Diciamoci la verità, nessuno di noi penserebbe di essere cosi importante da suscitare l'attenzione di utenti "smanettoni" malintenzionati, con l'intenzione di entrare nei nostri dispositivi per rubarci i dati, ognuno di noi pensa effettivamente di non avere cosi tante informazioni nel proprio Pc da risultare appetibile, probabilmente è cosi... ma probabilmente no...
Qualche giorno fa ho fatto un articolo che parlava di conflitti tra antivirus, l'articolo lo potete trovare a questo link (Il PC è lento, sarà colpa dei virus? strano, ho 2 antivirus...), oggi vorrei parlare quindi di come fare ad evitare nella maggior parte dei casi, ad essere attaccati al fine che i nostri dati sensibili, possano finire nelle mani dei malintenzionati e che possano essere poi utilizzati per recarci problemi.
Ma prima...analizziamo come possono attaccarci...
Da programmatore la domanda che mi fanno più spesso è, "Ok tu mi fai il sito, ma il sito che mi fai è sicuro contro gli Gli Hacker"?
Dire che chi ci attacca e tenta di rubarci i dati sia un hacker lo definisco già un errore, tra le gerarchie online, di chi si occupa di sicurezza, intrusione, chi ci prova ecc. ci sarebbe da aprire un capitolo a parte (che sicuramente prima o poi aprirò), ma ora sorvoliamo la domanda classica e diciamo questo, spesso non ce software che tenga contro alcuni tipi di intrusioni, la maggior falla di sicurezza non sono i software il più delle volte, ma gli utenti stessi che accedono al proprio PC, ma ora spiegherò il perché....
Phishing...
Dal termine abboccare....
Spesso capita di ricevere delle E-mail specifiche che ci fanno pensare che qualcosa sia andato storto con i servizi che utilizziamo regolarmente, qualche tempo fa, ma immagino che girino tutt'ora, mi è arrivata una mail diretta da PosteItaliane che mi diceva che il mio account necessitava di una revisione poiché erano scaduti alcuni certificati...
Benissimo, accedendo al sito si poteva chiaramente vedere il portale di poste italiane... Ma attenzione... NON LO ERA...
Una delle azioni più comuni del phishing è quella di creare siti in tutto per tutto identici a quelli realmente utilizzati da alcuni servizi come in questo caso PosteItaliane... ricordatevi che un servizio che conserva i vostri dati sensibili, difficilmente vi chiederà di dover confermare informazioni che sono già in loro possesso, se lo fanno, utilizzano canali ufficiali quali sportelli, telefono con richiesta di presentarsi, in caso di servizi collegati alle compagnie telefoniche, lo fanno attraverso le APP stesse o comunque attraverso i canali tradizionali.
Una piccola verifica che potete eseguire prima di tutto per sapere se l'indirizzo sulla quale cliccate è realmente della compagnia, è quello di verificarne L'URL.
In caso di PosteItaliane l'indirizzo URL è www.poste.it e viene classificato come dominio di secondo livello...
Il primo livello è l'estensione (.it) il secondo livello il nome del sito (.poste), se ci dovesse essere una terza estensione potete chiaramente valutare se sia reale o meno, esempio www.poste.CONTROLLODEITUOIDATI.it, risulta chiaramente un sito fake, è infatti possibile acquistare qualunque dominio a nome libero e attivare un dominio di terzo livello al fine di eseguire truffe.
In questo caso se qualcuno accede ad un sito Fake, come scrivevo sopra, è lui stesso la causa del furto delle proprie informazioni come i numeri della carta di credito, o le vere credenziali in questo caso, del proprio conto postale.
Skimming...
Si parla spesso di furti di numeri di carte di credito, qualcuno potrebbe pensare che il furto provenga direttamente dal proprio pc senza considerare che quella stessa carta la si utilizza anche nella vita reale e non solo sul Web.
Ci sono infatti dispositivi che vengono applicati ai classici ATM che copiano i numeri provenienti dalla carta di credito, attraverso delle telecamere.
Il sistema qui è sicuramente semplice per non rischiare questo genere di furto.. impostare un sistema di autorizzazione tramite cellulare, oramai tutti i gestori di carte di credito lo prevedono, è vero... è una noia dover aspettare l'sms sul proprio cellulare ad ogni transazione, ma la sicurezza vale più di una manciata di secondi..
Reti non protette
Questa sicuramente è una delle pratiche meno utilizzate, e sicuramente meno improbabili se abitate in zone poco popolate ma mettiamola comunque sul piatto...
Abbiamo una rete wifi senza password oppure con la password fornita dal gestore telefonico, un malintenzionato in caso di assenza, accede alla rete sulla quale abbiamo configurato una stampante multifunzione collegata in rete, che accede ad una cartella del nostro pc quando facciamo una scansione... questo malintenzionato senza dannarsi troppo può benissimo individuare le porte aperte in rete utilizzando soltanto il proprio terminale, accedere al pc collegato alla rete senza disperarsi troppo, visualizzando la nostra bella cartella delle scansioni, eseguendo un'azione denominata "Data Breaches"...
Improbabile poiché deve essere a pochi metri da noi... ma non impossibile , si risolve molto semplicemente impostando una password al router, diversa da quella di serie, voi penserete, ok, ma anche quella di serie è difficile, si è vero ma non è unica e online si trovano centinaia di link di database delle password dei router dei gestori italiani.
I nostri Smartphone
Dunque se andiamo su ambiente Apple siamo un po più sicuri che le app che scarichiamo dallo store siano "blindate" poiché per riuscire a caricare la propria app, uno sviluppatore deve passare degli standard di sicurezza allucinanti, (ne so qualcosa), se andiamo su ambiente Android la cosa cambia, i controlli sono molto inferiori e onestamente si può mettere in un'app un po' quello che si vuole, è la legge che te lo vieta non tanto lo store che non accetta l'app.
Mettiamo caso che scarichiamo un'app che ha accesso alle nostre foto... mettiamo caso poi che dobbiamo fare un acquisto a nostra zia che non ha idea di come si compra su amazon, e lei ci manda la foto della sua carta di credito via Whatsapp... non credo si debba aggiungere altro.
Non si mandano le foto dei dati sensibili, se proprio si è obbligati suddividere i dati in più metodologie di invio.
Ricordate inoltre che ci sono dei software applicati a server, che registrano COMPLETAMENTE i vostri spostamenti sui siti internet, la cosa interessante di questo è che possono registrare ma non possono interagire con il codice, cosa vuol dire?
Che se entrate in un sito che vi chiede una registrazione, assicuratevi che la Password sia protetta da quei famosi puntini che non la fanno vedere, secondo una ricerca che avevo eseguito qualche anno fa più dell'80% degli utenti utilizza da 1 a 3 password per gestire tutta la sua vita informatica, se voi date ai malintenzionati una delle 3 possibilità avranno libero accesso a 1/3 della vostra vita.