriminale sta praticamente nella motivazione che hanno, ovvero aiutano a risolvere problemi (il primo), o realizzano un profitto (il secondo).
I criminali informatici hanno una vasta conoscenza della sicurezza informatica e, inoltre, si avvalgono di strumenti predisposti per facilitare gli attacchi informatici, rendendo più o meno facile rubare i dati archiviati sul proprio dispositivo, o lanciare attacchi più sofisticati ad aziende e grandi aziende per sottrarre un una maggiore quantità di dati e informazioni che possono essere venduti a terzi o utilizzati per ricatti o estorsioni. L'attacco informatico alla SEPE del 2021 era ben noto, ma anche l'Agenzia europea per i medicinali ha subito attacchi informatici nel mezzo di una pandemia, aziende come Adif, Mapfre, o anche il noto attacco a Telefónica nel 2017 da parte di un ransomware (crittografia di tutti i tuoi dati e richiesta di riscatto per poterli recuperare). Ma non vengono attaccate solo le aziende, chiunque può essere vittima di un attacco informatico, e per portare a termine questi attacchi una delle tecniche più utilizzate dai criminali informatici è l'ingegneria sociale.
L'ingegneria sociale o l'arte dell'inganno è ingannare o manipolare le persone per ottenere le loro informazioni personali, come password e dettagli bancari, o per accedere ai loro computer al fine di installare inavvertitamente software dannoso o malware, al fine di appropriarsi e avere il controllo del nostro dispositivi ed essere in grado di accedere a qualsiasi informazione che abbiamo memorizzato, incluso l'uso delle applicazioni installate sui nostri dispositivi. Quello che vogliono è catturare la nostra attenzione con qualche pretesa per farci agire in un certo modo. Se un criminale informatico vuole che tu faccia clic su un collegamento per scaricare un virus sul tuo computer, cosa utilizzerà come reclamo? a) “Clicca qui per scaricare un virus [link]”, oppure b) “Lo Stato fornirà aiuti se sei maggiorenne [link]”. È chiaro che la seconda opzione è più allettante e suscita più interesse facendo sì che le persone clicchino sul link dannoso e cadano nella trappola. Questo tipo di ingegneria sociale o inganno può apparire in e-mail, messaggi istantanei o social network e spesso utilizza scuse come disastri naturali, notizie su celebrità, offerte di prodotti a prezzi bassi, biglietti del traffico, problemi di sicurezza nei conti bancari, ecc. notifiche dal Agenzia delle Entrate o invio di fatture elettroniche.
Per prevenire questo tipo di inganno, è conveniente seguire questi consigli: 1) Non fornire mai le nostre password a nessuno, né condividerle tramite e-mail o social network; 2) Non forniamo mai le nostre informazioni personali o bancarie su Internet anche se richieste tramite e-mail o telefono; 3) Se aggiungiamo informazioni private o sensibili a una pagina Web, assicurati che la pagina Web o l'URL siano corretti (ad esempio, questo URL "http://sede23.agenciatributaria.234gob.es" è sospetto in quanto contiene una serie di numeri a caratteri strani, è meglio digitare o cercare direttamente il collegamento invece di fare clic su quello fornito in un'e-mail); 4) Non aprire mai un file strano se non conosciamo il mittente o non lo aspettavamo, o se il messaggio è scritto male o scritto male. Inoltre è sempre conveniente avere copie di backup dei dati importanti, attivare metodi di autenticazione biometrica per i dispositivi mobili (impronta digitale, viso, ecc.) e autenticazione a doppio fattore (come password e SMS) per applicazioni Internet (online banking, acquisti , ecc.), e di non mettere la stessa password per tutti i servizi e cambiarli spesso, che siano robusti (almeno 8 caratteri, alcune lettere maiuscole, numeri e simboli speciali) poter utilizzare un gestore di password in modo che sia gestiti automaticamente e non devono essere memorizzati.
L'uomo è l'anello più debole della catena, quindi non semplifichiamo il cybercriminale, se vuole rubare le tue password di accesso all'online banking, ad esempio, dovendo ricorrere a procedure tecniche più complesse e costose e impiegare molto tempo per farlo esso. Sia l'Ufficio per la sicurezza in Internet (www.osi.es) come il National Cybersecurity Institute (www.incibe.es) ti aiutano a proteggerti e a diventare consapevole dei pericoli di Internet.
David Garcia Rosado
professore
Gruppo di ricerca GSyA (https://gsya.esi.uclm.es)
Scuola Superiore di Informatica
Università di Castilla-La Mancha
