Un esperto di sicurezza informatica (ed ex hacker) ci dà le dritte essenziali per proteggerci dai furti d’identità e creare password sicure
Non so se ci hai mai pensato: una volta il numero di casa era sull’elenco del telefono, gratis e pubblico. Oggi quello del cellulare definisce la nostra identità digitale e andrebbe tenuto, se non nascosto, almeno al sicuro come un passaporto. Noi lo mettiamo anche su Facebook e in Italia siamo circa in 38,4 milioni a usare questa piattaforma. E allora, che danno potrebbe causarti la violazione di Facebook? Lo chiedo a Simone Scanavini, IT Cyber Security e Threat Management di una multinazionale italiana e formatore.
Per cominciare, a te hanno rubato il numero di telefono?
«Sì, nel famoso registro il mio numero c’è. La violazione di Facebook risale al 2019. Il registro con i dati è poi stato messo in vendita nel 2020 sul “deep web”, dove si vanno a comprare servizi illegali. Circolava però gratuitamente da prima, bastava sapere dove cercare. Ora non è più disponibile ma…».
Ci sarai rimasto male.
«Pensa che il mio profilo Facebook era pure disattivato. In Inghilterra c’è chi giura di aver ritrovato i suoi dati nel registro nonostante avesse cancellato l’account in modo permanente. Se fosse vero, significa che i dati non vengono realmente eliminati dal social».
E il mio numero?
«Mentre parliamo controllo».
Ma come faccio io a sapere se il mio numero di cellulare è stato rubato? «Consiglio di andare sul sito Haveibeenpwned.com, creato da uno specialista di sicurezza. È gratuito, a disposizione di tutti. Inserisci il tuo numero di telefono, la tua mail e ti dice se sono stati violati. A quel punto, però, puoi solo cambiarli».
E se non lo faccio?
«Cambiare numero è una seccatura, e magari non conviene. Ma devi almeno sapere che rischi corri».
Sarò bersagliata dai call center?
«Quello è il meno. Un truffatore che possiede nome e numero può trovare altre informazioni su di te nel web con facilità e usarle per ingannare i tuoi parenti, amici, colleghi».
Un esempio?
«Se qualcuno chiama mia mamma dicendo che ho avuto un incidente, usa i miei dati rubati per conquistare la sua fiducia e può convincerla, sull’onda dell’urgenza e della paura, a dare dei soldi. Può accadere a chiunque e succede di continuo».
«Esiste un sito gratuito, creato da uno specialista in sicurezza, dove basta inserire numero di cellulare ed email per sapere se sono stati violati»
Quando si parla di privacy e sicurezza, molti rispondono: «Ma io non ho niente da nascondere».
«Il punto non è proteggere i tuoi segreti, ma l’identità. Chi la ruba può fare cose illegali a tuo nome. Se capita, sarà possibile capire che sei stato a tua volta ingannato. Però basta un attimo per rovinare una persona. Per ricostruire la reputazione ci vuole tempo e fatica».
Giorni fa hanno hackerato Axios, il registro elettronico più usato dalle scuole italiane. Cos’è successo?
«L’azienda è stata colpita da un ransonware, un virus nascosto che, una volta dentro al computer, rende inservibile ciò che c’è dentro, dai file al sistema operativo. Per far rifunzionare tutto viene chiesto un riscatto. La polizia sconsiglia di pagare perché, proprio come ai tempi dell’Anonima sequestri, rischi di rimanere fregato e, in più, di finanziare un business criminale che si ingigantisce ogni giorno. Però in questo caso non è stato rubato niente. I dati sono stati resi inservibili all’azienda, che perderà tempo e denaro per ripristinare tutto, con un disservizio per agli utenti».
Chi sono gli hacker? Esiste ancora il ragazzino geniale che “buca” i sistemi?
«Oggi l’hackeraggio punta ai soldi, e ne girano parecchi. Il cybercrime “vale” 6 trilioni di dollari. Negli anni ’80 forse c’era più voglia di ricerca e scoperta e gli hacker si definivano artisti. Esiste ancora l’attivista contro la multinazionale che ritiene di avere una ragione etica, chi aiuta a scoprire le vulnerabilità dei sistemi in modo legale e crede nel sapere informatico libero e condiviso. Ma per la gran parte si tratta di crimine a scopo di lucro».
Anche tu sei un hacker?
«A 15 anni ho avuto il mio primo collegamento Internet in casa e un contatto casuale con un hacker. Non l’ho conosciuto di persona ma mi ha aperto un mondo: entrare nei siti, capirne le vulnerabilità e sfruttarle è diventata una passione maniacale e poi un mestiere. Ma ho capito in fretta che mettermi dalla parte dei cattivi non era per me».
