Profilo hackerato? Come riprenderselo (e difendersi): i consigli dell'esperto

L'aumento dei furti di identità social sta toccanto numeri impressionanti. È un mondo ancora per molti sconosciuto in cui non sappiamo spesso come muoverci, e quali procedure attuare. Ne abbiamo parlato con Matteo Flora, un vero e proprio hacker, come scrive sul suo seguitissimo blog. È inoltre Docente in “Corporate Reputation e Storytelling” a Pavia, Fondatore di The Fool la Società Leader nella Reputazione e Partner dello Studio Legale 42 Law Firm.

Profilo hackerato? Come riprenderselo (e difendersi): i consigli dell'esperto

Si stanno moltiplicano in maniera esponenziale i furti di identità social. Un danno personale, ma anche economico di cui ognuno di noi non si rende conto fino a che cercando di entrare nel proprio profilo, si accorge che questo è stato hackerato. Una situazione spiacevole, che crea spesso frustrazione ma anche preoccupazione perché solitamente non si sa cosa fare per riprenderlo. Su questo problema abbiamo intervistato Matteo Flora la cui prima definizione di “hacker”, (in questo caso dalla parte dei buoni, ndr) la dice lunga sulla sua esperienza professionale. Matteo è inoltre Docente in “Corporate Reputation e Storytelling” a Pavia, Fondatore di The Fool la Società Leader nella Reputazione e Partner dello Studio Legale 42 Law Firm.

Professore, come scrive lei nel suo blog, se siamo qui a parlarne c’è evidentemente un problema da affrontare. Io comincerei con il chiederle perché si sono intensificati i furti di identità social?

“Perché sempre più gente li utilizza. È diventato forse il modo primario con cui comunichiamo con tutta una serie di persone. Che sia WhatsApp o Instagram con i DM (messaggi privati ndr) soprattutto per gli under millennial è diventato il primo veicolo di messaggistica. Quindi con la massima distribuzione e con l'intensificarsi dell'utilizzo, ovviamente diventa un bersaglio che per altro è anche di rappresentazione personale. Sugli account social non soltanto salvo i miei ricordi, ma costruisco tutta una serie di relazioni interpersonali. L’hackeraggio di un account spesso significa la perdita della rete sociale che mi sono costruito, e anche il mio profilo con cui la gente mi segue. Inoltre per i personaggi noti è una sorta di magazine privato con cui condividere pensieri e opinione. A tutto questo si dà un valore che giustifica la successiva richiesta di riscatto per riaverlo".

Dove sta il guadagno del criminale informatico?

"Nel pubblicizzare attraverso la nostra identità e i nostri contatti varie cose, dai bitcoin alla vendita di follower, ed inoltre chiedendo un riscatto per riaverlo indietro. Su migliaia di mail inviate c’è sicuramente una percentuale di gente che paga per riottenerlo".

Come entrano nei nostri social?

"Grazie, e mi permetto di dirlo, alla leggerezza degli utenti. Instagram sono anni che ogni volta che si apre chiede di mettere l'autentificazione a doppio fattore (un sistema di sicurezza in cui, oltre alla password, ti viene richiesto anche un codice di accesso speciale o una conferma di accesso ogni volta che tu o qualcuno tenterà di accedere all'account, ndr), di usare delle password sicure e non uguali ad altre utenze, ma spesso gli utenti non pongono attenzione a questo. Nei migliaia di casi che abbiamo seguito con la mia società, nessuno di questi a cui era stato rubato un account, è stato fatto con tecniche di hacking (ovvero con attività mirate alla compromissione di dispositivi digitali quali computer, smartphone, tablet e persino intere reti ndr). Tutti questi non avevano la doppia identificazione, e tutti questi hanno dato “volontariamente” le loro password con escamotage molto stupidi. Ad esempio viene proposto di fornire la spunta blu, oppure un messaggio da parte di un’agenzia che dice che può farti avere più follower. Si tratta dei classici messaggi di phishing (un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale ndr) come succedeva con le banche all’inizio".

Dall’altra parte chi c’è? Ci sono persone fisiche che fanno questo lavoro, o sono computer?

