Laurance Dine, Managing Principal di Verizon Enterprise Solutions, svela le implicazioni del furto di identità e spiega come evitare spiacevoli situazioni.
Sembra che tutti conoscano qualcuno a cui è stata rubata l’identità. Il furto di identità si verifica quando un criminale ha accesso ai dati personali di qualcuno – ad esempio nome, indirizzo, data di nascita o informazioni relative al conto corrente – per sottrarre denaro, oppure ricavarne altri benefici.
Una sete di dati insaziabile
Ad oggi, sul web sono disponibili più dati che mai. Nel mondo digitale, le organizzazioni raccolgono informazioni riguardo i propri clienti e gli altri utenti, per interpretare al meglio le loro necessità, e offrire loro un’experience più soddisfacente. I touchpoint digitali con un utente possono generare dati appetibili per ogni settore, come l’età, la residenza, i siti più consultati, le app più scaricate, e molto altro.
Il settore retail, ad esempio, ha accesso ad una marea di strumenti di data mining, che promettono di rintracciare i dati personali ricercati, che consentono loro di capire meglio i desideri della clientela. Il settore sanitario, poi, uno dei bersagli preferiti dei cibercriminali, ha sperimentato una rapida digitalizzazione, mettendo online, e a rischio, dati riservati dei pazienti come l’identità, il quadro clinico e le informazioni bancarie. La sicurezza dei dati dei clienti attualmente è sicuramente tra le priorità delle organizzazioni. Ogni violazione che svela dati personali, infatti, può potenzialmente devastare il brand e la reputazione di un’azienda.
Quando un criminale ha accesso a informazioni riservate, può sfruttarle nei modi più svariati. Ad esempio:
• Richiedere una carta di credito, una linea di credito o un prestito a vostro nome;
• Noleggiare un veicolo;
• Candidarsi per una posizione lavorativa;
• Acquistare un cellulare;
• Richiedere rimborsi falsi ad un’assicurazione.
Quello che non dicono del web
Quindi, che cosa succede alle credenziali personali rubate? La maggior parte degli utenti conosce il surface web – cioè quella parte del World Wide Web velocemente accessibile e fruibile a tutti. La parte di internet meno conosciuta è invece il dark web, accessibile solo con browser particolari. Qui sono presenti contenuti non indicizzati, peer-to-peer e crittografati. Questo livello della rete è stato pensato per fornire la massima protezione ai ricercatori, a figure con incarichi legislativi, e anche agli informatori. Purtroppo, oggi, come molti altri strumenti utili, viene utilizzato anche dai criminali informatici per depositare e scambiare contenuti pericolosi, rubati o riservati.
Nel dark web trovano spazio marketplace variegati, proprio come i punti vendita normali, ma anche marketplaces più particolari – ad esempio, quelli dedicati alla vendita di credenziali rubate, PII dump, iPhone, malware, dump di carte di credito rubate, droga, medicinali e altre merci di contrabbando, e persino attività legate all’estorsione e a crimini fisici.
I criminali non usano quasi mai i dati che rubano per sé stessi, per paura di essere tracciati. Invece, li vendono ad altri criminali o a gruppi attivi sul dark web, che monetizzano questi dati in modo anonimo, grazie a molteplici passaggi.
Prevenire è meglio che curare
Dopo aver indagato su più di 2000 violazioni di dati accertate, il Data Breach Investigations Report 2018 (DBIR) di Verizon ha rivelato che il 68% di queste è stata individuata dopo mesi, o anche di più, nonostante il fatto che l’87% delle violazioni analizzate ha compromesso i dati nel giro di pochi minuti dal momento in cui è stato sferrato l’attacco. Altro dato essenziale, il cambiamento nell’utilizzo degli attacchi di social engineering, come il pretexting e il phishing, che sempre più spesso colpiscono le organizzazioni attraverso i dipendenti. Adesso, questi attacchi riguardano diversi reparti, e quello delle risorse umane (HR) spicca tra i bersagli, a causa della possibilità di estrapolare dati sugli stipendi e sulle tasse, il che darebbe ai criminali la possibilità di commettere frodi legate alle tasse, e quindi ai rimborsi.
I sette step che le organizzazioni dovrebbero compiere per difendersi da eventuali violazioni sono:
• Essere sempre vigili – il log dei file e il cambiamento dei sistemi di gestione possono svelare una violazione in corso;
• Rendere i dipendenti la prima linea di difesa – formandoli perché possano accorgersi dei segnali sospetti;
• Utilizzare i dati con una logica “need to know” – i sistemi dovrebbero infatti essere accessibili unicamente ai dipendenti che ne hanno necessità per lavorare;
• Applicare le patch tempestivamente – questo metterà le aziende al sicuro da molti attacchi;
• Crittografare i dati sensibili – in caso i dati vengano rubati, questo passaggio li renderà inutilizzabili;
• Applicare l’autenticazione a due fattori – questo potrebbe limitare i danni possibili con credenziali perse o rubate;
• Non dimenticare la sicurezza fisica – non tutti i furti di dati avvengono online.
Che cosa possiamo fare individualmente?
Quando avviene una violazione, i responsabili di un’organizzazione possono rivolgersi a una miriade di consulenti e di fornitori, per scongiurare i rischi e i pericoli per la reputazione. Ma quando ad essere compromessi sono i dati personali di un privato, spesso è costretto a difendersi da solo. Soprattutto, è necessario quindi essere consapevoli delle informazioni condivise online, e dei consensi che – implicitamente o esplicitamente – vengono dati alle organizzazioni.
Non utilizzate le stesse password per diversi siti – per quanto possa sembrare comodo – e attivate l’autenticazione a due fattori ogni volta che questa opzione è disponibile. Infine, valutate l’investimento in un’assicurazione contro i rischi informatici, progettata appositamente per tutelare i privati dalle minacce che da internet potrebbero arrivare ai loro computer personali, alla loro rete, agli hardware e ai sistemi IT e di comunicazione.
In caso accada il peggio, e scopriste che le vostre credenziali sono sotto attacco:
• Attivate un servizio di monitoraggio del credito/furto di identità e attivate anche un’allerta frode negli estratti conto;
• Controllate l’attività di accesso ai vostri profili digitali, e tenete sott’occhio gli estratti conto;
• Valutate l’attivazione di un’allerta frode a 360°, oppure di un blocco di sicurezza/del credito;
• Denunciate a tutte le istituzioni competenti l’accaduto, e chiudete tutti i profili fraudolenti/linee di credito che sono state aperti sfruttando la vostra identità;
• Presentate una denuncia alla polizia, in caso i dati sottratti siano stati forniti/siano tra le informazioni in possesso di un ente governativo, e chiedete una nuova carta d’identità;
• Cambiate password/domande segrete su tutti i siti/portali a cui siete registrati, inserendo sempre l’autenticazione a due fattori;
• Attivate un’allerta frode in sinergia con la filiale della vostra banca.
In un mondo ideale, i crimini informatici non esisterebbero. Purtroppo, però, siamo molto lontani dal raggiungere la perfezione, anzi, le minacce sono in costante aumento. Ma se le organizzazioni e le persone collaborano, possono minimizzare questi rischi.