Il Web moltiplica le sue trappole, anche grazie al Covid. I pc escono dall’ambiente protetto degli uffici, le reti si aprono ai mille rivoli della connettività diffusa. Qualcuno ne approfitta. E la sicurezza informatica da remoto è a rischio, più di ieri e forse meno di domani. I tranelli crescono in maniera allarmante, avvertono gli esperti: il “phishing” delle mail fraudolente che scrutano i dati personali, i virus che si “agganciano” ai programmi che scarichiamo o perfino alle semplici pagine Web che incautamente apriamo senza sapere dove stiamo navigando. In ufficio ci salvano (non sempre) le procedure aziendali, gestite da professionisti. A casa siamo meno sicuri, perché meno protetti ma anche perché siamo maledettamente incauti. Le insidie aumentano, ma fortunatamente aumentano anche gli strumenti per difendersi. A patto di mettere in atto le dovute cautele per prevenire il peggio.
In questa rapida guida ecco due esempi di cosa può accadere e di come dobbiamo, o dovremmo, comportarci. Il primo esempio riguarda l’attacco: ecco l’ultima trappola che si è diffusa con gran velocità nel mondo di Internet sfruttando come incolpevole “veicolo” il celeberrimo e diffusissimo Microsoft Office. Il secondo esempio riguarda invece la difesa: ecco un test a disposizione di tutti per verificare quanto ne sappiamo di sicurezza informatica e che cosa dobbiamo fare (o non fare) per alzare le barriere.
Anticipiamo subito le conclusioni. Una buona pratica di sicurezza informatica personale esige innanzitutto due cose: mantenere costantemente aggiornato l’intero ecosistema del nostro computer (l’hardware, il sistema operativo e il software, ovvero i programmi) e usare una consapevole prudenza, sia quando apriamo le e-mail di cui non conosciamo in maniera assolutamente certa la provenienza sia quando navighiamo su siti non “certificati” o dalla nostra esperienza passata o con altri sistemi che qui di seguito vi illustreremo.
L’inganno si traveste da Office
Guai a rispondere con troppa disinvoltura a una richiesta di login, tipicamente contenuta in un messaggio di posta elettronica con un allegato (un avviso di pagamento o una fattura, falsi) che riproduce quella utilizzata da Microsoft per l’accesso ai suoi prodotti. L’imbroglio, un “phishing” confezionato piuttosto bene perché la procedura è stata in grado di eludere molti meccanismi di controllo anti-malware anche delle aziende, ha cominciato a diffondersi nell’agosto scorso e dura tutt’ora. È un classico tentativo di furto d’identità, simile a tanti altri. La vittima inserisce le sue credenziali che vanno ad alimentare il data base fraudolento dell’organizzazione dei pirati, che avrebbe finora raccolto almeno un migliaio di credenziali di accesso a Office 365 utilizzati a livello professionale. Non solo: i pirati con l’occasione avrebbero raccolto un buon numero di credenziali ancor più delicate: quelle per l’accesso ai sistemi aziendali, visto che molti utenti utilizzano incautamente le stesse credenziali per più account. Una pratica che andrebbe evitata nella maniera più assoluta.
Anche il pirata sbaglia (forse)
Il dato solo apparentemente consolante, ma in realtà ancor più preoccupante, è che la frode è emersa perché alcuni esperti sicurezza informatica hanno scoperto che gli aggressori hanno commesso a loro volta un errore. Hanno infatti pubblicato sul Web una parte degli elenchi di utenti e relative password carpite, senza utilizzare i nascondigli del cosiddetto “dark Web”, attivando automaticamente gli algoritmi di indicizzazione di Google e consentendo così a tutti la ricerca e la consultazione del bottino. Il messaggio è inquietante: i pirati sono stati scoperti perché si sono fatti scoprire, e se non avessero commesso un errore (magari volutamente, per testare a loro volta chissà quali procedure ancor più sofisticate) la frode sarebbe rimasta nascosta ancora a lungo. Impariamo la lezione: oltre a differenziare le credenziali di accesso dei vari servizi (account aziendali, banche ecc.) cambiamole con una certa frequenza, e comunque immediatamente se abbiamo anche un vago sospetto che possano essere state trafugate.