«Il cybercrime “vale” 6 trilioni di dollari. I truffatori sfruttano la fretta, la paura, la fiducia. per difendersi occorre consapevolezza»
La cosa peggiore che hai fatto?
«Diciamo che ho fatto separare un po’ di coppie spiando le email. Io stesso ho scoperto che la mia prima ragazza mi tradiva!».
Esistono piattaforme più sicure di altre?
«Sì, ma tutte sono a rischio, banche comprese. Ogni azienda oggi sa che deve investire in cybersicurezza, infatti c’è più offerta che domanda in questo lavoro».
A cosa dobbiamo prestare attenzione?
«Alle email. Le usiamo tutti: quelle verosimili ma false hanno più presa su chi ne riceve poche e non ha dimestichezza, ma anche chi ne riceve 200 al giorno per lavoro non è al sicuro. Quando gliene arriva una truffaldina alle 17.30 di venerdì che pare inviata dal capo, potrebbe non avere la lucidità di accorgersene, cliccare su un link che introduce un virus, consegnare informazioni sensibili pensando di scrivere a una persona che conosce bene».
Come ci si difende?
«È importante verificare il mittente, che la mail coincida con il nome e guardare con cura l’intestazione. Passare il mouse sui link prima di cliccare per vedere se c’è sotto un indirizzo strano».
È più a rischio il pc o lo smartphone?
«Non si creda che il telefono sia più sicuro, al contrario. Per esempio, gli sms: oggi ordiniamo tutto online e a volte non ricordiamo nemmeno cosa. Così basta un falso messaggio di tracciamento della consegna che ci chiede di cliccare qualcosa, ed è fatta. Chi ha rubato il numero telefonico potrebbe arrivare a sfruttare la doppia autenticazione, cioè la ricezione via sms di un codice per autorizzare operazioni, ed entrare nelle utenze bancarie».
È più pericolosa l’ignoranza o la distrazione?
«I truffatori sfruttano la fretta, la paura, la fiducia. L’ingegneria sociale, cioè lo studio del comportamento delle persone per carpirne informazioni, è la loro arma più insidiosa. L’ignoranza informatica, invece, non è così grave. Per guidare non devo sapere come funziona un motore. Serve la consapevolezza più che la conoscenza. Di queste cose bisogna parlarne a cena con gli amici, devono diventare argomenti di conversazione. Nei miei corsi di cyber security dico sempre: condividete tutto quello che avete imparato».
C’è ancora chi usa “password” come password. Un altro errore che facciamo?
«Scrivere le credenziali in un file unico e lasciarlo sulla scrivania del computer, magari salvandolo con il nome “password”: equivale a tenere la chiave di casa sotto lo zerbino».
Stiamo consegnando lavoro, soldi, relazioni, identità alla Rete. Abbiamo scelta?
«Certi passi indietro si possono fare: io non sono più molto presente sui social. Poi c’è il mondo del lavoro e degli acquisti: da lì non conviene chiamarsi fuori. Però si può fare pulizia, per esempio restringendo gli account».
Cioè?
«Non aprire profili pieni di informazioni personali per poi abbandonarli. Chiudere gli account inutili. Se ci si vuole loggare per dare un’occhiata a un sito o a una app, meglio usare una email temporanea e dati non veritieri. In concreto, cerca su Google “disposable email”, scegli un sito che ti fornisca un indirizzo anonimo e di breve durata. Autenticati con un nome inventato. Esplora, poi esci. Se tra un anno succede ciò che è capitato a Fecebook, non ti riguarderà».
A proposito, il mio numero è stato rubato?
«No».
Forse perché ho impostato la privacy del mio profilo?
«Magari sì, ma non ci giurerei. Forse questa volta sei stata solo fortunata».
6 cyber-consigli facili da mettere in pratica
1. Al posto della password, crea una “passphrase”: è una password-frase
molto lunga, anche di 30 lettere, con parole italiane, intervallate da caratteri speciali. È più facile da ricordare e difficile da decodificare.
2. Conserva le password in un database criptato: esistono vari gestori di password gratuiti come Keepass, 1Password, Dashlane. Oppure scrivile a mano in un quaderno segreto.
3. Non accettare chiavette usb dagli sconosciuti. Sono un veicolo di virus.
4. Attiva la “Multi Factor Authentication” sui siti dove esegui pagamenti. Consiste nella richiesta di più parametri per verificare che tu sei proprio tu. Perdi un po’ di tempo in cambio di una maggiore sicurezza.
5. Resisti al wi-fi pubblico. In aeroporto, albergo o all’aperto, le reti che non richiedono autenticazione potrebbero essere controllate da malintenzionati.
6. Proteggi il bancomat e la carta di credito “contactless”. Basta una busta o un portafogli apposito per schermarli: costano poco ed evitano clonazioni o prelievi non autorizzati.
Riproduzione riservata
Vedi anche
