Sempre più digitali: perché la sicurezza informatica interessa tutti noi
A cura di Carlo Baia, Director, Ernesto Filice, Lead Cybersecurity System Engineer, Federico Lombardi, Cybersecurity Advisor, Gianluca Cotugno, Master Cybersecurity Architect e Jennifer Zamuner – Advanced Cybersecurity Advisor
Home banking, shopping online, profili social, piattaforme di streaming, servizi pubblici online: ormai cosa non è digitale?
L'evoluzione esponenziale della tecnologia e la digitalizzazione delle nostre attività quotidiane hanno reso la consapevolezza della sicurezza informatica più che mai essenziale per gli utenti: adottare piccole accortezze per prevenire attacchi informatici è fondamentale per la protezione della nostra identità, ormai sempre più digitale. Basti pensare che ad oggi si verificano attacchi informatici circa ogni 39 secondi, il 95% dei quali è causato da un errore umano.
Proprio per accrescere la consapevolezza su questi temi, come ogni anno ad ottobre si celebra il Cyber Security Awareness Month che, giunto alla sua ventunesima edizione, si ispira al messaggio “Secure Our World", soffermandosi su quattro semplici azioni, ma efficaci, che ognuno di noi può mettere in atto per difendersi dagli attacchi cyber:
- Utilizzare password forti e strumenti quali password manager;
- Attivare meccanismi di Multi-Factor Authentication (MFA);
- Aggiornare i software;
- Riconoscere e segnalare attacchi phishing.
Quest’anno, quindi, abbiamo deciso di prendere parte all’iniziativa realizzando delle piccole guide, che abbiamo chiamato cyber-reminder, su questi 4 temi, a cura dei nostri esperti di sicurezza.
Cyber-reminder 1: utilizzare password forti e password manager
In un mondo sempre più interconnesso, la sicurezza dei nostri account e dei dati ad essi associati è schermata da una credenziale composta comunemente da una username e una password, usate per accedere alle nostre “aree riservate”; più la password è robusta, minore è la probabilità di subire un furto di identità e di dati. La password è la chiave di accesso che ci permette di proteggere i nostri account usati nella vita quotidiana, dal lavoro alla posta elettronica e ai social media, passando dai nostri conti correnti bancari, redendola la prima garanzia di sicurezza e tutela. È dunque importante salvaguardare la nostra privacy utilizzando una password complessa e difficile da individuare.
Nella realtà dei fatti la scelta più comune è quella di una password semplice e facile da ricordare, frequentemente riutilizzata su più account, che espone la propria identità digitale a rischi e rendendola vulnerabile ad attacchi informatici. Secondo un’indagine condotta da NordPass , le password più utilizzate in Italia sono in ordine “admin”, “123456” e “password”, combinazioni che possono essere decifrate in meno di un secondo da un attaccante adottando metodi e tecniche come il "brute forcing" o il "credential stuffing" .
Una password “forte” deve essere complessa, unica per ogni account e difficile da indovinare. Tuttavia, la difficoltà nel ricordare combinazioni complicate porta spesso gli utenti a scegliere password sempre più semplici, riutilizzandole su più piattaforme.
Per poter mitigare questo fenomeno entra in nostro soccorso lo strumento software password manager. Questa soluzione consente di creare, gestire e salvare in una “cassaforte” (tecnicamente il “vault”) molteplici password assegnando per ogni account una chiave sicura e unica (volendo creata proprio dal password manager), con il vantaggio di dover ricordare solo la password di sblocco della cassaforte; questa soluzione aumenta così il livello di sicurezza dei nostri account e di accesso ai nostri dati.
Gli attacchi informatici sono in costante crescita e sempre più evoluti, tali per cui l’uso combinato di password complesse e gestori di password diventa un passo fondamentale e necessario per proteggere la propria “vita digitale”, rappresentando una difesa efficace contro le minacce online.
Cyber-reminder 2: attivare meccanismi di Multi-Factor Authentication (MFA)
Se la complessità degli attacchi informatici ha reso ormai la password uno strumento di sicurezza spesso non più da solo sufficiente a garantire la protezione dei nostri account (e ancor meno se “debole” e non gestita attraverso un password manager), la Multi-Factor Authentication (MFA) si propone come soluzione di autenticazione più sicura ed affidabile. Le password sono infatti suscettibili a diversi attacchi, tra cui brute forcing1, attacchi a dizionario2 o sniffing di rete3, e sono esposte a minacce di phishing ed altre modalità di social engineering. Inoltre, le credenziali compromesse possono essere vendute presso veri e propri darkweb marketplace, alimentando un mercato criminale che solo nel 2024 è arrivato a valere oltre 9 trillioni di dollari.
