Cybersicurezza e cybercriminali: come comportarsi. Intervista al Professor Marco Prandini a cura di Innocenzo Orlando da Mister Credit (news@mistercredit.it)

 Se il tuo cellulare presenta il messaggio di errore “Nessuna SIM presente” fai attenzione, potrebbe non trattarsi di un guasto del telefono ma di un attacco al tuo Internet Banking.

L’operazione di Sim Swap rende inutilizzabile la tua SIM, tramite attacchi malevoli i frodatori riescono a duplicarla e, rivolgendosi, con un documento falso a un negozio di telefonia, riescono a far migrare il tuo numero di telefono su una nuova SIM, che potranno usare a loro piacere.

Iniziano così a operare con le tue credenziali, ricevendo sulla nuova SIM le notifiche e gli SMS necessari per autorizzare le operazioni bancarie.

Segui questi comportamenti virtuosi per non cadere vittima di truffatori:
Se noti che il tuo telefono ha perso inaspettatamente il segnale, contatta immediatamente il tuo gestore, potrebbe riuscire a bloccare lo scambio della SIM prima che quella del truffatore venga attivata.
Non spegnere il telefono, anche se ricevi diverse chiamate fastidiose.
Controlla il tuo conto online e verifica eventuali pagamenti effettuati senza la tua autorizzazione.
Se pensi di essere vittima di Sim Swap contatta la tua banca, in modo tale che possa bloccarti temporaneamente il conto.

Cybersicurezza e cybercriminali: come comportarsi. Intervista al Professor Marco Prandini

Fondamentale quanto ostico ai non addetti ai lavori, il tema della cybersecurity è al centro di moltissime iniziative per la formazione di nuove figure professionali specialistiche in grado di proteggere individui e aziende dagli attacchi sempre più frequenti e sofisticati da parte di cybercriminali.

Una delle più avanzate in Italia è senza dubbio il Master in Cybersecurity: from design to operations dell’Università di Bologna, sostenuto da CRIF e diretto dal Professor Marco Prandini, che da oltre vent’anni si occupa di fare ricerca in questo settore in continua evoluzione. Lo abbiamo intervistato perché offra ai nostri lettori dei preziosi consigli su come proteggere i propri dati.

Chi sono i cybercriminali? Ed è vero che sono sempre di più?

Sì, è vero che sono sempre di più. Per quanto riguarda chi sono invece la risposta è un po’ più complessa. Ci sono tante categorie differenti di cybercriminali, e quello che possono fare gli utenti è interrogarsi su quali possono essere effettivamente interessati ai loro dati.

Si va dai classici criminali che si sono dedicati al mondo cyber e vanno alla ricerca di modi per sfruttare direttamente i dati che possono sottrarre con truffe o altre modalità, ai concorrenti industriali che possono avere un budget maggiore per montare degli attacchi mirati, fino ad arrivare ai cyberterroristi e a chi pratica la vera e propria guerra cibernetica.

Un altro aspetto da considerare è che non ci sono solo persone tecnicamente molto preparate, con obiettivi specifici, ma anche un’enorme platea di persone – i cosiddetti script kiddie – che utilizzano degli strumenti relativamente semplici e pronti all’uso per compiere attacchi contando sui numeri. Un esempio è il phishing: inviando migliaia o milioni di messaggi poco sofisticati, gli attaccanti scommettono sul fatto che anche solo un utente su 100 ci caschi per ottenere il risultato che cercano. Insomma, non si tratta solo di criminali con una grande esperienza, ma bisogna anche stare attenti all’attacco occasionale, di bassa tecnologia.

Nella sua esperienza, quali sono gli ambiti in cui gli utenti sono più vulnerabili nel loro uso della rete?

I social media sono certamente un ambito di rischio, soprattutto perché, senza riflettere troppo, gli utenti possono pubblicare informazioni o contenuti che diventano disponibili a tutto il mondo, con possibili conseguenze nefaste. Un caso classico è quello di una foto non proprio edificante scattata a una festa, che poi può avere delle ricadute sulla propria vita professionale. Sui social è molto facile non fare più una distinzione tra vita pubblica e privata, distinzione che invece bisogna sempre avere ben presente.

L’altro aspetto è più quantitativo: abbiamo a che fare con una tale quantità di piattaforme – online banking, acquisti online, ecc – che diventa molto facile confondere un messaggio che ci arriva apparentemente da una di queste piattaforme, e che invece ci è stato inviato a scopo di truffa.

Cosa non deve mai mancare in un PC dal punto di vista della sicurezza?

Di sicuro non deve mai mancare un meccanismo di autenticazione forte. Occorre rassegnarsi al fatto che certe azioni chiave devono essere effettuate solo dopo aver dimostrato la propria identità attraverso un meccanismo robusto. La password continua a essere lo strumento più diffuso. Visti i suoi limiti si stanno cercando soluzioni alternative, ma fintanto che saremo costretti a usarla, è fondamentale sceglierla in modo che non sia facile da indovinare o da scoprire per tentativi.

