Ransomware e phishing, come difendersi dal contagio digitale
La digitalizzazione crescente della società, cui l'emergenza sanitaria ha impresso un'accelerazione formidabile, insieme ad indiscussi vantaggi, implica un aumento delle azioni di malintenzionati che diffondono software malevoli – soprattutto attraverso ransomware e tecniche di phishing – per varie finalità illecite. Anche l'European data protection board, a seguito dell'analisi dei data breaches segnalati dagli Stati membri dell'Unione europea negli ultimi tempi, ha sottolineato come gli attacchi informatici ransomware e di esfiltrazione di dati (phishing) siano molto frequenti.
Il ransomware è un programma informatico dannoso che "infetta" un dispositivo digitale (PC, tablet, smartphone, smart TV) bloccando l'accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) attraverso la cifratura delle informazioni. Il soggetto che subisce l'attacco è successivamente informato della possibilità di ottenere il codice di decrittazione per "liberare" i contenuti non più accessibili attraverso il pagamento di un riscatto (in inglese, "ransom").
Questo tipo di attacchi avvengono soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che apparentemente sembrano provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate (colleghi di lavoro, conoscenti) e contengano allegati da aprire (spesso "con urgenza"), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), naturalmente collegati a software malevoli.
Inoltre, il ransomware può essere scaricato sul dispositivo quando l'utente clicca link o banner pubblicitari su siti web o social network, oppure quando l'utente naviga su siti web creati ad hoc o "compromessi" da hacker per diventare veicolo del contagio ransomware. Non solo, tale "infezione" può essere diffusa da malintenzionati anche attraverso software e app (giochi, utilità per il PC, persino falsi anti-virus), offerti gratuitamente per invogliare gli utenti al download e infettare così i loro dispositivi.
Un'altra attività malevola negli ultimi anni sempre più diffusa è quella del phishing, tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un'azienda – username e password, codici di accesso (come il pin del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito – con l'intento di compiere operazioni fraudolente.
Gli attacchi informatici che si perpetuano attraverso il phishing hanno in comune con il ransomware il fatto che il rischio deriva dall'azione di una terza parte non autorizzata e malintenzionata, tuttavia le due tipologie di attacco hanno finalità diverse.
Come abbiamo visto, il software dannoso del ransomware cifra i dati personali dell'utente, a cui successivamente l'aggressore chiede un riscatto in cambio del codice di decrittazione, mentre con il phishing l'utente viene spinto a porre in essere determinate attività affinché l'hacker possa copiare (in termini tecnici, "esfiltrare") i suoi dati per utilizzarli a scopo fraudolento e a suo danno. I dati "rubati", infatti, possono poi essere utilizzati per fare acquisti a spese del soggetto che subisce l'attacco utilizzando per esempio la sua carta di credito, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali.
Come il ransomware, l'attività illecita di phishing avviene di solito via e-mail, sms, chat e social media. Il soggetto malintenzionato si presenta, in genere, come un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.) che invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc.
Normalmente, i messaggi di phishing invitano a fornire direttamente i propri dati personali, oppure a cliccare un link che rimanda ad una pagina web dove è presente un form da compilare.
Per difendersi da tali attacchi informatici innanzitutto la prima forma di difesa è la prudenza.
Sia per quanto riguarda il ransomware che il phishing, occorre evitare di aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad es. un operatore telefonico di cui non si è cliente, un corriere espresso da cui non si aspettano consegne, ecc.) e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ognora il contenuto.
Anche se i messaggi provengono da soggetti a noi noti, è comunque bene adottare alcune accortezze, suggerite anche dal Garante della protezione dei dati personali nella pagina dedicata alla cybersecurety, ad esempio:
- non aprire mai allegati con estensioni "strane" (ad esempio, allegati con estensione ".exe" sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo);
- non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);
- scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;
- se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l'anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: nel caso in cui non corrispondano, c'è ovviamente un rischio).
Naturalmente è vivamente consigliato di installare su tutti i dispositivi un antivirus con estensioni anti-malware e anti-phising e mantenere costantemente aggiornati sia il sistema operativo, che i software e le app che vengono utilizzati più spesso.
Con riferimento in particolare al rischio da ransomware, è buona norma utilizzare dei sistemi di backup che salvino, anche in maniera automatica, una copia dei dati. Con un corretto backup, in caso di un eventuale attacco ransomware, si potranno così ripristinare i dati contenuti nel dispositivo, almeno fino all'ultimo salvataggio.
In relazione specificatamente al phishing, occorre sempre tenere presente che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat, pertanto se tali richieste arrivano su tali canali occorre sempre prudenzialmente dubitare della loro "bontà" ed autenticità.
Inoltre, occorre sempre diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente; spesso tali "intimidazioni" rappresentano subdole strategie per spingere il destinatario a fornire le informazioni personali illecitamente richieste.
Sempre al fine di arginare i rischi legati al phishing, è meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online, ed è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social network, ecc., se non si dispone di sistemi di autenticazione forte (strong authentication).
Fonte: Il Sole 24 Ore del 3 settembre 2021