La possibilità che le nostre credenziali di accesso siano insicure o compromesse è quindi piuttosto realistica, ed è chiaro che basare la protezione dei nostri account solo sulla password sia quantomeno imprudente e sconsigliato. La Multi-Factor Authentication (MFA) nasce proprio con l’obiettivo di mitigare le sempre più efficaci e sofisticate minacce digitali, riducendo la dipendenza della nostra sicurezza dalle sole password. Negli ultimi anni si è affermata coma la soluzione più sicura, ed è infatti richiesta come standard di autenticazione dalle più importanti normative, quali NIS2, PSD2 e DORA.
L’MFA è un meccanismo di sicurezza che richiede agli utenti di fornire due o più prove dell’ identità prima di accedere a un account. Non è dunque più sufficiente inserire solo la password, ma l’utente deve (almeno e non esaustivamente) fornire inoltre:
- garanzia di qualcosa che conosce, ad esempio un PIN o un codice One Time Password (OTP);
- garanzia di qualcosa che possiede, tipicamente token fisici o smart card;
- garanzia di qualcosa che è, attraverso la scansione dei dati biometrici, come impronte digitali o riconoscimento facciale.
L’implementazione della MFA aiuta a ridurre significativamente il rischio di accesso non autorizzato agli account, poiché anche in caso di compromissione della password un attaccante non sarebbe in grado di completare l’autenticazione senza essere in possesso del secondo o terzo fattore. Le statistiche ne confermano l’efficacia, mostrando come già nel 2019 le soluzioni MFA garantissero la prevenzione del 100% degli attacchi basati su bot automatici e il 96% degli attacchi di bulk-phishing.
Tuttavia, è bene ricordare che coerentemente con il progresso dei sistemi di sicurezza, anche gli attaccanti evolvono i loro metodi criminali, cercando (e spesso) trovando nuovi modi per aggirare i meccanismi di difesa. Anche la MFA può essere quindi esposta ad attacchi specifici, quali MFA Prompt Bombing4 e MFA Fatigue5, che sfruttano la debolezza del fattore umano per aggirare la complessità imposta dai fattori di autenticazione aggiuntivi richiesti in fase di autenticazione. Ciononostante, la Multi-Factor Authentication rimane comunque una soluzione necessaria ed imprescindibile per la protezione dei nostri account, tanto da divenire progressivamente obbligatoria in molti settori regolamentati, come ad esempio il banking, in cui la Direttiva Europea PSD2 richiede la Strong Customer Authentication (SCA).
Cyber-reminder 3: aggiornare i software
La sicurezza degli asset aziendali o dei device personali è un tema che al giorno d’oggi è alla portata di tutti. A causa degli attacchi di fama mondiale che negli ultimi anni hanno conquistato le prime pagine dei giornali, dei nostri feed e post sui social, parlare di sicurezza informatica non è più così insolito.
Tuttavia, molti ancora ritengono la cybersecurity un tema a loro lontano, complesso e di competenza solo degli addetti del settore, senza sapere in realtà che uno degli ambiti più semplici e basilari della sicurezza informatica ci riguarda invece da molto vicino: l’aggiornamento dei software.
Aggiornare i dispositivi è una delle primissime armi che tutti, dall’utente standard all’esperto di cybersecurity, abbiamo per difenderci da attacchi o vulnerabilità più o meno gravi.
Un gesto semplice, quello di cliccare su “Aggiorna/Installa”, che però ha dietro di sé un grande scudo contro malware, data breach e ransomware. Si stima infatti che nel 2022 il 76% degli attacchi ransomware è stato dovuto allo sfruttamento di vulnerabilità su software non aggiornati, mentre il 5% di tutti i data breach avvenuti nel 2023 è stato causato proprio dall’accesso malevolo ai sistemi sfruttando software non aggiornati, per un costo totale di 4,17 milioni di dollari.