Bisogna poi anche ricordarsi che alcuni attacchi, soprattutto specifici di certi ambienti e non così frequenti, possono essere opportunistici. Per esempio un PC normalmente protetto da una password molto forte che viene lasciato sbloccato per mezz’ora perché il proprietario è stato chiamato nella stanza accanto. Questo momento di disattenzione, in certi ambienti, può avere pessime conseguenze.

Un ulteriore punto è quello dell’aggiornamento: gli attaccanti via rete sfruttano delle vulnerabilità dovute a degli errori di programmazione del software che gira sul PC, sul server, o su qualunque dispositivo. Mantenere sempre aggiornati il sistema operativo e le applicazioni è importante.

Altro aspetto è quello della disponibilità: a volte un attacco non è mirato a rubare direttamente qualcosa, ma a impedirmi di fare qualcosa, così che il mio avversario ne abbia un vantaggio. Avere dei backup ben fatti, conservati in un luogo sicuro, fuori portata dai criminali, è una pratica fondamentale. Pensiamo ai ransomware: se subisco un attacco che mi cifra l’hard disk ma ho un backup su un dispositivo del tutto disconnesso dal computer, magari in più copie, e quindi posso recuperare quei file che sono stati cifrati, l’attacco è mitigato.

Il consiglio di installare un antivirus è sempre valido, però diciamo che al giorno d’oggi può fare poco di fronte a comportamenti avventati. In un ambito di cosiddetta defence in depth, difesa in profondità, è un elemento in più, ma l’ho tenuto per ultimo in questo elenco perché voglio che sia ben chiaro che la sua importanza non deve andare a discapito di altre cose. La sicurezza è principalmente costruita su un uso consapevole degli strumenti, sui comportanti più che sull’adozione di un software che può dare un falso senso di sicurezza.

Un’ultimissima cosa che riguarda però casi particolari. In ambienti abbastanza critici, se parliamo di un PC fisso magari è bene fare un controllo periodico della sua integrità fisica. È molto facile collegare un piccolo dispositivo che permette di memorizzare tutto quello che viene digitato sulla tastiera o addirittura fare degli screenshot dello schermo, senza che l’utilizzatore si accorga della sua presenza. Anche la protezione fisica, in un PC aziendale può essere un elemento da tenere in considerazione.

E in un dispositivo mobile?

Vale tutto quanto detto per i dispositivi fissi, a parte ovviamente il punto che riguarda l’integrità fisica. Come per il computer, vale il discorso sull’autenticazione forte. Non bisogna usare un PIN troppo facile, ma password serie. Ricordarsi di mantenere sempre bloccato il telefono. La biometria è uno strumento molto comodo, ma in alcuni casi può essere una protezione un po’ meno forte rispetto a una password robusta.

Un messaggio importante che bisogna far passare è che la sicurezza molto spesso va a discapito dell’usabilità. Se va talmente a discapito dell’usabilità che poi l’utente si disaffeziona alla sicurezza, chiaramente questa è la situazione peggiore. Occorre trovare un equilibrio.

Lo stesso discorso già fatto per i PC per quanto riguarda gli aggiornamenti torna anche qui: i produttori di telefoni ci tengono ad avere una buona reputazione e ci tengono molto alla sicurezza dei loro sistemi operativi. Ecco perché, inoltre, è bene evitare l’installazione di sistemi operativi non ufficiali. Si parla molto di rooting dei dispositivi Android: facendo così si sfondano le difese del telefono per avere un proprio vantaggio, magari per customizzare il dispositivo, ma di questo possono avvantaggiarsene anche gli avversari.

Se nel telefono sono presenti dei dati sensibili occorre assolutamente sfruttare le funzionalità di cifratura e anche predisporre funzionalità di cancellazione remota o automatica quando sul telefono per esempio viene digitata la password sbagliata un certo numero di volte. In questo modo si può star certi che i propri dati non cadano in mani sbagliate.

Se dovesse elencare alcuni principi da seguire sempre quando si usano dei dispositivi connessi a internet per proteggere i propri dati sensibili, quali sarebbero?

Sia su telefono che su PC è possibile utilizzare le cosiddette VPN, cioè sistemi che cifrano tutto il traffico facendolo passare da dei server intermedi. Questo non è che risolva il problema a priori, perché ci si collega a un server esterno di cui bisogna in un certo senso fidarsi, però è vero che se non altro in questo modo si risolve in maniera abbastanza netta il problema di insicurezza della rete di accesso. Aeroporti, alberghi, bar, biblioteche offrono in genere il wifi gratuito. È bene considerare in generale non sicure queste reti, ma se proprio siamo costretti a connetterci, utilizzando una VPN possiamo limitare i rischi.

