Cybersicurezza è un concetto sempre più dibattuto, nevralgico nella vita lavorativa e quella quotidiana. Furto d’identità. Frode finanziaria. Malware dannoso. ransomware. Che tu sia un professionista della sicurezza informatica, un utente di computer prudente o anche un temerario digitale, le minacce informatiche di oggi sono innegabilmente spaventose, vero?
Bene, solo se non sei a conoscenza di come rilevarle e proteggerti da loro!
In questo post, ti stiamo fornendo una semplice (ma potente) guida sulla sicurezza informatica per affrontare la criminalità informatica e vili attacchi digitali.
Consapevolezza della sicurezza informatica (allenarsi per individuare gli attacchi)
Il rapporto sulle indagini sulle violazioni dei dati del 2022 di Verizon ha rivelato che l’82% delle violazioni dei dati ha riguardato un fattore umano. Ciò include incidenti in cui i dipendenti o membri di organizzazioni espongono informazioni direttamente (ad es. configurazione errata dei database) o cadono preda di attacchi di ingegneria sociale e altri errori che consentono ai criminali informatici di infiltrarsi nei sistemi.
La sicurezza informatica può sembrare un argomento complesso, ma in fondo è tutta una questione di persone. Ecco perché rimanere al sicuro online inizia con l’aumentare il livello di base di consapevolezza e comprensione delle diverse minacce informatiche.
Questo è l’obiettivo principale alla base del mese della consapevolezza sulla cybersicurezza (Cyber-awareness month), un’iniziativa per ora diffusa negli Stati Uniti con l’obiettivo di parlare della sicurezza online e come proteggersi dalla criminalità digitale.
Passiamo agli attacchi più importanti di cui essere a conoscenza nel 2022 (e come difendersi)!
Truffe di phishing
Il phishing è un tipo subdolo di attacco di ingegneria sociale (non si tratta di una facoltà, ma è il termine che indica una serie di tecniche atte a persuadere una persona al fine di ottenere uno o più dati personali che altrimenti non sarebbero pubblici) utilizzato per rubare dati, come i cookie o informazioni personali, come credenziali di accesso e numeri di carta di credito (gli attacchi di ingegneria sociale si basano fortemente sull’interazione umana e spesso coinvolgono la manipolazione delle persone).
Agendo come un’entità o una persona fidata, un utente malintenzionato utilizzerà e-mail, testo o messaggi social realistici per indurre le vittime a fare clic su collegamenti dannosi o a consegnare accidentalmente informazioni personali sensibili.
Come individuare un attacco di phishing
Gli attacchi di phishing sono un tipo speciale di sinistro a causa della loro ingannevolezza.
Saremmo tutti stanchi di ricevere un’e-mail da uno sconosciuto a caso che (per qualche strana ragione) vuole immagazzinare denaro nel nostro conto bancario e richiede i dettagli del nostro conto.
Le truffe di phishing di oggi, tuttavia, sono più astute e sembrano provenire da fonti affidabili e popolari. Hacker e truffatori dannosi imiteranno i loghi e i domini e-mail di un marchio ufficiale e faranno richieste urgenti per indurre le vittime ignare a pensare che il messaggio sia autentico.
La chiave per difendersi dal phishing è conoscere i segni e i messaggi rivelatori:
- Richiesta di accesso o aggiornamento dei messaggi di informazioni di pagamento: ricevi cambi di politiche sulle credenziali di accesso o di richieste di aggiornamento rispetto a dettagli di pagamento. Le persone colpite sono incoraggiate ad aggiornare e inviare dettagli al fine di evitare la disattivazione dell’account o la perdita dell’accesso a un prodotto o servizio.
- Fatture false e conferma di consegna: notifica di pagamenti in sospeso per acquisti falsi o conferma di merce contraffatta. Si affidano all’urgenza e alla paura per convincere le vittime a fare clic su collegamenti o scaricare documenti.
- Avvisi fiscali: preda ai timori legati alle tasse. Queste truffe ad alta pressione inducono gli utenti a inviare pagamenti “scaduti” e informazioni fiscali personali. Sono particolarmente diffusi durante la stagione delle tasse.
- Messaggio sui social media: si condividono inviti apparentemente innocenti a guardare video o fai clic su collegamenti che installano malware in grado di corrompere i dispositivi e compromettere i dati personali.
Per proteggerti dagli attacchi di phishing:
- Cerca nomi di dominio e-mail insoliti o con errori di ortografia.
