I dati degli utenti sono un autentico
business nel dark web. Nei meandri oscuri della rete sono in vendita miliardi di database con i dati personali di ignare vittime. I
data breach continuano a verificarsi a un ritmo allarmante. Secondo le stime degli esperti, nella prima metà del 2019 le violazioni di dati sono cresciute del 54% rispetto allo stesso periodo del 2018. Nel periodo in esame ci sono stati oltre 1.300
data breach documentati, che hanno esposto per lo più indirizzi email e password.
La combinazione di questi dati è impiegata poi negli attacchi automatizzati. Hanno un grande successo a causa del "vizietto" degli utenti di
riutilizzare le password. Significa che una volta andato a buon segno il primo attacco, i criminali informatici usano le stesse credenziali per cercare di bucare altri servizi. Un esempio lampante è il caso di
Disney+. Questo comporta un vantaggio notevole: con il minimo sforzo e la minima spesa si può riuscire ad arrivare a dati personali, dati finanziari, eccetera.
Un'altra attività criminale è sfruttare le informazioni di identificazione per reimpostare la password dell'account della vittima di modo da assumerne il controllo. Oppure per lanciare attacchi di
social engeneering.
Il social engeneering, nel contesto dell'IT, si riferisce alla
manipolazione delle persone. Vengono spinte a ad eseguire azioni o a rinunciare a informazioni riservate con l'inganno, la persuasione, l'imitazione e l'abuso di fiducia. È un concetto ampio che comprende vari tipi di attacchi, incluso il
phishing.
Per quest'ultimo i cyber criminali usano diverse tecniche. Oltre alle classiche email mirate ci sono i messaggi di testo/SMS e le telefonate. Denominatore comune è il tentativo di essere credibili per accaparrarsi la fiducia del destinatario.
A prescindere dal metodo di attacco, quello che conta è che alla fine le violazioni dei dati creano un
circolo vizioso. Enormi quantità di dati consentono ai criminali informatici di sfruttare ogni area di debolezza. Per esempio credenziali compromesse, password deboli, ingenuità degli utenti.
Le aziende devono essere protette
Molti responsabili IT di aziende di piccole e medie dimensioni reputano improbabile di essere obiettivi di data breach. Si sbagliano: secondo le indagini di Verizon e del Ponemon Institute, il 43% delle violazioni dei dati riguarda le piccole imprese.
È quindi imperativo che i responsabili IT colmino le lacune nella verifica dell'identità dei dipendenti. Il primo passo è
definire una politica per le password che bandisca quelle
facilmente indovinabili o compromesse.
È inoltre il momento di implementare
l'autenticazione a più fattori, soprattutto per le attività ad alto rischio, come la reimpostazione della password. Deve prendere il posto delle vecchie tecniche di autenticazione basate sulla conoscenza (KBA) e delle domande di sicurezza. Questo perché nell'epoca moderna i dati personali sono facilmente disponibili, quindi poco sicuri.