Allo stesso modo se vogliamo navigare su siti di cui non ci fidiamo molto, è possibile utilizzare le sandbox. Nel caso di un computer si possono utilizzare delle vere e proprie macchine virtuali usa e getta, che anche se vengono infettate dal sito in cui ci troviamo vengono poi buttate via. Non sono difficili da usare e rappresentano una buona protezione. Ricordiamoci invece che la cosiddetta “modalità anonima” dei browser va considerata solo un modo comodo di non memorizzare cookie e cronologia, non offre protezione robusta da comportamenti malevoli.

In generale, poi, ogni volta che abbiamo una preoccupazione per i nostri dati dovremmo cifrarli. Al giorno d’oggi ci sono strumenti per la cifratura dei dati che sono sostanzialmente trasparenti, quindi una volta digitata la robusta password che sblocca la cifratura non ci accorgiamo del fatto che i documenti vengano cifrati prima di essere salvati e decifrati al momento dell’apertura. Fanno tutto loro. La cifratura al momento è l’anello più forte della catena della sicurezza, quindi se fatta bene e protetta da una password robusta ci permette di depositare con tranquillità i nostri file anche su drive condivisi.

Passando al discorso dell’autenticazione, è fondamentale implementare quella a più fattori. Su questo punto vale la pena notare che deve essere veramente a più fattori: se tutti i fattori sono, per esempio, sullo stesso smartphone, se quest’ultimo cade in mani sbagliate allora serve a poco. E cosa accade se quel dispositivo mi diventa inaccessibile, magari perché lo perdo? Sono chiuso fuori da tutti gli elementi critici della mia vita sociale ed economica. Il rischio è molto grosso.

Bisogna anche pensare ai meccanismi di recupero, che devono essere sicuri perché se basta conoscere un dato della mia vita privata per recuperare una password, o far spedire un link via email per resettarla, allora a quel punto ovviamente chiunque abbia accesso ai miei profili social, o chi mi ruba il telefono e ha accesso alla mia casella di posta, può accedere ai miei account con molta facilità. Gli strumenti sono ormai tutti abbastanza semplici da usare, ma diventa complessa la combinazione di procedure che bisogna aver presente per non dimenticarci di fare ogni volta le piccole cose giuste ed evitare quelle sbagliate.

E quali sono invece i comportamenti da evitare?

La prima cosa da evitare l’abbiamo già citata, ed è connettersi a reti pubbliche senza la protezione di una VPN. Poi un altro fattore di potenziale pericolo è eccedere in automazione. Oggi abbiamo a disposizione moltissimi strumenti che ci aiutano ad automatizzare alcuni processi di sicurezza, come le password salvate nel browser o un password manager che fa il riempimento automatico delle credenziali quando visitiamo un sito. Tutto molto bello, ma se caschiamo sul sito di un truffatore che è stato progettato apposta per farci riempire automaticamente dei campi con le nostre credenziali, senza nemmeno avere il tempo di intervenire ci troviamo ad aver inviato i nostri dati sensibili ad un truffatore.

Un altro esempio: il GDPR ci ha abituati al fatto che tutti i siti ci chiedono se vogliamo accettare i cookie oppure no, e siccome abbiamo fretta tipicamente diciamo di sì. Ecco, prendersi il tempo, magari solo 10 secondi, per deselezionare le voci che non ci interessano, come i cookie di marketing di profilazione, è un’attività noiosa ma che ci permette di ridurre la nostra esposizione.

Altro comportamento da evitare è quello di usare credenziali uguali per diversi siti, perché c’è sempre il pericolo che vengano sottratte da uno di questi, rendendo immediatamente accessibile il nostro account su tutti gli altri. Per questo è utile utilizzare degli strumenti di password management, perché è impensabile che un essere umano crei delle password veramente difficili da indovinare (e di conseguenza da ricordare) per decine o centinaia di siti diversi. Chiaramente però a quel punto torniamo all’inizio del ragionamento. Il password manager cifra le password, ma almeno le password principali – quella che decifra il database del password manager, quella del PC e quella dello smartphone – devono essere a prova di bomba e non devono essere scritte su un file in chiaro, o su un post it.

Possiamo scriverle su un quadernino da conservare a casa riposto insieme ai documenti importanti, in modo da poterle ritrovare ma che non siano accessibili da malintenzionati online. La buona vecchia carta insomma può tornarci utile, rappresentando un compromesso da cybersicurezza e memoria.
Questo ci porta a una nota finale un po’ cupa ma molto realista: occorre imparare a proteggere la nostra vita digitale, ma non renderla ermeticamente chiusa. La vita infatti finisce, o può renderci incapaci di gestire da noi gli elementi più importanti del nostro lavoro o della nostra socialità. Approntare una copia cartacea delle informazioni essenziali per l’accesso ai nostri account essenziali è anche un modo di semplificare la transizione per i nostri cari.