Magazine

Il mondo virtuale è reale. Attraverso il mondo virtuale noi possiamo compiere delle azioni reali, a partire da una transazione bancaria, che avviene online, tramite rete. Queste operazioni sono naturalmente quelle considerate più appetibili dagli hacker “cattivi”, ma non sono le sole, poiché anche ciò che facciamo attraverso un social network può essere appetibile per i malintenzionati. I rischi che corriamo se veniamo “pescati” possono andare dalla perdita dei nostri risparmi all’arresto per reati penali.

Le transazioni bancarie. Nel mondo reale un prelievo viene effettuato da un correntista presso la propria banca mediante identificazione visiva, carta d’identità, firma della distinta di prelievo. Le fasi sono quelle dell’autenticazione dell’utente e dell’identificazione univoca della transazione mediante registrazione di luogo, data e ora in cui l’avente diritto ha effettuato il prelievo. I soldi vengono materialmente consegnati. Nello sportello online, dematerializzato, l’utente digita l’indirizzo web e il sito lo redirige verso una pagina diversa per poterlo identificare. Lì egli inserisce il proprio userid e la propria password e, se viene riconosciuto dal sistema, lo sportello online gli attribuisce un’ulteriore credenziale identificativa (una sequenza alfanumerica) della specifica transazione detta cookie. È il cookie a connotare la transazione, ed è questo il momento più delicato dell’operazione: il momento che fa più gola agli hacker.

In che consiste il Phishing. Gli hacker vanno spesso a pesca di ingenui titolari di conto corrente bancario utilizzando gli spam, ovvero le e-mail false. Basta che l’utente risponda solo una volta ad una e-mail qualsiasi creata da uno spammer perché l’hacker sappia che quella è una e-mail attiva. A quel punto il metodo che segue è il seguente: si connette ad una qualsiasi banca o alle poste e chiede di poter effettuare un prelievo. Il sistema informatico della banca si predispone all’operazione, approntando la pagina di interesse, ma prima di definire il tutto chiede all’hacker di identificarsi inviandogli un messaggio predisposto che puntualmente l’attaccante inserisce in una mail di sua creazione. A questa e-mail aggiunge delle istruzioni malefiche - questo è proprio il termine tecnico - dopo di che la invia a tutti coloro i quali avevano in precedenza risposto ai suoi spam. La sua speranza – che troppo spesso viene realizzata – è che uno degli ingenui utenti abbia proprio quella banca e si riconosca nella richiesta di identificazione. A quel punto, se il correntista abbocca e risponde alla sua banca, il gioco è fatto. All’hacker vengono immediatamente inviati userid e password dell’utente e si attivano le istruzioni malefiche, ovvero quelle che permettono all’hacker di interporsi tra i due soggetti ignari: ogni mossa sia dell’hacker che della banca viene intercettata e, quando la banca riconosce l’utente e gli invia il cookie di identificazione della transazione, esso viene duplicato e lo riceve anche l’hacker il quale a questo punto ha tutti gli strumenti per fare i prelievi che vuole. Si è così appropriato dell’identità del correntista a insaputa sia dell’utente che della banca.

Potremmo essere tutti phisher. Un’altra tecnica, considerata quella classica, di furto d’identità, è molto semplice e potremmo utilizzarla anche noi: basta alterare uno dei numeri delle credenziali che ci invia la banca e possiamo entrare a curiosare nel conto corrente di qualcun altro. Difatti questo è il furto d’identità che si verifica più spesso. Pertanto l’attaccante non deve essere un genio dell’informatica per potersi inserire in un sistema bancario. L’importante per noi è esserne consapevoli e adottare una prudenza che si aggiunga ai sistemi di sicurezza adottati dalla banca. L’anello debole della catena infatti siamo proprio noi sia per via della nostra ingenuità sia per via del nostro PC, dal momento che lo utilizziamo per le cose più svariate e senza rendercene conto possiamo entrare in contatto con vari tipi di virus, cavalli di Troia, cookies ecc. creati magari proprio per captare ciò che stiamo scrivendo sulla nostra tastiera. Per scoprire cosa accade al nostro PC nel momento in cui ci colleghiamo ad internet, esiste uno strumento chiamato Sniffer che può squarciare il velo della nostra inconsapevolezza.

I pericoli nei social network. Il furto d’identità noto come Phishing si appoggia sulla tecnica di hacking nota come social engineering, che sfrutta la partecipazione attiva dell’utente propria del web 2.0. Sia i motori di ricerca che i social network sono da considerarsi un sistema di equazioni per poter risolvere le variabili mancanti: basta conoscere alcuni dati per poter trarne di nuovi. E qui la faccenda si fa ancor più scottante. Potremmo infatti ritenere di non essere appetibili perché il nostro conto corrente bancario è cosa ben grama, ma agli hacker cattivi potrebbero non interessare i nostri soldi, le nostre briciole, ma esclusivamente i nostri dati personali. Quando immettiamo i nostri dati in un social network, ad esempio nome, luogo e data di nascita, essi sono sufficienti per trarne il codice fiscale e il codice fiscale è sufficiente a sua volta per ottenere altre informazioni. I dati personali hanno un mercato vastissimo e milionario: con essi si fabbricano documenti falsi, transazioni allo scopo di riciclaggio di denaro sporco, intestazione di false polizze assicurative e così via. Tutta una serie di reati penali dai quali potremmo essere costretti a doverci difendere durante un processo penale. Cadendo dalle nuvole.

Come difenderci. Se nel mondo reale possiamo riuscire a comprendere se qualcuno ci sta truffando, in quello virtuale capirlo è molto più difficile. Le nostre credenziali potrebbero essere già a disposizione di terzi malintenzionati in questo momento senza che noi ne sappiamo nulla. Per contrastare il problema insito nei social network la OCSE sta approntando dei documenti di tutela della privacy che verranno approvati a breve a livello internazionale. Nel frattempo vale la regola che si dà ai bambini: non accettare caramelle dagli sconosciuti. Ovvero non accettare link dagli sconosciuti. Né sui social network né altrove. Quando riceviamo una e-mail non dobbiamo neanche aprirla se non sappiamo da chi proviene. Già un chiaro indizio che dietro di essa si celi un attaccante si ha nel fatto che spesso esse sono scritte in un pessimo italiano. Anche le web mail vengono riconosciute e tracciate all’esterno, di conseguenza anche se crediamo di non aprirle con il nostro PC invece esse vengono in ogni caso scaricate nella temporary file dove possono compiere ogni sorta di danno. Di conseguenza, qualunque tipo di e-mail proveniente da sconosciuti va immediatamente e completamente cancellata (anche dal cestino) perché in ogni caso, pure se si utilizza solo la preview, essa dà luogo a uno scambio di informazioni tra il nostro computer e quello di chi ci ha inviato l’amo per farci abboccare. Le email rimangono memorizzate nel PC e potrebbero contenere dei programmi spia che scoprono tutto ciò che digitiamo sulla nostra tastiera (dati personali, password, ecc.). Uomo avvisato mezzo salvato.