Attacchi hacker: come proteggere i propri account

Negli ultimi mesi gli attacchi hacker sono diventati più frequenti e riguardano anche siti istituzionali italiani, come accaduto poche ore fa, quando ad essere colpite sono state le pagine web di ministeri, imprese e banche, simboli dell'”Italia russofoba”. I disservizi sono stati temporanei e in questo caso l’azione è stata rivendicata dal collettivo di hacker filorussi NoName057.

Gli attacchi hacker riguardano tutti noi

«Può sembrare che il problema non tocchi il singolo cittadino, ma non è così. È vero che non necessariamente noi rappresentiamo l’obiettivo finale degli hacker, ma anche la panettiera di Canicattì, per fare un esempio irreale, può essere il punto intermedio per raggiungere lo scopo – spiega Riccardo Meggiato, esperto di cyber security – Per ricordare un caso concreto, lo scorso anno era stato messo a punto un attacco hacker a una fabbrica da diverse centinaia di milioni di euro, semplicemente infettando lo smartphone di un operaio. Gli addetti alla cybersecurity non avevano calcolato questa eventualità e il dipendente aveva commesso l’errore di connettersi al wireless aziendale senza autorizzazione, tanto che poi la società si era rifatta su di lui», spiega ancora Meggiato.

L’hackeraggio del profilo social per rubare l’identità

In altri casi, invece, il danno riguarda da vicino il singolo utente, come spesso accade con i social, dove non sono rari i furti d’identità dei propri profili. Le piattaforme (Twitter per prima, ma ora anche Facebook e Instagram) corrono ai ripari, ad esempio con la spunta blu per tutti, che permette di evitare profili fake.

Ma come ci si protegge da truffe sul web e sui social in particolare, che possono farci perdere soldi e account? Ecco i consigli degli esperti.

Il primo consiglio per chi usa i social: la doppia autenticazione

«Per prima cosa, come ricorda il Ceo di Instagram Adam Mossey, è importantissima l’autenticazione a due fattori. Per esempio, se accedo a Facebook dal pc, posso scegliere di farmi inviare un sms con un codice sullo smartphone oppure via mail. Sappiamo che può essere una ‘seccatura’ perché ogni volta prevede un passaggio in più, ma è uno dei modi più sicuri per proteggere il proprio account social», spiega Elena Farinelli. «Anche il digitale richiede attenzione, esattamente come quando si cammina e si deve attraversare: tutti preferiremmo attraversare senza dover perdere tempo a guardare a sinistra e a destra, ma se lo facciamo corriamo il rischio di essere investiti. Nel digitale vale la stessa norma di cautela», conferma Meggiato.

Un trucco per scegliere la password sicura e facile

«Il secondo consiglio è banale quanto fondamentale: cambiare spesso la password, che significa anche ogni due mesi, se si usano molto i social» prosegue Farinelli. Ma come sceglierne una sicura e facile? «C’è un sistema divertente e consiste nello scegliere una parola lunga e facile da ricordare. Per esempio, se prendo “radiatore”, basta sostituire determinate lettere con altrettanti numeri: posso tenere la R iniziale, magari maiuscola, sostituendo la A con una E commerciale (ossia &) tenendo la D successiva e cambiando la I con un 1. In questo modo avrò una parola di 9 lettere, quindi sufficientemente lunga, che contiene una lettera maiuscola, un numero e un carattere speciale», suggerisce l’esperto di cybersecurity, che ricorda: «Ovviamente non dovremo mai custodirla nello smartphone a maggiore ragione se la usiamo per servizi o App presenti sul cellulare».

Non credere a concorsi o richieste di aiuto

«Una delle truffe più diffuse,a soprattutto su social come Instagram o Facebook, ma anche WhatsApp, è un messaggio di richiesta di aiuto. Spesso viene chiesto di votare qualcuno per un concorso o di cliccare su un link per una petizione o millantando una presunta vincita di un buono sconto presso qualche negozio: è un tranello, non si vince nulla e occorre stare attenti perché spesso queste domande arrivano da profili che, seppure non di amici, appaiono totalmente credibili perché provengono da chi ha un nome e cognome, e magari anche molti follower», avverte Farinelli.