Un’azione semplice, quindi, che però può fare la differenza, sia per un’azienda che per un privato cittadino, o salvare addirittura delle vite (come ci ricorda ad esempio l’ormai famoso alle cronache ransomware WannaCry, che nel 2017 colpì i sistemi informatici di numerose aziende e organizzazioni in tutto il mondo, mandando offline anche le infrastrutture del sistema sanitario inglese, cancellando così 19.000 appuntamenti e operazioni).
Appurata l’importanza degli aggiornamenti, ricordiamo che questi sono anche rappresentati come patch: nient’altro che “cerotti” che le case produttrici emettono per ovviare a un problema, molto spesso di sicurezza, evitando di rilasciare l’intero software/applicazione comprensivo della modifica, rendendo così il processo ancora più facile e snello.
Tra le cose più importanti da tenere a mente quando si utilizza un dispositivo digitale come cellulare, computer, smartwatch, home assistant, elettrodomestici, ecc. è che sono dispositivi connessi ad internet e quindi, di conseguenza, possono diventare un vettore d’attacco.
Ecco quindi di seguito alcuni semplici consigli da ricordare:
- Controllare periodicamente la presenza di aggiornamenti sui propri device.
- Verificare se sono aggiornamenti di sicurezza, in tal caso dare la massima priorità.
- Non fidarsi mai delle pagine web o delle pubblicità in app che informano di una grave mancanza di aggiornamenti (o della presenza di virus), queste sono modalità che gli attaccanti usano per installare software malevolo e prendere il possesso del vostro device da remoto.
- Assicurarsi che ci sia sempre spazio sui device per gli aggiornamenti e non rimandare mai, per nessuna ragione.
- Seguire le indicazioni di aggiornamento rilasciate dai produttori software, i quali in caso siano state rilevate delle falle di sicurezza rilasceranno nel più breve possibile una patch o un aggiornamento per sanarle.
In conclusione questo gesto, apparentemente banale, può fare la differenza sulla sicurezza delle proprie informazioni in un’epoca in cui restare connessi e aggiornati è ormai uno status sociale.
Cyber-reminder 4: riconoscere gli attacchi phishing
Il phishing è una minaccia sempre più comune nel mondo digitale, dove i truffatori cercano di ingannare gli utenti per ottenere informazioni sensibili come credenziali di accesso, dati bancari e numeri di carte di credito.
Nel 2023, il phishing è stato alla base del 36% di tutte le violazioni informatiche, un aumento preoccupante rispetto agli anni precedenti .
I cybercriminali non si limitano più alle semplici email fraudolente: oggi utilizzano anche messaggi sui social media, SMS (noti come "smishing") e persino app di messaggistica istantanea. Questo rende fondamentale non fidarsi mai di link o allegati inviati da mittenti sconosciuti. Anche un singolo clic su un collegamento malevolo può compromettere la sicurezza del tuo dispositivo e dei tuoi dati personali.
Un altro segnale di allarme è l'URL dei siti web. Molti siti di phishing imitano quelli legittimi, per cui diventa necessario controllare sempre attentamente l'URL prima di inserire qualsiasi informazione personale.
Per difendersi, è essenziale essere vigili e critici nei confronti delle comunicazioni online. Se riceviamo un messaggio sospetto, non esitiamo a segnalarlo. La nostra attenzione può fare la differenza!
1. Gli attacchi “brute force” consistono nell'individuare una password, provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri.
2. Gli attacchi “credential stuffing” consistono nel tentare un'autenticazione su diversi siti utilizzando le credenziali rubate e scoperte in precedenza.
3. Gli attacchi a dizionario tentano di indovinare le credenziali di un utente confrontandole con un elenco di valori frequentemente utilizzati, quali parole comuni, banali combinazioni di numeri o altre credenziali note per essere usate spesso.
4. Lo sniffing consiste nell’intercettare i dati che viaggiano tra i dispositivi connessi in rete. Se la comunicazione non è protetta da protocolli non sicuri, l’attaccante può catturare i pacchetti della trasmissione e ottenere le credenziali scambiate.
5. Gli attacchi MFA Prompt Bombing, anche noti come MFA Fatigue, prevedono che l’attaccante invii ripetutamente richieste di autenticazione al dispositivo dell’utente, spesso tramite notifica push, sperando che il “fastidio” o la confusione generata induca la vittima ad accettare (volontariamente o involontariamente) una delle richieste.