29 Marzo 2024

E che “orecchie” che ha!

Forse non ci rendiamo conto che abbiamo una pessima abitudine: sebbene involontariamente, tendiamo a rivelare troppi dettagli del nostro privato. Includo anche il sottoscritto poiché il rischio di predicare bene e razzolare male è sempre in agguato e, sinceramente, basta un nonnulla per lasciar trapelare elementi che permetterebbero di risalire alle credenziali dei miei account online.

La vignetta di Dogmo Comics che ho scovato grazie a Marco Giannini (di Marco’s Box) riesce a spiegare con pochi tratti come qualcuno potrebbe carpire informazioni utili per violare un account: basterebbe davvero fare una semplice chiacchierata quindi fermiamoci un momento e pensiamo cosa potrebbe ricavare un malintenzionato dai social network della vittima presa di mira.

Ricordate questo spot belga del 2012?

Sette anni fa ci si preoccupava di come i social networks potrebbero rivelare troppi dettagli della nostra ma la situazione, evidentemente, non è migliorata e la colpa è sempre dei soliti noti: gli utenti e la loro eccessiva disinvoltura nell’uso degli strumenti informatici.

La tecnica con cui è possibile carpire informazioni utili a violare l’account di un malcapitato si chiama social engineering – o “ingegneria sociale”. Non si tratta di una tecnica nata ieri e si sono scritte centinaia di pagine su essa e su come impedire che una semplice chiacchierata, dal vivo o online, si trasformi in un disastro epocale con la conseguente sottrazione, alterazione, distruzione di dati personali (magari a noi affidati da terzi). La serie Mr. Robot avrebbe dovuto insegnarvelo, d’altronde.

Attenzione, però! Il social engineering non va confuso con il phishing poiché quest’ultimo è solo uno degli strumenti a disposizione del social engineer. In Wikipedia, a proposito del social engineering, leggiamo la seguente definizione:

(…) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili  .

Il phishing, invece, viene definito come:

(…) un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Il video tratto da Mr. Robot, quindi, è l’esempio scolastico di phishing nell’ambito di un’azione di ingegneria sociale, ove è la stessa vittima a fornire, più o meno incolpevolmente, le “chiavi” del proprio account al malintenzionato.

Fermiamoci a osservare come ci comportiamo online per capire meglio in cosa sbagliamo.

Se siamo appassionati di calcio, spesso scriviamo post per esaltare la squadra del cuore; se adoriamo i nostri figli, spesso scriviamo i loro nomi e indichiamo le loro date di nascita; se giunge il giorno dell’anniversario di matrimonio, spesso scriviamo un post dedicato al proprio coniuge e magari indichiamo pure il numero di anni trascorso; se siamo appassionati di serie TV, spesso scriviamo post riguardanti quella preferita; se vogliamo scrivere di qualcosa che ci sta a cuore, spesso lo facciamo senza pensarci su più di tanto.

Tutte queste sono informazioni che nel 2019 dovremmo evitare di fornire pubblicamente attraverso i social network, in particolar modo se abbiamo pensato di creare credenziali d’accesso in qualche modo legate a questi dati.

Una buona prassi (ma anche il buon senso) suggerirebbe di curare maniacalmente i livelli di privacy degli account social: per fare un esempio, io ho due account Instagram: uno pubblico che chiunque al mondo può seguire e uno privato in cui i potenziali follower devono inviare richiesta per poterne visualizzare i contenuti; effettivamente, ricevo spesso richieste di accesso al mio account privato ma quasi la totalità di queste viene rimbalzato poiché voglio che quell’account rimanga circoscritto alla cerchia di persone che conosco davvero, in real life.

Su Twitter e Facebook, invece, la situazione è controversa: il primo permette di avere account privati ma sono gestiti in modo da renderli pressoché inutili, quindi su Twitter non scrivo mai informazioni attinenti il mio privato; sul secondo, invece, sebbene sia possibile limitare di molto l’accesso a determinati contenuti pubblicati, il sistema di tag nelle fotografie sembra congenitamente fallato e attraverso un’app permetterebbe di accedere ai contenuti di una persona che non ci ha concesso l’amicizia – magari fossero solo questi i problemi di privacy di Facebook!

Chi conosce troppo della nostra vita costituisce una potenziale minaccia per la sicurezza dei nostri account online. Riguardiamo la vignetta di Dogmo Comics: questa pone l’accento su una questione apparentemente banale e alla quale non diamo il giusto peso. Quando registriamo un nuovo account per un servizio online, ci ritroviamo spesso a riempire un modulo in cui si deve dare risposta ad alcune “domande di sicurezza” per l’eventuale recupero della password o per l’eventuale sblocco dell’account. Domande come:

Qual è il nome da nubile di tua madre?

oppure

Qual è la targa del tuo veicolo?

oppure ancora

Qual è la tua squadra preferita?

Chi mi conosce da tanto tempo saprebbe rispondere a tutte le tre domande precedenti e gli si spianerebbe un’autostrada per l’accesso abusivo all’account cui queste domande sono associate.

Così come già in passato ho scritto che bisogna sradicare il concetto di password sicura, oggi mi ritrovo a ribadire quel concetto e ad aggiungere che dovremmo curare maggiormente l’aspetto della sicurezza informatica: se siamo titolari di un trattamento di dati personali, il Regolamento UE n. 679/2016 – l’arcinoto GDPR – pone sul nostro groppone una responsabilità non indifferente nei confronti dei soggetti che ci affidano i loro dati personali. La professionalità, quindi, non si dovrebbe dimostrare (soltanto) mettendo in piedi un bel sito web ma passa anche per l’attenzione che mettiamo nel prevenire al massimo le violazioni. L’esempio l’abbiamo avuto circa due settimane fa in occasione della violazione dei sistemi informatici del gruppo Visura s.p.a. da parte di Anonymous Italia: di tutto il materiale pubblicato, ciò che colpiva maggiormente era l’elenco delle password usate dai Colleghi del Foro di Roma. In particolare mi ha colpito il fatto che parecchi usassero “avvocato” o “forzaroma“, termini che potrebbero essere associati a un avvocato romano fin troppo semplicemente per chi è esperto di queste cose.

Il consiglio odierno è quello di fare attenzione a cosa si dice o si scrive nel Web poiché qualsiasi briciolo d’informazione potrebbe rappresentare una breccia nel sistema di sicurezza che un professionista dovrebbe implementare al fine di proteggere i dati personali di chi gli s’affida.

Ripeto: bastano già gli auguri per l’anniversario alla moglie o al marito. Dopo non date la colpa al matrimonio, però.

About Author