Cyber summer: come essere sicuri in vacanza?

I consigli di Fortinet per godersi l’estate alla larga da minacce informatiche

In estate, l’allerta si abbassa, ma i criminali informatici non vanno in vacanza: quando non riescono a rubare direttamente denaro, sottrarranno altre informazioni personali degli utenti (dati finanziari e identità personali) da rivendere sul dark web. Il costo globale della criminalità informatica ha raggiunto l’anno scorso 600 miliardi di dollari.

Di seguito sette consigli di Fortinet (qui il suo ultimo white paper) da tenere a mente per proteggersi online quando si è in vacanza:

1. Collegarsi a reti wi-fi sicure

In viaggio per visitare i parenti o per raggiungere il mare, vorrete restare connessi. Il che significa accedere ai punti di accesso Wi-Fi pubblici. Molti sono perfettamente sicuri, ma non sempre è così. I criminali informatici che cercano di sottrarre i dati personali hanno una serie di assi nella manica. Possono connettersi a un access point pubblico e quindi impostare se stessi come punto di accesso: una volta connessi a loro, gli hacker connettono l’utente a Internet, potendo intercettarne tutti i dati durante la navigazione sui siti di acquisti online, della banca, del sistema di home security, o qualsiasi altro sito si voglia visitare.

Se si viaggia all’estero, è buona norma inoltre disattivare il wi-fi all’arrivo in un nuovo Paese. Si verificano incidenti in cui i viaggiatori, arrivati in aeroporto, si collegano al wi-fi fasullo e vengono colpiti da un attacco “man-in-the-middle”. Quindi, una buona pratica è quella di disattivare il wi-fi fino a quando non è possibile verificare il SSID di un accesso wi-fi autentico. Lo stesso vale per il bluetooth: è bene accenderlo solo quando serve in viaggio.

Per le feste estive in giardino o la maratona di videogame dei vostri figli, configurate una rete Wi-Fi dedicata agli ospiti. Potranno comunque navigare su Internet restando separati dalla rete domestica interna. Inoltre, verranno riconnessi automaticamente come guest la volta successiva in cui si trovano nei pressi del router.

Anche molti dispositivi smart cercano automaticamente i punti di connessione noti, come il Wi-Fi domestico. Nuovi metodi di attacchi sono in grado di rilevarlo e semplicemente chiedere al dispositivo quale SSID stanno cercando. Quando il telefono comunica che sta cercando il router domestico, risponde con messaggio fasullo che comunica di connettersi come router di casa. E il vostro telefono, non essendo sempre così “smart” come crede, va avanti e si connette.

La parte difficile è che non è sempre possibile distinguere un punto di accesso autentico da uno fasullo, che è esattamente la chiave sfruttata dai criminali informatici. Ecco alcune cose che è possibile fare. Il primo è semplicemente chiedere alla struttura o allo stabilimento il nome del proprio SSID wi-fi prima di connettersi. È inoltre opportuno considerare l'installazione di un software VPN  sul proprio dispositivo in modo da poter effettuare una connessione crittografata sicura a un servizio noto. Esistono numerosi servizi a basso costo o gratuiti che garantiscono che la connessione sia sempre protetta.

2. Aggiornare le password

Uno dei principali errori che le persone commettono è utilizzare la stessa identica password per tutti gli account online. Ovviamente, tendiamo a navigare su moltissimi siti web differenti, pertanto è impossibile tenere traccia di una password univoca per ciascun sito.

Esistono due tipi di approccio. Il primo è utilizzare un’applicazione vault, ovvero un archivio della password che memorizza il nome utente e la password per ogni account, per cui basta ricordare la singola password per quell'applicazione e il vault si occupa di tutto il resto. L'altro è creare insiemi di applicazioni, e quindi creare password più complesse per ogni gruppo differente: un set di password per i social media, un altro per i siti dove si pagano le bollette e un altro per la banca.

Ma creare password forti non è così difficile da ricordare come sembra. Ad esempio, basta usare le prime lettere di una frase o di una canzone preferita, aggiungere un po' di lettere maiuscole e sostituire alcune lettere con numeri o caratteri speciali per avere una password piuttosto sicura. Basta impostare un promemoria sul calendario per aggiornarle dopo qualche settimana.

Molti siti di social network ora supportano anche l'autenticazione a due fattori. È un passaggio ulteriore nel processo di accesso, in quanto è necessario inserire una password e quindi convalidare tale accesso utilizzando un'altra forma di autenticazione, come l'inserimento di un codice inviato al dispositivo mobile. Questo aumenta in modo significativo la sicurezza del proprio account e delle credenziali.

