Cybersicurezza: quanto siamo esposti?

I nostri dispositivi mobile non sono fortezze inespugnabili. Anzi. E chi lo crede espone se stesso e i suoi soldi a un grosso rischio. Ottobre è stato lo European Cybersecurity Month, il mese della sicurezza cibernetica europea: a promuovere l’iniziativa l’Agenzia dell’Unione europea per la cybersicurezza (Enisa), che nella sua campagna di sensibilizzazione ha acceso i fari sul fenomeno del “social engineering”.

Che cos’è il “social engineering”?

Come spiega Yves Kramer, senior investment manager di Pictet Asset Management, si tratta dell’“insieme delle tecniche utilizzate dai cybercriminali volte a convincere un obiettivo a rivelare informazioni specifiche o a eseguire azioni per motivi illegittimi”.

Come si muove il cybercriminale?

Il cybercriminale fa leva sull’empatia e sulla compiacenza per conquistare la fiducia e l’accondiscendenza della vittima. Fa quindi appello all’urgenza di una sua richiesta (più o meno smaccatamente economica) e loda la capacità della vittima di risolvere il problema. Avete presente le truffe affettive, no? Il meccanismo non è dissimile. In questo caso, l’obiettivo è ottenere informazioni (dati per l’accesso al conto, per esempio) oppure soldi, per poi sparire.

Il problema è che spesso, in modo inconsapevole, condividiamo dai nostri smartphone informazioni sulla nostra sfera personale: ci esponiamo attraverso i social, ma anche – come sottolinea Kramer – tramite applicazioni bancarie, portali sanitari, cassetti fiscali o servizi di messaggistica.

Una montagna di dati personali più o meno consapevolmente condivisi, senza una giusta e opportuna preoccupazione sul tema della sicurezza.

Anche le aziende sono sotto attacco

Non solo privati, però. Come evidenzia in una recente nota S&P, gli autori degli attacchi prendono di mira anche le aziende, in special modo quelle di settori che basano la loro attività su dati estesi e sensibili sulla clientela o i settori che forniscono servizi critici, come l’informatica, le telecomunicazioni, i media e l’intrattenimento e la vendita al dettaglio. La verità, però, è che nessun settore è immune dagli attacchi informatici.

Le analisi di S&P evidenziano come i “data breach” (le violazioni dei dati) e gli attacchi “ransomware” (mediante installazione di un software malevolo che blocca ogni cosa e per sbloccare si chiede un riscatto) rappresentino le categorie più comuni di incidenti informatici.

Non sempre è colpa del singolo dipendente

Sebbene gran parte degli attacchi informatici siano causati dal cosiddetto “phishing” o da errori dei dipendenti, ci dice S&P, molte violazioni sono dovute ad attacchi contro fornitori terzi per via di falle nella loro sicurezza. Questo porta in primo piano la necessità per le organizzazioni di attrezzarsi di più e meglio contro il rischio informatico proveniente, per l’appunto, da terze parti.

E noi comuni mortali, cosa possiamo fare? È presto detto. A parte attrezzarci tecnologicamente, dobbiamo sempre fare molta attenzione:

• alle informazioni personali che condividiamo in rete;
• a cliccare i link dei messaggi che ci arrivano via posta elettronica o via sms;
• a rispondere ai messaggi che ci arrivano via posta elettronica o via sms (in uno recentissimo, un inesistente figlio di chi vi scrive recitava “ciao mamma, mi è caduto il telefono nel water, questo è il mio nuovo numero, puoi mandarmi un messaggio su Whatsapp?”, e ovviamente non è stato inviato alcun messaggio via Whatsapp);
• a condividere i dati di accesso ai nostri account bancari.

Insomma, la formula è la stessa di sempre. Ed è, per lo meno, un buon inizio.