Gli hacker non puntano a obiettivi di alto profilo, ma a quelli facilmente accessibili

Contenuto pubblicato su mandato del partner inserzionista, che ne assume la responsabilità redazionale.

Usare la stessa password per Facebook, l'e-banking e l'account e-mail è come nascondere la chiave di casa sotto lo zerbino: una vera negligenza. D’altronde il pensiero di molti svizzeri è che «da me non c’è niente da rubare». Ma questo ragionamento in realtà può essere pericoloso, anche perché negli ultimi anni i metodi di attacco sono cambiati radicalmente. Ciononostante, molte persone continuano a dare troppo poca importanza alle misure di protezione digitale nella vita di tutti i giorni.

Automatizzato, non mirato

L'idea diffusa secondo cui i propri dati non siano interessanti per i ladri è ingannevole: la maggior parte degli attacchi è completamente automatizzata e non prende di mira persone specifiche, ma colpisce sistematicamente milioni di dispositivi e account contemporaneamente. I criminali online, inoltre, non cercano obiettivi di alto profilo, ma quelli facilmente accessibili. È un po' come se i ladri provassero ad aprire una serie casuale di porte, finché non ne trovano una che si apre e quindi chi non ha una serratura digitale può diventare una potenziale vittima, non tanto per i propri dati in sé, quanto perché si rende vulnerabile.

Le conseguenze di un attacco riuscito non sono affatto banali, poiché non si tratta semplicemente del furto delle foto delle vacanze o di dare un’occhiata all’account di posta elettronica: l’attenzione dei criminali è sempre rivolta ai conti bancari e alle carte di credito. A loro interessa solo il denaro.

I tre errori più comuni

Gli esperti di sicurezza in Svizzera rilevano con costanza le stesse vulnerabilità: in cima alla lista ci sono le password deboli o riutilizzate più volte. Chi usa lo stesso codice di accesso per l'account e-mail, l'e-banking e un servizio di streaming rischia che una singola fuga di dati metta a rischio tutti gli account contemporaneamente. Grandi falle compromettono regolarmente milioni di dati di accesso in tutto il mondo e le password rubate vengono poi vendute sui mercati criminali e utilizzate in modo automatizzato.

Il secondo errore classico sono invece gli aggiornamenti ignorati. Chi rimanda gli aggiornamenti software per mesi, usa un dispositivo le cui vulnerabilità sono documentate pubblicamente. I criminali online ne approfittano e automatizzano gli attacchi mirando proprio a queste falle. Un sistema obsoleto non è quindi solo indice di una negligenza individuale, ma un vero invito a nozze.

Il terzo errore è quello di cliccare senza riflettere – che si tratti di link nelle e-mail, SMS o messaggi di Messenger. Falsi avvisi di consegna, comunicazioni bancarie contraffatte, lettere delle autorità inventate o informazioni errate sui bollini autostradali. Questi metodi funzionano perché fingono urgenza e mettono paura ai destinatari.

Chi evita questi tre errori ha già eliminato la maggior parte dei punti vulnerabili – senza conoscenze tecniche, senza grandi sforzi.

Ciò che protegge davvero

Per tutti e tre questi errori esistono contromisure efficaci e di facile attuazione. Per le password vale la regola generale: meglio lunga che complicata. Una frase come «LaBiciRossaÈInCantina!» è più sicura di un breve miscuglio di caratteri ed è anche più facile da ricordare (in questo senso si consigliano almeno 14 caratteri). Inoltre, chi gestisce molti account può trovare grande utilità in un cosiddetto “gestore di password”, un software grazie al quale è possibile creare codici di accesso unici, salvarli e, all’occorrenza, richiamarli con estrema facilità. L’argomento contrario, secondo cui raggruppare tutti i dati di accesso in un unico posto sarebbe rischioso, è valido solo in parte: il rischio di utilizzare password deboli e di ripeterle su più servizi è maggiore rispetto quello che comporta un gestore di password ben protetto.

Come ulteriore livello di protezione, si consiglia l’autenticazione a due fattori (2FA). Riduce notevolmente il rischio di abuso, anche nel caso in cui i dati di accesso venissero comunque rubati. 2FA significa che, dopo un accesso riuscito, viene richiesto un ulteriore codice che il servizio invia in precedenza a un indirizzo e-mail o a un numero di cellulare registrati. In alternativa, a seconda del servizio, sono disponibili anche app di autenticazione che generano appositamente questi codici di accesso.

Contro le e-mail contraffatte, le misure tecniche di difesa come i filtri antispam o anti-phishing certamente aiutano, ma in ogni caso non offrono una protezione al 100%. Ciò che conta davvero sono il pensiero critico e il buon senso: né le banche, né le autorità, né gli emittenti di carte di credito inviano e-mail in cui chiedono ai cittadini di cliccare su dei link. E in caso di dubbio, è sempre meglio verificare tramite un altro canale, ad esempio per telefono.

In giro e a casa

Le reti Wi-Fi pubbliche – ad esempio nei bar, negli hotel o in aeroporto – rappresentano un fattore di rischio spesso sottovalutato, poiché gli hacker possono intercettare i dati non crittografati. Qualora si debbano svolgere attività delicate come quelle che coinvolgono l'e-banking mentre si è in giro, è sempre meglio farlo tramite la rete mobile piuttosto che tramite una rete Wi-Fi pubblica.

Per quanto riguarda invece l’utilizzo di app, si consiglia di seguire il principio del minimo indispensabile: le autorizzazioni dovrebbero essere concesse solo se strettamente necessarie. Un'app “torcia” che richiede l'accesso al microfono e alla posizione è un segnale d'allarme. E in generale, installare app che sono al di fuori degli store ufficiali aumenta ulteriormente il rischio.

L'intelligenza artificiale sta rivoluzionando il settore

L'intelligenza artificiale (IA) sta cambiando gli equilibri tra aggressori e difensori – in entrambi i sensi. Dal punto di vista degli aggressori, l'IA rende possibili messaggi di phishing più convincenti, truffe personalizzate e voci o video falsificati attendibili. Il furto di dati diventa più diffuso e più difficile da individuare.

Dal lato della difesa, i fornitori di sicurezza come Swisscom utilizzano sistemi basati sull'IA per individuare tempestivamente le anomalie nel traffico di rete. Ma c'è una cosa che l'intelligenza artificiale non può fare: fornire quel giudizio situazionale di cui gli esseri umani dispongono e che consente loro di fermarsi in caso di dubbio e non cliccare.

 Ulteriori informazioni e corsi di formazione gratuiti: swisscom.ch/campus