3. Riconoscere le truffe via email e sul web

Non cliccate sui collegamenti negli annunci inviati via e-mail o pubblicati su siti web, a meno di non averli controllati prima. Per quanto allettante possa essere, non aprite mai un’email o cliccate su un allegato da un mittente sconosciuto, specialmente se include nell’oggetto email un argomento accattivante, come un premio in contanti o una fattura di qualcosa mai acquistato. Dedicate un minuto per controllare anche le e-mail da mittenti conosciuti. Gli account compromessi vengono regolarmente utilizzati per inviare malware alle persone presenti nei contatti, proprio perché i destinatari hanno molte più probabilità di aprire tali email e allegati. Quindi, se un messaggio di qualcuno che conoscete sembra strano o lontano dal personaggio, controllatelo prima di aprirlo.

Per quanto riguarda i siti web, accedendo a un determinato sito, domandatevi se sembra professionale. I collegamenti sono accurati e veloci? Ci sono molti popup? Ci sono errori grammaticali, descrizioni poco chiare o parole errate? Passando il mouse su un link dovreste riuscire a vedere l'URL reale. Sostituisce le lettere con i numeri, come amaz0n.com, o è insolitamente lungo? In questo caso, non cliccate sul link. Si tratta di un attacco phishing e tutto ciò che otterrete è un furto d’identità. Sono tutti cattivi segnali.

4. Proteggersi da virus e malware

Installate un software anti-malware affidabile e con valutazioni positive, mantenetelo aggiornato e attivatelo regolarmente. E poiché nessun software è efficace al 100%, impostate una pianificazione per eseguire una seconda o terza soluzione di sicurezza che effettui la scansione del dispositivo o della rete. (Molte soluzioni forniscono una versione online gratuita o consentono di eseguire una demo gratuita per un periodo di tempo limitato).

Per gli utenti più esperti che utilizzano un laptop o un desktop, considerate anche la possibilità di tenere una macchina virtuale pulita sul dispositivo che potrete utilizzare per la navigazione più sensibile o per eseguire transazioni online dove la sicurezza è cruciale.

5. Mantenere i dispositivi aggiornati

Uno dei vettori di attacco di maggior successo utilizzato dagli hacker è rappresentato dalle vulnerabilità già note, ma che non vengono protette. Gli sviluppatori di dispositivi e app creano regolarmente aggiornamenti di sicurezza progettati per proteggere dalle minacce note. È importante scaricare ed eseguire subito questi aggiornamenti non appena disponibili.

6.     Controllare i social media

Spesso, gli hacker useranno le informazioni personali degli utenti per render più probabile che clicchino su un link. E il luogo più comune da loro utilizzato per ottenere informazioni personali è i social media. Il modo più semplice per evitare ciò è semplicemente impostare rigidi controlli sulla privacy che consentono solo alle persone preselezionate di visualizzare la vostra pagina.

In viaggio, limitate i messaggi sulle vostre vacanze sui siti sociali. Anche se può essere divertente dire a tutti dove si sta andando o cosa si sta facendo, si tratta di informazioni che informano che siete lontani da casa, il che può mettere la propria abitazione a rischio di possibili furti.

Per chi ha un profilo social più aperto, ricordate che i criminali informatici spesso impostano pagine o account fasulli per poi chiedere di essere aggiunti come amici. Ci sono due cose immediate che si possono fare per proteggersi dai criminali che utilizzano false credenziali nella speranza di sottrarre dati o indurre a collegarsi a un sito infetto:

In primo luogo, guardate sempre la home page della persona che effettua la richiesta. Se non la conoscete, e c’è qualcosa di sospetto sulla sua pagina, respingete la richiesta. E in secondo luogo, se la persona che effettua la richiesta è qualcuno che conoscete, controllate se è già collegata tra i vostri amici. Se è così, c'è un’alta probabilità che il suo account sia stato dirottato o clonato.

7.    Sensibilizzare amici e familiari

Condividete queste informazioni con i vostri figli, parenti, amici e colleghi. Questo non solo per evitare incidenti a loro, ma anche per evitarli a voi stessi, essendo collegati da un rapporto di fiducia. Quindi, qualora venissero compromessi, la possibilità che le loro informazioni possano essere utilizzate per indurvi a fare qualcosa che non dovreste, come cliccare su un link o scaricare un file infetto, è molto più alta.

Viviamo in un mondo digitale e il crimine informatico ne è parte. Ci assicuriamo di chiudere l’auto, la porta di casa, guardiamo in entrambe le direzioni prima di attraversare la strada ed evitiamo strade poco sicure. Dobbiamo applicare le stesse precauzioni quando si tratta di navigare nel mondo digitale. Essere al sicuro in casa o nella propria camera d’albergo, non significa, proprio come nel mondo fisico, di essere sicuri al 100% online. Il rischio è inevitabile, ma applicando un po’ più di cautela, imponendo un po' più di controllo sugli strumenti e le applicazioni che utilizziamo e sviluppando un po’ di buonsenso online, il mondo digitale in cui viviamo diventerebbe rapidamente molto più sicuro.