La misura per contrastare il dilagante fenomeno del phishing, il furto dei dati ottenuto tramite finte email. Doppia autenticazione e security check alla base della difesa
di ARTURO DI CORINTO per La Repubblica del 18 Settembre 2017
ROMA – Google ha deciso di attivare un “Programma di protezione avanzata” per giornalisti, imprenditori e politici. Naturalmente si tratta di protezione informatica, con nuovi strumenti per tenere al sicuro le comunicazioni che potrebbero essere oggetto di attacchi hacker come phishing, trojan e ransomware. La decisione resa nota oggi era nell’aria da tempo ma acquista maggiore significato dopo la violazione dell’account del premier britannico, la sottrazione di documenti classificati della difesa sudcoreana e dell’attentato mortale contro la giornalista maltese dei Panama Papers.
Ma non si tratta di proteggere solo gli account più in vista. Ottobre è il mese della sicurezza informatica e in questa occasione BigG ha acceso i riflettori sulla protezione dei dati personali invitando tutti gli utenti ad effettuare un security check per verificare dove, come e quali dispositivi abbiamo utilizzato, per confermare l’autenticità delle connessioni.
Il problema della protezione dei propri dati è molto serio. Avira, noto produttore di antivirus, ha rilevato negli ultimi 8 mesi del 2017, ben 131 milioni siti di phishing, cioè siti progettati per sembrare vere e proprie pagine di attività commerciali che sono invece coperture per attività fraudolente con cui si carpiscono informazioni private sulle vittime e si rubano indirizzi email e dati delle carte di pagamento. Mentre sono ormai arrivati addirittura a 900 milioni i trojan, software malevoli che si diffondono dagli allegati delle email e che sono usati per “esfiltrare”, dicono gli esperti, dati dai computer delle vittime o prenderne il controllo.
· Il programma di protezione avanzata
Proprio per fornire una difesa più efficace contro il phishing, Google offre una protezione avanzata che si somma all’efficacia della verifica in due passaggi: chi aderisce al programma potrà accedere al proprio account solo con un’ulteriore password e un Token di sicurezza. Ma da quel momento in poi altri fattori di autenticazione, come i codici inviati tramite SMS o l’applicazione Google Authenticator, non funzioneranno più. Questa modalità dovrebbe essere efficace contro il phishing andato a buon fine, nel caso in cui per distrazione o ignoranza la propria password venga violata. La protezione avanzata limiterà anche in via automatica l’accesso ai dati più sensibili, come i file in Google Drive, e le app di terze parti. Questo significa pure che per un accesso sicuro si dovranno utilizzare sempre l’app Gmail o Inbox, utilizzare solo il browser Chrome per accedere ai servizi dai quali si è eseguito l’accesso, come Gmail o Foto, e le applicazioni degli utenti iOS non potranno più accedere a Gmail, Contatti e Calendario. Insomma, si tratta di perdere qualche comodità per avere più sicurezza, ma Alpahbet, che controlla Google, ha dichiarato che i suoi team di ricerca stanno lavorando a sistemi di protezione ancora più avanzati.
· Email e password, la prima linea difensiva
L’importanza del programma di Google è evidente. Usiamo le email ormai per tutto, per accedere ai social network, aprire un conto corrente, ricevere un referto medico. Se si perde la password il mal di testa è assicurato, ma se viene rubata può succedere di peggio. Al delinquente basta conoscere l’email della vittima e una volta ottenuta la password con una richiesta fraudolenta è possibile resettare la maggior parte dei servizi online a cui accediamo, impedendoci di leggere la posta, comunicare con la banca o l’avvocato oppure usarla al posto nostro, rendendoci vittime di un vero e proprio furto d’identità.
Per questo se vogliamo mettere al sicuro la nostra vita digitale potrebbe non bastare più evitare di usare la stessa password per più di un servizio, scaricare software da siti sconosciuti e cliccare su link presenti nei messaggi email. I cybercriminali sono in agguato, come ha scoperto a suo spese il rappresentante di Confindustria che pochi giorni fa a Bruxelles è stato beffato dall’email di un hacker maligno che, preso possesso dell’account del suo capo ha ottenuto un versamento immediato di 500 mila euro.
Per questo da tempo i fornitori di servizi consigliano di usare la verifica in due passaggi che consiste nell’usare un codice di sicurezza aggiuntivo, una specie di seconda password (detta anche OTP, one time password), che può esserci recapitata sul nostro telefono tramite SMS, con una telefonata o con un’app per tablet e smartphone, o perfino un token di sicurezza, cioè un dispositivo fisico, una chiavetta USB da inserire nel computer. Troppo complicato?
No. Se si usa sempre lo stesso dispositivo dopo la prima volta la verifica in due passaggi non sarà più necessaria, mentre rimane per dispositivi diversi, quando usiamo il computer dell’ufficio, dentro un Internet cafè o a casa di un amico.
