Borseggiatori della tua identità
d Web di Stefano Moro Borseggiatori della tua identità Troppo spesso sottovalutiamo le password che proteggono la nostra posta elet...
https://www.dimensioni.org/2014/11/borseggiatori-della-tua-identita.html
d Web
di Stefano Moro
Borseggiatori
della
tua identità
Ma subirne il furto si trasforma
immediatamente in un incubo.
A molti di
noi è successo di subire il furto del portafoglio, magari in pullman o in un luogo affollato. È una gran
seccatura. Oltre alle banconote, perse per sempre, il nostro pensiero è andato
subito a bancomat, carta di credito, patente, carta d’identità. Poi, dopo un
po’, ci sono venute in mente tutte le cose che tenevamo dentro, schiacciate tra
una tessera e l’altra, e così, sconsolati, abbiamo pensato a quanto è andato in
fumo tra foto, biglietti e ricordi. E allora di corsa a fare la denuncia, bloccare
le carte e rifare i documenti... ci sono voluti giorni a sistemare tutto!
Ora
immaginiamoci per un attimo che qualcuno ci abbia rubato la password del nostro account di
posta elettronica.
Come questo possa avvenire lo vedremo più avanti, ma per ora facciamo questa
ipotesi. Che sarà mai, qualcuno vedrà le nostre email, molto meglio che se si
fosse preso la carta di credito! In realtà si è preso molto di più, se solo
siamo utenti abituali della rete e dei suoi servizi, con il nostro indirizzo di
posta elettronica si è preso la nostra identità.
Riflettiamoci un attimo
Un
malintenzionato entra nella nostra casella di posta, diciamo una webmail tipo Gmail.
Ci troverà magari cinque anni della nostra vita. Amici, fidanzate e parenti,
scuola, lavoro, feste, concerti, viaggi, idee, politica, interessi, insomma
riferimenti a tutta la nostra vita, sia quella online che quella offline. Quasi
certamente capirà qual è il nostro indirizzo e qual è la nostra banca, scoprirà
che abbiamo account su Amazon, eBay, Aruba, Facebook e
Twitter; vedrà che abbiamo un abbonamento al circolo cinematografico e a
una rivista di viaggi. Non solo, troverà probabilmente anche le scansioni della
nostra carta d’identità e del passaporto, che abbiamo fatto in vista
dell’ultimo viaggio. Nel giro di poco, rimpiangeremo di non aver perso solo il
portafoglio. Il malintenzionato avrà in mano la nostra identità.
Per prima
cosa cambierà la password del nostro account, così non potremo più accedere
noi. Poi, se siamo fortunati, si limiterà a spillarci facilmente dei soldi.
Andrà su Amazon e fingerà di essersi dimenticato la password, facendola
mandare all’indirizzo email del proprietario, cioè noi, ma ora lui. Così potrà
procedere a tutti gli acquisti con la nostra carta di credito registrata sul sito. E non parliamo di Paypal,
Groupon, eBay, eccetera eccetera: potrà senza fatica fare spese a
nostro nome e con i nostri soldi. Se siamo sfortunati, il soggetto in questione
avrà dei giri un po’ loschi e avrà piacere di fare un po’ di operazioni online
senza usare la propria identità. Niente di più facile! Potrà attivare servizi e
contratti molto agevolmente a nostro nome inviando ogni volta la scansione dei
nostri documenti e facendo le più varie operazioni a nostro nome. E sì, se
siamo sfortunati, il furto della nostra password si trasformerà in un vero e proprio incubo e ci torneranno alla mente le immagini di
quel film, bruttino a dire il vero ma certamente lungimirante, in cui la
protagonista, interpretata da Sandra Bullock, si ritrovava letteralmente intrappolata
e senza identità. Era The Net, del 1995, nel secolo scorso. Oggi lo
scenario potrebbe essere ben peggiore.