“Non si tratta di attacchi mirati e quindi personali, ma una cosidetta “pesca a strascico”. Io mando migliaia e migliaia di quei messaggi, e c'è una percentuale che risponde. Si gioca il tutto sulla quantità, quindi non è sul fatto o meno che il tuo account è particolarmente importante, qualche decina di persone che poi mi pagheranno le trovo. L'attaccante, ovvero il criminale informatico, è quasi sempre reale, in genere non è mai uno ma fa parte di un gruppo. I messaggi vengono inviati automaticamente, poi quando qualcuno risponde le trattative vengono gestite in maniera personale. È importante ricordare che siamo noi che gli abbiamo fornito le chiavi di accesso, e dall’altra parte, per pigrizia o poca conoscenza, non abbiamo protetto l’account come viene suggerito dai social su cui stiamo”.

Ci spiega come evitarlo

"Ci sono vari punti:

1. Nessuno mai da Facebook (così come gli altri social) chiederà la password o si proporrà per darti l'account premium o cose simili. Ogni volta che arriva una cosa del genere, è un tentativo di estorsione.

2. Ogni account (parliamo di tutti dalla mail ai social) che non abbia la doppia autentificazione, è esposto e facile preda di hackeraggi. È esattamente come se chiudessimo la porta di casa, con il lucchetto che usiamo per l’armadietto in palestra.

3. Altra cosa importante è che la stragrande maggioranza delle persone utilizza la stessa password per molti altri servizi. Quindi basta che uno solo di questa venga forzata, per fare in modo che tutti gli altri cadano. Quindi utilizzare sempre password diverse ed efficaci introducendo simboli speciali, maiuscole, minuscole o numeri.

4. Qualunque comunicazione che dice di arrivare da un social quasi mai lo è.

5. Non c’è bisogno di rispondere a qualunque messaggio che ci arriva, anche come succede soprattutto su Facebook, se ci dicono che abbiamo pubblicato materiale pornografico. Se fosse vero, sarebbe lo stesso social a comunicarcelo non appena cercheremo di entrare.

6. Anche solo mettendo la doppia autenticazione che è un passaggio semplicissimo e spiegato su ogni social, abbiamo la sicurezza quasi al 100% di non poter essere hackerati. Su 2000 casi annui che con la mia azienda abbiamo seguito negli ultimi 3 anni, non abbiamo mai visto un account con la doppia autenticazione che è stato forzato”.

Invece se noi incautamente siamo rimasti vittime cosa dobbiamo fare? Anche perché non c’è un numero o una mail dove chiamare direttamente.

"Non potrebbe esserci, non ce la fanno quasi i gestori telefonici e gestiscono pochi milioni di abbonati. Figuriamoci un sistema come quello di Fcebook e Instagram. C’è una procedure da eseguire abbastanza semplice che ti guida passo per passo. Apro una parentesi su questo. Bisogna fare attenzione perché nella stragrande maggioranza dei casi le persone segnalano in maniera errata, cliccano ad esempio su "Ho perso la password" invece che "mi hanno hackerato l'account", oppure fanno denuncia (che è comunque importante fare) sperando che per qualche motivazione qualcuno li venga ad aiutare.

1. Basta seguire le indicazioni in maniera precisa e in un tempo che va da qualche giorno il social risponde fornendoti codici per poter rientrare nell’account.

2. Importante però che una volta rientrati in possesso si arrivi subito l’autententificcazione multifattore sempre, come primo passaggio".

Come funziona l’autententificazione multifattore

Si tratta di un sistema che, indipendentemente dall'inserire la password corretta, fornisce un secondo livello di autorizzazione qualora trovi nuovi dispositivi non conosciuti. Il secondo livello di autenticazione è un SMS che viene inviato al numero di cellulare: in questo modo anche avere la password non è sufficiente per entrare nell'account e soprattutto se arriva un SMS di conferma non richiesto puoi sapere che qualcuno ha trovato e carpito le tue credenziali. Si può attivare gratuitamente e velocemente l'autenticazione multifattore online.

Questa ci dà due possibilità importanti, la prima è quella di non essere hackerati, la seconda di capire quando qualcuno ha trovato la nostra password. Perché se arriva una richiesta del secondo fattore di protezione ma non sono stato io a generarla, significa che qualcuno ha in mano la mia password ed è il momento che io devo entrare e cambiarla. Sia lì ma in tutte le altre parti in cui ho usato la stessa. Può sembrare banale, ma non lo è è veramente il servizio più stupido e più utile che si può fare.

Commenti