Il New York Times ha pubblicato nell’agosto 2014 un articolo dedicato a quella che molti definiscono come la più grande serie di effrazioni informatiche mai compiute nella storia; almeno come sostiene un report pubblicato da Hold Security che parla di oltre 1,2 miliardi di combinazioni username-password e più di 500 milioni di indirizzi email di cui si sarebbe impossessato un gruppo di hacker russi denominato CyberVol (“vol” in russo significa “ladro”).
Anche se le reazioni alla notizia da parte degli specialisti del settore sono contrastanti con alcuni ricercatori che mettono in dubbio le particolari competenze tecniche richieste per questo attacco, l’articolo ha catapultato all’attenzione del grande pubblico la necessità di disporre di solide policy di sicurezza online per tutti gli aspetti della propria vita personale digitale connessa.
Come spesso si è dimostrato in passato, raccogliere una serie di username e password può essere più semplice di quanto molti credano grazie ai numerosi programmi di scraping (ossia che recuperano le informazioni desiderate scandagliando i siti web dal web) che non è difficile trovare sul “mercato nero” di Internet.
E sebbene alcune aziende come Hold Security propongano soluzioni a pagamento per aiutare a identificare e monitorare l’eventualità che un account personale sia stato violato, questo non cambia il fatto che la prima barriera di sicurezza inizi proprio a livello del singolo utente.
Ecco un elenco di 8 suggerimenti che possono aiutarti a minimizzare il rischio che le tue informazioni possano essere sottratte, così da aumentare la tua sicurezza online.
- Utilizza un’autenticazione a due fattori ovunque possibile
L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza quando ci si collega a un sito Web, sia esso il sito di una banca, di un servizio di posta elettronica o di altro genere. Alcuni siti come Google inviano per SMS un codice da inserire al login per verificare l’identità personale, mentre altri forniscono piccoli dispositivi che generano i codici a richiesta. App di autenticazione sono inoltre disponibili su tutte le principali piattaforme smartphone. Esistono poi altre tipologie di autenticazione a due fattori, quindi è opportuno consultare i parametri dei propri host di email, shopping e online banking per verificare le opzioni disponibili.
- Attiva le notifiche di login
Questo sistema viene spesso adottato al posto dell’autenticazione a due fattori, per esempio da siti Web come Facebook. Se ci si collega a un account da una località inusuale, il proprietario dell’account riceve una notifica via email, app o SMS. Si tratta di un ottimo metodo che aggiunge sicurezza anche quando non ci si trova davanti al computer. Questa funzione, quando presente, si trova solitamente nei parametri di configurazione della sicurezza del sito – come social media o online banking – a cui si accede.
- Utilizza una password sicura
Tutti ci siamo registrati almeno una volta a qualche sito web usando una password semplice pensando che a nessuno possa interessare entrare nel nostro account. Tuttavia le cose non stanno proprio così. Creare una password semplice su un sito porta spesso alla conseguenza di usare quella stessa password anche su numerosi altri siti. Più si facilitano le cose a chi volesse scardinare la password di un account con un attacco brute-force, più è probabile che anche altri account vengano violati. Ricorrendo a una combinazione di lettere, numeri e segni di punteggiatura di almeno dieci caratteri, la sottrazione della password con metodi brute-force diventa molto più difficile.
- Modifica regolarmente le password
Esiste un motivo per cui le aziende richiedono di cambiare periodicamente la password della posta elettronica. Anche se la password dovesse risultare compromessa, modificandola regolarmente su tutti gli account si elimina la possibilità che questi vengano violati. Un consiglio utile è quello di segnare sulla propria agenda un memo ogni 90 giorni contenente un link a tutte le pagine di configurazione dei propri account: in questo modo è più semplice fare clic ed effettuare le modifiche con regolarità.
- Entra negli account “delicati” solo da postazioni sicure
L’accesso al proprio conto corrente dal Wi-Fi gratuito del bar può durare solo 30 secondi, ma con una rete compromessa è un tempo più che sufficiente a raccogliere tutti i dati necessari a un furto. Nonostante la comodità, se proprio occorre accedere ad account sensibili si dovrebbe ricorrere a una VPN (Virtual Private Network) in modo da garantire una connessione cifrata con la propria rete di casa o dell’ufficio.
- Accesso HTTPS
Nella maggior parte dei browser e dei siti che forniscono grandi moli di informazioni esiste un modo per forzare la connessione HTTPS quando disponibile. Questo tipo di connessione aggiunge un ulteriore livello di sicurezza crittografica al login rendendo più difficile il lavoro di chi volesse sottrarre informazioni personali. Per verificare la presenza di una connessione HTTPS bisogna controllare la presenza di un lucchetto nella barra indirizzi del browser o accertarsi che l’URL inizi con HTTPS.
- Rafforza i filtri antispam ed evita di fare clic su tutte le email
Hai appena ricevuto un messaggio email che ti informa di un nuovo bonifico in attesa di conferma pregandoti di effettuare il login e verificare i dati necessari. Molti tentativi di phishing iniziano con messaggi innocenti dall’aspetto ufficiale che spingono gli ignari utenti a collegarsi a siti web progettati per raccogliere le informazioni direttamente dagli utenti stessi. Se ricevi una email da un sito di cui possiedi un account, apri una nuova scheda del browser e collegati al sito digitandone direttamente l’indirizzo anziché selezionare i link forniti nel messaggio. Occorrono solo pochi secondi in più, ma in questo modo eviterai di incappare nei siti di phishing che si spacciano per siti reali. La maggior parte dei servizi legittimi non richiede mai le credenziali di login, quindi evita di fornire questo genere di informazioni. Aumentando i livelli dei filtri antispam del client di posta, molti di questi messaggi vengono intercettati prima che possano finire nella tua casella.
- Utilizza un programma di sicurezza aggiornato
Indipendentemente dal fatto che utilizzi Webroot SecureAnywhere piuttosto che un altro programma antivirus o di sicurezza, assicurati sempre di possederne la versione più aggiornata e di aver abilitato i parametri di sicurezza corretti.
I programmi di sicurezza sono progettati per lasciar fuori dal computer i file pericolosi come keylogger o data miner proteggendo l’utente. Questo strato di sicurezza assicura che i vari dispositivi, dai telefoni ai tablet fino ai computer, siano tutti protetti quando si scaricano e si utilizzano file. Alcuni programmi come Webroot SecureAnywhere sono sempre aggiornati e non richiedono ulteriori azioni da parte dell’utente.
Anche se internet è pieno di minacce online, seguire questi suggerimenti può aiutarti a restare al sicuro sfruttando funzioni spesso già disponibili sui siti web delle aziende che non ti costano alcunché.
Questi consigli ti aiuteranno a proteggerti senza perdere le comodità che l’accesso online ti offre.
(Tratto dal blog di Webroot)