Ai più
scettici ricordiamo un famoso “scippo” della posta elettronica. Era il 2008 e Sarah Palin era la candidata repubblicana alla
vicepresidenza degli Stati Uniti, quando uno studente di vent’anni sfruttò il meccanismo della domanda di
sicurezza per entrare, senza alcuna difficoltà, nella casella Yahoo!
della candidata e diffondere sulla rete la nuova password, rendendo così
disponibili a tutti le foto, la corrispondenza e persino le informazioni di
Stato transitate sulla casella privata della Palin. Il trucco? Molto semplice,
è bastato accedere alla casella di posta fingendo di essersi dimenticati la
password e farsi porre le domande di sicurezza per impostarne una nuova. Poi un
salto veloce su Wikipedia e Google per trovare le risposte su
data di nascita (11 febbraio 1964) e luogo in cui avesse conosciuto suo marito
(Wasilla High School).
Il furto
d’identità non proseguì molto oltre, naturalmente, visto che la candidata alla
vicepresidenza fece bloccare l’account da Yahoo!, ma è evidente quanto
fosse debole e pericoloso il meccanismo delle domande di sicurezza, che fortunatamente oggi è meno
utilizzato di allora. Ed è altrettanto evidente quanto lo scenario sopra
descritto sia, ahimè, realistico. È vero che oggi il caso Palin sarebbe più
difficile, visto che i più importanti provider di posta hanno rimosso le
domande di sicurezza o hanno complicato il meccanismo di recupero, tuttavia non
possiamo dormire sonni tranquilli.
Conoscere il rischio
È
indispensabile attuare alcune misure preventive e, nel caso più sfortunato, avviare tutte le azioni
necessarie a evitare le conseguenze più dannose.
Vi sono
infatti vari modi per consegnare a un malintenzionato le nostre password: il phishing prima di tutto. Quante volte avete ricevuto
una email o un SMS che vi diceva “Gentile cliente, la sua carta BancoPosta è
stata bloccata temporaneamente, la riattivi cliccando su poste.qualcosa.attivazionecarta”
e seguendo il link avete trovato una pagina che tentava di essere simile a
quella delle Poste e vi chiedeva username e password?
Questa è la
tecnica più diffusa e insidiosa per impossessarsi delle password e degli
account dei malcapitati, ma anche un virus oppure un attacco informatico ai server dei servizi che utilizziamo sono modi con cui
milioni di password possono essere rubate. E se per caso abbiamo la pessima
abitudine di usare ovunque la stessa password, capite bene che è sufficiente
l’attacco a un server di un servizio web sconosciuto che abbiamo utilizzato
anche una sola volta per mettere a rischio tutti i nostri account.
Ci sono altre disattenzioni e altri eventi che possono avere lo
stesso effetto, come perdere i supporti su cui teniamo le password per non
dimenticarle: un foglietto, una chiavetta usb o il cellulare.
Solo qualche
settimana fa più di cinque milioni di account, per lo più russi, di Gmail sono stati craccati,
anche se non è ancora del tutto chiara la modalità, che sembrerebbe legata a
tecniche massive di phishing, più che ad attacchi ai server. Poi c’è il
caso Camilleri, l’anziano scrittore siciliano che da tempo ormai denuncia invano
che l’Andrea Camilleri che imperversa su Facebook
non è lui.
Insomma, lo
scenario da film in cui c’è un altro che si chiama come noi e vive e vegeta
indisturbato in rete è purtroppo più che attuale, l’attenzione non può scendere
ed è bene agire in modo preventivo sul proprio comportamento in rete e sulla gestione delle proprie password, che devono essere complesse, vanno cambiate
di frequente e devono essere conservate al sicuro. E se nonostante tutto subite
un furto di password o, peggio, d’identità, prendete la cosa molto sul serio,
fate denuncia alle autorità, segnalate l’accaduto ai provider, alla
vostra banca e ai servizi web coinvolti perché blocchino gli account e le
carte, e non dimenticatevi di cambiare tutte le password rimaste inalterate.
E la prossima
volta fatevi rubare il portafoglio, che è molto meglio.