Ecco come evitare di cadere nelle trappole dei cybercriminali

Una regola base del web per prevenire qualsiasi tipo di attacco o violazione della privacy è di non fornire informazioni sensibili, a meno che non si è sicuri dell’identità dell’interlocutore e della sua necessità di avere accesso al tipo di informazioni richieste.

Questa è una regola che dobbiamo tenere sempre ben presente quando ci iscriviamo ad un sito internet o per telefono acquistiamo servizi legati a internet o alla telefonia.

In caso contrario il rischio è di subire attacchi di social engineering e phishing.

Che cosa è il social engineering?

Per lanciare un attacco di social engineering, ovvero di ingegneria sociale, l’attaccante utilizza tecniche di comunicazione e di persuasione per ottenere o compromettere informazioni riguardanti un’organizzazione e/o il suo sistema informatico. Un attaccante potrebbe mostrarsi gentile e rispettabile, fingere di essere un nuovo impiegato, un manutentore, un ricercatore ed offrire magari anche delle credenziali a supporto della sua identità. Comunque, attraverso delle domande, gli attaccanti potrebbero essere in grado di mettere assieme informazioni sufficienti per infiltrarsi nella rete aziendale. Se un attaccante non è in grado di mettere assieme gli elementi necessari da una sola persona, potrebbe contattarne altre e affidandosi alle informazioni avute dalla prima aumentare la propria credibilità.

Che cosa è il phishing?

Il phishing è a tutti gli effetti un attacco di social engineering. Scopo del phishing è inviare e-mail fasulle per attirare l’attenzione delle vittime ed indurle a fornire ciò che si desidera avere per usi illeciti. Il classico esempio è l’invio di e-mail in cui veniamo invitati ad inserire le credenziali di accesso del nostro conto corrente per sbloccarlo. A questo punto la frittata è fatta perché l’hacker ha pieno accesso al nostro conto corrente.

Fortunatamente le banche si stanno attrezzando per prevenire simili situazioni introducendo la doppia autenticazione. Ossia oltre ai classici nome utente e password che già possediamo, viene adottato un ulteriore livello di autenticazione che può essere dato dall’utilizzo del telefono cellulare, il quale tramite una telefonata ci viene fornito un codice temporaneo, oppure da un dispositivo OTP che genera di volta in volta password usa e getta da usare nel momento in cui accediamo.

Questo meccanismo rende più difficile la vita ad hacker che potrebbero entrare in possesso delle nostre credenziali.

Come evitare di cadere nel tranello?

  • Non fornite informazioni personali o riguardanti la nostra organizzazione compresa la sua struttura, la rete informatica, a meno che non siamo certi dell’identità dell’interlocutore.
  • Sospettare di telefonate da parte di sconosciuti, visite inaspettate da parte di tecnici, o e-mail da parte di soggetti che dicendo di appartenere a fantomatiche ditte chiedono di avere notizie circa la nostra organizzazione interna ed i nostri colleghi. Se necessario accertatesi preventivamente della loro identità contattando noi direttamente la loro ditta.
  • Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito.
  • Non rivelare informazioni personali o finanziarie tramite e-mail e non rispondere a messaggi di posta elettronica che richiedono tali dati. Questo vuol dire pure non cliccare su link di tali messaggi.
  • Se non si è certi della legittimità dell’e-mail ricevuta o di quanto in essa contenuto, contattare direttamente il mittente della stessa. Non utilizzando ovviamente il numero di telefono specificato nella stessa ma bensì quello preso da un vecchio estratto conto. Maggiori informazioni sugli attacchi phishing sono reperibili on-line su blog e newsgroup.
  • Fare attenzione all’URL del sito. Siti malevoli possono sembrare identici a quelli legittimi ma l’URL potrebbe essere differente nello spelling o appartenere ad un dominio diverso (ad esempio .com anziché .net).
  • Installare ed aggiornare costantemente l’antivirus, il firewall e gli altri eventuali programmi specifici contro lo spam per mitigare il rischio di attacchi di questo tipo.

Che fare se si è purtroppo caduti nella trappola?

  • Se si ritiene di aver fornito informazioni sensibili circa la propria organizzazione riportarlo immediatamente ai propri superiori o alle divisioni appropriate preposte, eventualmente esistenti nell’ambito della propria unità o all’amministratore di rete che potrebbe così subito accorgersi di attività da questo derivanti.
  • Se si ritiene che il proprio conto corrente possa essere stato compromesso contattare la propria banca per bloccare immediatamente lo stesso e fare in modo che vengano subito modificati i dettagli compromessi.
  • Riportare l’accaduto alle autorità competenti mediante apposita denuncia.

    A cura di Alessio Arrigoni