Il furto di identità è un problema sempre più diffuso e insidioso. È ormai la regola che il furto non sia fine a sé stesso, ma usato per
alimentare attacchi ben più gravi, come quelli
ransomware contro le aziende. Significa che le persone, usando
password deboli o commettendo altre imprudenze nella vita digitale, non rischiano di compromettere solo le proprie informazioni, ma anche le aziende per cui lavorano.
Sono questi i motivi per i quali è così alta l'attenzione verso il
credential stuffing. Debbie Walkowski, Security Threat Researcher di F5 Labs, ha fatto il punto della situazione e dispensato quattro regole di base per proteggere la propria identità.
Il punto di partenza è sempre lo stesso: i cyber criminali non agiscono "ad personam" e non rubano i dati solo delle persone "importanti".
Qualunque utente ha un potenziale interessante, perché attraverso le persone del tutto ordinarie si possono colpire aziende, scuole e altro. Anzi, a vedere le statistiche, le più colpite sono proprio le persone comuni, perché sono bersagli facili.
La conferma c'è stata durante il lockdown: per arrivare alle aziende, i cyber criminali colpivano i lavoratori in
smart working, approfittando delle scarse difese delle reti domestiche e della paura per il virus.
Le password
Sembra un deja-vu, ma è imperativo continuare a insistere sulle password. Del resto sono il primo (e spesso l'unico) baluardo contro gli attacchi informatici. Assodato che
riciclare le password è una pessima abitudine, secondo le statistiche una persona possiede in media tra le 70 e 80 password.
Il problema è archiviarle: non dovrebbero essere appuntate a mano, su fogli, cellulare e altro. Dovrebbero essere archiviate in un
gestore di password che le crittografa. Così facendo, se un cyber criminale dovesse mettere le mani sull'archivio, non riuscirebbe comunque a leggerle.
Debbie Walkowski sottolinea inoltre la contrindicazione a memorizzare le password nel browser, e l'importanza di non usare username che includono il proprio nome, indirizzo email o indizi sulla data di nascita. Tutte queste informazioni, infatti, sono un aiuto importante per i criminali informatici.
L'autenticazione a più fattori
Aspettare il codice via SMS è noioso e complica l'accesso agli account. Ma è anche uno dei modi più efficaci per proteggere i propri account da occhi indiscreti. Bisogna vedere l'autenticazione a più fattori come un livello aggiuntivo di sicurezza, che in molti casi ha dimostrato la propria efficacia.
Condivisione online
Pubblicare online una gran quantità di informazioni sul proprio conto fornisce ai cyber criminali una miniera di informazioni gratuite da usare per il furto di identità. In alcuni casi, gli hacker trovano già pronto tutto quello che gli occorre per assumere l’identità di qualcuno in pochi minuti. È quindi consigliato
ripulire i social media e gli account delle informazioni personali, attivare impostazioni di privacy forti e dare accesso ai dati solo a poche persone. Occhio anche ai quiz e ai giochi: la maggior parte è progettata per raccogliere informazioni personali.
Protezione a casa e nei luoghi pubblici
Quello che è accaduto durante il lockdown ci ha insegnato qualcosa di fondamentale: bisogna proteggere la rete wireless domestica e usare solo
dispositivi IoT che consentono di modificare la password e gestire le impostazioni di sicurezza. Fuori casa, invece, è bene ricordare di non usare il Wi-Fi pubblico per accedere ai servizi bancari, effettuare acquisti o accedere a cartelle cliniche.