Evitare gravi danni
Servizi > Sicurezza
VADEMECUM PER EVITARE ATTACCHI MALEVOLI ALLE VOSTRE POSTAZIONI INFORMATICHE.
Premessa:
oggi ormai tutti computers, sia home che client di reti private o pubbliche, sono costantemente collegati a internet e quindi potenzialmente attaccabili dall’esterno, ciò vale anche per i MAC Apple, a differenza delle false credenze popolari, che indicano erroneamente questi ultimi, come completamente immuni. Negli ultimi anni, quanto appena detto vale anche per SmartPhone e Iphone.
Nella quasi totalità dei casi di attacchi informatici, il “complice” che fornisce inconsapevolmente la chiave per entrare e prendere possesso della postazione e dei dati, è proprio l’utente stesso.
Occorre inoltre chiarire che gli attacchi non sono quasi mai mirati, ma eseguiti con l’invio massiccio di email, SMS, anche sui social che sono la catena più debole, di messaggi, che una volta aperti eseguono un codice malevolo atto a rendere gestibile al 100% dall’esterno le vostre apparecchiature informatiche di qualsiasi genere e in background a vostra totale insaputa.
Quindi non vale il pensiero di chi sostiene ad esempio che “…. chi vuoi che perda tempo per i miei dati …”, nulla di più sbagliato, chi riesce ad entrare non conosce l’utente, preleva tutto ciò che è possibile o blocca completamente il sistema a scopo di richiedere un riscatto, valutando poi in un secondo tempo chi ha colpito e la “qualità” dei dati trafugati. Impossessandosi per prima cosa delle rubriche sia telefoniche che email, la stessa sorte viene riservata anche a tutti i nominativi presenti, aumentando l’attacco in modo esponenziale.
Regole principali, (anche se molte sembrano ovvie, quasi sempre disattese):
- Dotarsi di un sistema di sicurezza a protezione di virus, malware, spyware, keylogger, con controllo in real time: dei files, dei comportamenti sospetti, dei browser di navigazione e sui download, delle mail in ingresso e in uscita, sandbox per le operazioni che necessitano della massima sicurezza, es. uso di home banking e/o pagamenti con carte ecc. ecc. Indispensabile anche l’utilizzo di un firewall di tipo software o hardware che possa filtrare ogni transito di dati in/out. Diffidare dai sistemi forniti gratuitamente, hanno solo uno scopo pubblicitario e una protezione prossima allo zero.
- Ogni utente di una postazione deve avere il proprio profilo protetto da password all’accensione, con richiesta di nuovo inserimento se il sistema rimane inattivo per più di xx minuti, (consigliati al massimo 10)
- Nei periodi di inattività o durante le pause lunghe è buona norma non lasciare mai programmi o documenti aperti, per evitare perdite di dati in caso di spegnimenti improvvisi o cadute della rete, e anche per non bloccare i sistemi di copia automatica dei dati che utilizzano spesso proprio questi intervalli per attivarsi e svolgere il proprio indispensabile lavoro.
- Nei siti internet che richiedono un nome utente e una password, evitare di memorizzare questi dati, anche se dovranno essere riscritti ogni volta che si vuole entrare, la sicurezza sarà notevolmente maggiore. Cambiare spesso anche le password utilizzando combinazioni complesse di caratteri misti maiuscoli, minuscoli, numeri, caratteri speciali. Ovvio evitare di usare come password i nomi comuni propri, dei figli, degli animali domestici e tantomeno le date di nascita di tutta la famiglia, tutte informazioni facilmente reperibili da chiunque.
- Eliminare dalla posta, senza dare atto alle richieste, tutti quei messaggi non attesi, di mittenti sconosciuti o anche conosciuti con un contenuto poco chiaro in particolare a livello di sintassi, specialmente se viene richiesto di scaricare allegati o di cliccare su link.
- Non dare seguito a messaggi a nome di istituti di credito, finanziarie, ecc., con richieste di risolvere fantomatici problemi o blocchi del conto corrente inserendo le credenziali della vostra banca. Sembrerebbe ovvio non farlo, ma ogni anno in Italia assistiamo a furti di valuta dai conti correnti e altre truffe legate a dati personali prelevati in modo fraudolento, per un importo che nei primi sei mesi del 2021 ha superato i 77 milioni di Euro.
- Se vi viene richiesta una piccola somma per sbloccare la consegna di un pacco da un fantomatico Corriere, non fatelo, verserete pochi Euro con una carta, ma durante l’operazione qualcuno prenderà possesso dei dati che digiterete, e nel giro di pochi minuti sarà prelevato tutto il possibile. Ovvio che non vi arriverà nessun pacco.
- Ignorare la pubblicità, quasi sempre ingannevole e con secondi fini.
- Se lavorate in SmartWorking, nei periodi di inattività, è bene chiudere il collegamento con il posto di lavoro. Una attività aperta può favorire l’acceso all’Azienda o all’Ente per la quale lavorate scavalcando anche le protezioni più avanzate che vi possono essere. (un recente furto di dati con relativa criptazione di quelli rimasti sul server, è quello portato a termine ai danni del Ministero della Salute della Regione Lazio, entrando facilmente sul computer di casa di un Dirigente di questo ente che lavorava in Smartworking, che per non ricollegarsi ogni volta lasciava aperto il collegamento per diverse ore anche senza essere presente, un gioco da bambini trafugare i nominativi dei Pazienti Covid19 prenotati per il vaccino, criptare quindi i dati sul server, richiedere un riscatto milionario, per ottenere la chiave di decriptazione, con il risultato di una grossa quantità di dati personali finiti nelle mani di veri e propri delinquenti che li utilizzeranno in modo fraudolento, settimane di lavoro da parte del CED del Ministero per riavviare il sistema, e comunque la perdita di tutti quei dati non presenti nelle copie di sicurezza.)
- Proprio per quanto detto, per lo smartworking nella Pubblica Amministrazione è stato definito l’obbligo di utilizzare da parte dei dipendenti, solo postazioni fornite dallo stesso Ente in quanto preparate dai reparti tecnici dei CED con il massimo possibile di sicurezza con divieto di uso personale e di installazione di applicativi diversi da quelli necessari per il lavoro e vietando invece l’uso di postazioni personali private in quanto solitamente non sicure dagli attacchi esterni. Buona regola questa anche per le Aziende private.
- Ricordare che per un malintenzionato diverso dal proprietario, anche se espertissimo e in presenza è molto difficile e a volte impossibile accedere ad un sistema protetto con credenziali complesse, magari anche con impronta digitale o facciale pur avendo a disposizione per lungo tempo l’apparecchio sia esso computer, smartphone o Iphone. Risulta invece estremamente facile fare tutto ciò e anche di più a distanza attraverso il collegamento internet.
- Regole generali:
- Cestinare tutti i messaggi che arrivano a carattere generico, del tipo “caro Cliente”, “caro xxxx@nomedellacasella.xx", se a cercarvi è veramente un Ente con il quale intrattenete un rapporto, ad esempio una banca o altro, quantomeno ci sarà scritto anche il vostro nome e cognome, es.: “caro Tizio Caio…”, e anche in questo caso evitate di cliccare su link o allegati, tantomeno compilare form con la richiesta di vostri dati, si tratta sicuramente di una truffa.