Non mandare mai documenti via e email

«Purtroppo siamo abituati a inviare e inviarci via mail moltissimi documenti, spesso anche screenshot di carte di credito, codici cvc di sicurezza o foto che ci servono per memorizzare dati, senza renderci conto che, se finiscono in mani sbagliate possono causarci molti danni – spiega Meggiato – Tanti dicono di sentirsi sicuri perché non hanno niente da nascondere, ma in realtà non occorre arrivare ad avere segreti personali: anche solo una bolletta contiene molti dati che sono appetibili per potenziali hacker che sono interessati al furto e clonazione d’identità o sostituzione di persona. Per esempio, certe informazioni possono dare accesso a servizi sanitari o luoghi fisici, oppure possono creare problemi familiari. Ricordo un caso di un uomo sposato a cui avevano rubato l’identità usata per frequentare gruppi gay online. Questo era diventato motivo di richiesta di divorzio, nonostante lui giurasse di essere vittima e innocente. Ma ci sono anche casi ancora più gravi, che hanno a che fare con la pedopornografia, che vede l’Italia al secondo posto al mondo per questi reati», spiega l’esperto.  

Scegliere provider e account sicuri

Come evitare queste situazioni? «Sicuramente, oltre a scegliere una password sicura (e diversa a seconda che si tratti di un social che si usa per svago e divertimento oppure un sito di servizi, come l’homebanking, ecc.) consiglierei di affidarsi a un provider serio e possibilmente grande. Come ci dimostrano i casi recenti di hackeraggio, scegliere una casella di posta con un gestore piccolo, che magari ci piace solo per originalità o perché italiano, non sempre è conveniente: meglio abbracciare strutture grosse, che hanno team specializzati in cybersecurity – consiglia Meggiato – Qualcuno teme la profilazione, ma io credo che anche se è vero che possono raccogliere informazioni a fini commerciali, è meglio puntare alla sicurezza. Esistono, comunque, anche realtà come Proton, che è gratuito».

Si tratta di è un servizio di posta elettronica criptata, fondato nel 2013 in Svizzera presso il centro di ricerca CERN. A differenza dei servizi di posta elettronica più comuni come Gmail, Outlook, ecc. utilizza utilizza la crittografia per proteggere il contenuto delle email e i dati degli utenti prima di inviarli ai server di Proton Mail (in pratica un sistema di crittografia end-to-end come WhatsApp). «Non a caso è usato anche da molti criminali informatici se devono inviare email minatorie, perché fornisce protezione agli utenti e ha un alto livello di crittografia», conferma Meggiato.

Cosa fare in caso di furto d’identità

Se poi si finisce vittime di furto d’identità, che fare? Ci sono passaggi precisi da seguire nel caso di Instagram, ma un consiglio vale sempre: «Rivolgersi al servizio di assistenza. Il più delle volte non risponde subito o non in tempi brevi, ma vale la pena insistere perché alla fine si riesce a recuperare la gran parte degli account hackerati. Magari ci possono volere mesi, anche 3 o 6, ma si torna in loro possesso. Comunque eviterei di rinunciare a recuperare il vecchio account, optando per aprirne uno nuovo, perché l’altro rimarrà (anche se non più in nostro possesso!) per di più a nostro nome. Se proprio non si riesce a riprenderne il controllo, allora si può chiederne la chiusura», spiega Farinelli, che conclude: «Infine, ricordo che è sempre bene inserire il proprio numero di cellulare, anche se a qualcuno non piace, perché è una prova più efficace della propria identità, anche in caso di problemi. La sim, infatti, è associata a un documento quando si acquista un nuovo numero, mentre l’email è meno sicura».