Numeri di telefono e indirizzi email professionali e privati di 3.890 manager italiani, tra i quali anche diversi banchieri, sono stati messi in vendita online. Lo ha scoperto l’azienda italiana di sicurezza Yoroi.

Sembrano informazioni irrilevanti e invece permettono ai malintenzionati di fare praticamente qualsiasi cosa, come per esempio clonare un numero di telefono con scopi tutt’altro che evangelici oppure avviare campagne di phishing tramite email o di spoofing, ovvero tecniche con cui si carpiscono informazioni sensibili alle vittime designate.

La percezione della privacy e della sicurezza

La percezione non è alimentata dai fatti e, benché ognuno possa credere che i propri dati non abbiano valore, a livello mondiale i danni perpetrati dai cybercriminali grazie a dati di questo tipo hanno superato i 40miliardi di dollari in cinque anni, come sostiene l’Fbi, soltanto considerando le truffe e i danni che possono essere fatti mediante l’uso inappropriato di indirizzi email professionali ai quali sono associati anche dei servizi online di cui gli utenti fanno uso.

Discorso questo che si può facilmente estendere agli indirizzi email privati, soprattutto se danno accesso a profili social. A latere, poi, la facilità con cui è possibile clonare un numero di telefono da destinare al malaffare e il rischio reputazionale per chi si vede sottrarre informazioni, e questo a prescindere dal fatto che si sia convinti che i nostri dati servano a poco ai cybercriinali.

Sul web, poi c’è anche una certa ricorsività. I dati trafugati erano già stati messi in vendita sul dark web a novembre del 2021 ma, dopo la chiusura del sito su cui era possibile acquistarli, sono stati spostati altrove. La vendita online può ramificarsi e propagarsi in fretta esattamente come accade per i prodotti legalmente commercializzabili.

Come tutelarsi

Ci sono diversi accorgimenti, il primo dei quali è scegliere password non facilmente associabili a noi stessi, come per esempio date di nascita o nomi di famigliari. Vanno preferite le password composte da lettere minuscole e maiuscole e numeri, meglio se inframmezzate da caratteri alfanumerici (punteggiatura, trattini, eccetera).

Non basta, occorre cambiarle con una certa regolarità, facendo uso anche della possibilità di accedere ai servizi online sfruttando la doppia autenticazione, ossia la necessità di inserire, oltre a nome utente e password, una seconda prova della nostra reale intenzione di identificarci a quel determinato servizio nel momento in cui lo stiamo facendo.

C’è però un metodo trasversale che consiste nel comprendere che la vita offline e quella online si alimentano vicendevolmente. Ciò che facciamo offline andrebbe fatto online e viceversa. Così come nella vita reale non daremmo le chiavi di casa a uno sconosciuto, allo stesso modo non dobbiamo essere propensi a fornire i nostri dati laddove non strettamente necessario. Email spedite da soggetti che crediamo essere reali, per esempio da un amico o da un fornitore di servizi, andrebbero ignorate. Se un amico ha bisogno del nostro aiuto e ce lo comunica via email o via messaggio possiamo telefonargli per avere conferma del suo stato di necessità. Se la nostra banca ci comunica una problema, non lo farà né per email né via WhatsApp. In ogni caso vale la pena telefonare all’istituto di credito e chiedere maggiori lumi.

Non è molto importante ciò che crediamo possano fare gli altri dei nostri dati, è determinante ciò che realmente possono farsene.