- Non aprire collegamenti o scaricare allegati a meno che tu non sia sicuro al 100% che provengano da una fonte che conosci o con cui ti aspettavi di interagire.
- Chiediti: il mittente sta usando l’urgenza o la paura per innescare una tua risposta?
- Fa’ attenzione ai saluti generici di un’organizzazione che dovrebbe conoscere il tuo nome (ad esempio un’organizzazione bancaria che ti chiama “signore o signora”).
- Sospetta dei messaggi che promettono ricompense, rimborsi o premi.
Password deboli
Nel 2020, gli hacker che si ritiene operino per conto del governo russo hanno violato il fornitore di software IT SolarWinds, implementando un aggiornamento distruttivo legato a malware che si è infiltrato in almeno 18.000 reti private e governative degli Stati Uniti.
Sebbene questa sia una violazione scioccante, ciò che è ancora più sorprendente è che la violazione potrebbe essere stata causata da uno stagista che ha utilizzato “‘solarwinds123” per una password importante.
Per proteggerti dalle violazioni create da password deboli:
- Rivedi e aggiorna regolarmente le tue password. Vale la pena!
- Sfrutta l’autenticazione a due fattori quando possibile (questo non è negoziabile).
- Non utilizzare la stessa password per più account. Dedica password diverse per app diverse.
- Le password più lunghe che includono caratteri alfanumerici e speciali sono più sicure.
- Usa un gestore di password per memorizzare le tue password.
- Controlla se hai subito un data breach sulla tua email https://haveibeenpwned.com
Utilizzo del dispositivo personale e privacy
Quando una piattaforma di ricerca sui consumatori come Which? ha allestito una casa intelligente sperimentale, i suoi ricercatori sono rimasti sbalorditi dalla raffica di attacchi informatici contro la casa e i dispositivi intelligenti che ospitava: 14 tentativi ogni singola ora.
Sebbene gli attacchi in arrivo contro i tuoi dispositivi domestici siano un pensiero spaventoso, non sono le uniche minacce di cui prendere nota. La mancanza di consapevolezza della sicurezza informatica quando si utilizzano dispositivi personali in pubblico può anche aumentare drasticamente la tua vulnerabilità a un attacco.
Walter Slootbon ha ottenuto l’accesso a una selezione di dispositivi dei clienti in un bar affollato con solo un laptop e un dispositivo di hacking che imitava la rete Wi-Fi del bar, quindi ha reindirizzato tutto il traffico Internet attraverso il suo dispositivo.
Alla fine, il suo laptop ha mostrato l’attività di altri dispositivi che le persone stavano usando nel bar. È stato persino in grado di intercettare le password con pagine Web false (DNS Spoofing) e di scansionare i dispositivi alla ricerca di nomi, password e persino orientamento sessuale.
Fortunatamente, Slotboon è un hacker appassionato di sicurezza informatica che non ha trapelato o compromesso le informazioni degli utenti. Ha condotto l’esperimento per evidenziare i pericoli guidati dalla mancanza di consapevolezza della sicurezza informatica.
Per proteggere i tuoi dispositivi a casa e in pubblico:
- Fidati delle reti pubbliche tanto quanto ti fideresti di un estraneo con il tuo portafoglio. (Si chiama Wi-Fi “pubblico” per un motivo).
- Blocca i dispositivi quando non sono in uso. Sempre.
- Continua a effettuare aggiornamenti! (Preferiresti essere annoiato dagli aggiornamenti o frustrato dalla divulgazione dei tuoi preziosi dati personali?).
- Sii consapevole di ciò a cui dai il consenso! Un’app calcolatrice, ad esempio, non avrà bisogno di accedere ai contatti sul tuo cellulare.
- Presta estrema attenzione durante il download di file da Internet.
Come difendersi dagli attacchi cyber?
Partecipare a Cyberyouth, ad esempio!
Cyberyouth è il progetto europeo che vuole sensibilizzare le giovani generazioni e le associazioni giovanili a una cultura più ampia sulla cybersicurezza, quindi non più limitare la discussione su fenomeni come cyberbullismo, quanto sull’orientamento generale adottato dalle nuove generazioni, e, per questo, essere maggiormente ricettivi alle opportunità di apprendimento su cybersicurezza. Con Cyberyouth vogliamo sensibilizzare a essere curiosi rispetto a questa tematica, così tecnica, ma anche così umana!
Fonti: Hack The Box