Un test e un paracadute
Tra le mille cautele che bisognerebbe mettere sempre in atto per fronteggiare e prevenire gli attacchi ne indichiamo due, che possono essere considerate la base per una buona pratica: il modo per controllare la “pulizia” e la sicurezza del sito Web che vogliamo consultare (perdendo qualche secondo prima di cliccarci sopra, ma ne vale la pena) e un test per capire a che punto sono le nostre cognizioni sulla sicurezza informatica, sui suoi tranelli e sulle contromosse da adottare. Mettiamola così: il controllo a caldo del sito a noi sconosciuto rappresenta una difesa di primo livello (insieme alla differenziazione dei codici di accesso per i vari servizi) che sarebbe bene attuare sempre e comunque, mentre il test ci può aiutare a metterci in riga con una serie combinata di accorgimenti e soprattutto di atteggiamenti da tenere.
Sito sconosciuto? Meglio indagare
Se abbiamo installato nel nostro pc un software di protezione totale, che comprende anche l’analisi in tempo reale delle pagine Web che consultiamo, possiamo considerarci decentemente protetti nella nostra navigazione. Ma dobbiamo comunque sapere due cose: il programma che ci fa da scudo va tenuto costantemente aggiornato perché contenga le ultime “firme” delle procedure da adottare e dei siti da ritenere pericolosi; i software di questo genere sono comunque piuttosto pesanti per il nostro computer è per la nostra connessione, nel senso che aumentano la quantità di dati che consumiamo e tendono a rallentare la navigazione perché utilizzano una mole di dati maggiore da scambiare in rete ma anche perché rallentano il funzionamento del nostro pc occupando una parte delle risorse di elaborazione.
Un aiuto online
Se non utilizziamo software di questo tipo è buona norma utilizzare comunque (anche al minimo sospetto) le risorse che lo stesso web ci mette a disposizione on-line, accedendo a uno dei servizi che controllano in tempo reale la bontà del sito dove vogliamo andare. Tra i siti “controllori” ne indichiamo uno che funziona piuttosto bene: UrlVoid. Funziona così: nella maschera che si apre inseriamo il nome del sito dove vogliamo andare senza il www iniziale, diamo l’ok e aspettiamo qualche secondo per la risposta, dopo che il nostro sito “bersaglio” sarà stato scansionato contemporaneamente dai principali motori antivirus e anti-malware del globo, comunicandoci il risultato. E’ tutto sicuramente a posto solo se compare il colore verde, mentre se si colora di rosso solo uno dei risultati associati ai motori di ricerca antivirus compresi nella scansione potrebbe trattarsi di un falso positivo: conviene comunque essere cauti, evitare la navigazione sul sito scansionato e magari riprovare successivamente.
Regaliamoci un auto-esame
Veniamo al test per saggiare le nostre buone, o cattive, abitudini informatiche. Una delle procedure di autotest online più efficaci, secondo le valutazioni aggiornate degli esperti, è il National Privacy Test realizzato da NordVPN, un buon provider di servizi Vpn. Il test è in inglese, ma è semplice e chiaro. Non è rivolto solo a chi è già esperto ma è comprensibile e praticabile (a maggior ragione) da tutti. Bastano pochi minuti, dopo avere cliccato su “start”, per rispondere a 20 domande chiave e avere le relative risposte, che riguardano tra l’altro la consapevolezza e le conseguenze dei permessi che concediamo alle applicazioni sulla condivisione e l’utilizzo dei nostri dati, cosa conviene fare quando un’applicazione ci comunica la disponibilità di un aggiornamento, come controllare e migliorare la sicurezza della nostra rete WiFi, come confezionare una password sufficientemente sicura, come capire se un sito che contiene richieste di informazioni sensibili può nascondere a sua volta l’identità mascherata di un pirata, come verificare che il nostro televisore smart non contenga delle funzioni spia (succede anche questo), e naturalmente come si identificano e come ci si difende da un tentativo di phishing. Studiamo e applichiamoci almeno un po’. Conviene.
