Borseggiatori della tua identità

d Web

di Stefano Moro

Borseggiatori

della tua identità

Troppo spesso sottovalutiamo le password che proteggono la nostra posta elettronica.

Ma subirne il furto si trasforma immediatamente in un incubo.

A molti di noi è successo di subire il furto del portafoglio, magari in pullman o in un luogo affollato. È una gran seccatura. Oltre alle banconote, perse per sempre, il nostro pensiero è andato subito a bancomat, carta di credito, patente, carta d’identità. Poi, dopo un po’, ci sono venute in mente tutte le cose che tenevamo dentro, schiacciate tra una tessera e l’altra, e così, sconsolati, abbiamo pensato a quanto è andato in fumo tra foto, biglietti e ricordi. E allora di corsa a fare la denuncia, bloccare le carte e rifare i documenti... ci sono voluti giorni a sistemare tutto!

Ora immaginiamoci per un attimo che qualcuno ci abbia rubato la password del nostro account di posta elettronica. Come questo possa avvenire lo vedremo più avanti, ma per ora facciamo questa ipotesi. Che sarà mai, qualcuno vedrà le nostre email, molto meglio che se si fosse preso la carta di credito! In realtà si è preso molto di più, se solo siamo utenti abituali della rete e dei suoi servizi, con il nostro indirizzo di posta elettronica si è preso la nostra identità.

Riflettiamoci un attimo

Un malintenzionato entra nella nostra casella di posta, diciamo una webmail tipo Gmail. Ci troverà magari cinque anni della nostra vita. Amici, fidanzate e parenti, scuola, lavoro, feste, concerti, viaggi, idee, politica, interessi, insomma riferimenti a tutta la nostra vita, sia quella online che quella offline. Quasi certamente capirà qual è il nostro indirizzo e qual è la nostra banca, scoprirà che abbiamo account su Amazon, eBay, Aruba, Facebook e Twitter; vedrà che abbiamo un abbonamento al circolo cinematografico e a una rivista di viaggi. Non solo, troverà probabilmente anche le scansioni della nostra carta d’identità e del passaporto, che abbiamo fatto in vista dell’ultimo viaggio. Nel giro di poco, rimpiangeremo di non aver perso solo il portafoglio. Il malintenzionato avrà in mano la nostra identità.

Per prima cosa cambierà la password del nostro account, così non potremo più accedere noi. Poi, se siamo fortunati, si limiterà a spillarci facilmente dei soldi. Andrà su Amazon e fingerà di essersi dimenticato la password, facendola mandare all’indirizzo email del proprietario, cioè noi, ma ora lui. Così potrà procedere a tutti gli acquisti con la nostra carta di credito registrata sul sito. E non parliamo di Paypal, Groupon, eBay, eccetera eccetera: potrà senza fatica fare spese a nostro nome e con i nostri soldi. Se siamo sfortunati, il soggetto in questione avrà dei giri un po’ loschi e avrà piacere di fare un po’ di operazioni online senza usare la propria identità. Niente di più facile! Potrà attivare servizi e contratti molto agevolmente a nostro nome inviando ogni volta la scansione dei nostri documenti e facendo le più varie operazioni a nostro nome. E sì, se siamo sfortunati, il furto della nostra password si trasformerà in un vero e proprio incubo e ci torneranno alla mente le immagini di quel film, bruttino a dire il vero ma certamente lungimirante, in cui la protagonista, interpretata da Sandra Bullock, si ritrovava letteralmente intrappolata e senza identità. Era The Net, del 1995, nel secolo scorso. Oggi lo scenario potrebbe essere ben peggiore.

Uno dei casi più eclatanti

Ai più scettici ricordiamo un famoso “scippo” della posta elettronica. Era il 2008 e Sarah Palin era la candidata repubblicana alla vicepresidenza degli Stati Uniti, quando uno studente di vent’anni sfruttò il meccanismo della domanda di sicurezza per entrare, senza alcuna difficoltà, nella casella Yahoo! della candidata e diffondere sulla rete la nuova password, rendendo così disponibili a tutti le foto, la corrispondenza e persino le informazioni di Stato transitate sulla casella privata della Palin. Il trucco? Molto semplice, è bastato accedere alla casella di posta fingendo di essersi dimenticati la password e farsi porre le domande di sicurezza per impostarne una nuova. Poi un salto veloce su Wikipedia e Google per trovare le risposte su data di nascita (11 febbraio 1964) e luogo in cui avesse conosciuto suo marito (Wasilla High School).

Il furto d’identità non proseguì molto oltre, naturalmente, visto che la candidata alla vicepresidenza fece bloccare l’account da Yahoo!, ma è evidente quanto fosse debole e pericoloso il meccanismo delle domande di sicurezza, che fortunatamente oggi è meno utilizzato di allora. Ed è altrettanto evidente quanto lo scenario sopra descritto sia, ahimè, realistico. È vero che oggi il caso Palin sarebbe più difficile, visto che i più importanti provider di posta hanno rimosso le domande di sicurezza o hanno complicato il meccanismo di recupero, tuttavia non possiamo dormire sonni tranquilli.

Conoscere il rischio

È indispensabile attuare alcune misure preventive e, nel caso più sfortunato, avviare tutte le azioni necessarie a evitare le conseguenze più dannose.

Vi sono infatti vari modi per consegnare a un malintenzionato le nostre password: il phishing prima di tutto. Quante volte avete ricevuto una email o un SMS che vi diceva “Gentile cliente, la sua carta BancoPosta è stata bloccata temporaneamente, la riattivi cliccando su poste.qualcosa.attivazionecarta” e seguendo il link avete trovato una pagina che tentava di essere simile a quella delle Poste e vi chiedeva username e password?

Questa è la tecnica più diffusa e insidiosa per impossessarsi delle password e degli account dei malcapitati, ma anche un virus oppure un attacco informatico ai server dei servizi che utilizziamo sono modi con cui milioni di password possono essere rubate. E se per caso abbiamo la pessima abitudine di usare ovunque la stessa password, capite bene che è sufficiente l’attacco a un server di un servizio web sconosciuto che abbiamo utilizzato anche una sola volta per mettere a rischio tutti i nostri account.

Ci sono altre disattenzioni e altri eventi che possono avere lo stesso effetto, come perdere i supporti su cui teniamo le password per non dimenticarle: un foglietto, una chiavetta usb o il cellulare.

Solo qualche settimana fa più di cinque milioni di account, per lo più russi, di Gmail sono stati craccati, anche se non è ancora del tutto chiara la modalità, che sembrerebbe legata a tecniche massive di phishing, più che ad attacchi ai server.  Poi c’è il caso Camilleri, l’anziano scrittore siciliano che da tempo ormai denuncia invano che l’Andrea Camilleri che imperversa su Facebook non è lui.

Insomma, lo scenario da film in cui c’è un altro che si chiama come noi e vive e vegeta indisturbato in rete è purtroppo più che attuale, l’attenzione non può scendere ed è bene agire in modo preventivo sul proprio comportamento in rete e sulla gestione delle proprie password, che devono essere complesse, vanno cambiate di frequente e devono essere conservate al sicuro. E se nonostante tutto subite un furto di password o, peggio, d’identità, prendete la cosa molto sul serio, fate denuncia alle autorità, segnalate l’accaduto ai provider, alla vostra banca e ai servizi web coinvolti perché blocchino gli account e le carte, e non dimenticatevi di cambiare tutte le password rimaste inalterate.

E la prossima volta fatevi rubare il portafoglio, che è molto meglio.