elaborando

«Posso farle qualche domanda su come utilizza Internet?»
Vi fermate. Le prime domande sono generiche: usa Internet a casa, in ufficio, quali siti visita, e così via. Facebook? Instagram? Si, certo. E poi la posta elettronica, va da sé.

Che tipo di password utilizza? Ah ecco. Quindi sul sito xyz che password ha?
Sembrerà incredibile ma, arrivati a questo punto, il 28% degli intervistati rivela senza esitazione la password richiesta.
A raccontarlo è uno studio della Université du Luxembourg, effettuato intervistando 1208 persone. Il particolare più inquietante deve ancora arrivare, però.

L'intervista prevedeva che l'intervistato ricevesse un piccolo omaggio. Ad alcuni intervistati arrivava alla fine, ad altri invece era proposto appena prima della domanda sulla password.
Bene: l'aver ricevuto il piccolo omaggio aumentava sensibilmente la propensione dell'intervistato a rivelare la propria password, raggiungendo il massimo quando il regalo era un pezzetto di cioccolato: il 48%, vale a dire una persona su due.

When someone does something nice for us, we automatically feel obliged to return the favour. This principle is universal and important for the way we function as a society.

Siamo fatti così, il ricevere un favore, un'attenzione, un piccolo regalo, ci induce a ricambiare.
È uno dei principi su cui si basa il Social Engineering: come sottrarre con l'inganno informazioni utili a frodare il prossimo.
Il Phishing si basa esattamente su forme più o meno elaborate di Social Engineering. Riceviamo un messaggio che promette un fortissimo sconto d'acquisto, oppure ci sollecita ad aggiornare le nostre informazioni di profilo. Il sito su cui atterriamo, però, anche se sembra quello vero, non lo è.

Come difendersi?
Tre regole di base:

• leggere attentamente il messaggio prima di cliccare su qualunque link, per verificare se è credibile; se il messaggio sembra arrivare dalla nostra banca, non serve cliccare sul link, basta digitare in una nuova finestra l'url della banca, accedere, e verificare se l'avviso ricevuto via email era autentico
• digitare la propria password solo dopo aver verificato che l'url della pagina sia quella giusta e non contraffatta
• utilizzare una password robusta e non condividerla con nessuno

Come si costruisce una password sicura? Anche qui tre quattro regole semplici:

• che sia lunga, non meno di 12 caratteri (es.: ilsolesplendealto)
• inserire qualche movimento: un po' di maiuscole, sostituire qualche lettera con un numero, inserire uno o più caratteri speciali e qualche errore di ortografia (es.: 1lSolo#splendealto)
• evitare come la peste informazioni personali: nomi, luoghi, date; sono tutti dettagli che sono reperibili dal nostro profilo Facebook
• non ri-utilizzare una stessa password su siti diversi; rubata una, rubate tutte

Utilizzare, infine, la 2FA (two factor authentication), se il sito lo consente. In questo caso l'autenticazione avviene inserendo la password e un pin che ci viene inviato sul cellulare. Rubarci la password a questo punto non basta più, occorre anche avere accesso al nostro cellulare.
La 2FA oggi è supportata dai principali sistemi di mail.

Tornando allo studio della Université du Luxembourg, se intendete cominciare una carriera di hacker con il metodo dell'intervista con cioccolato, tenete conto di due dettagli.
Spesso digitiamo in modo automatico la password (e la sbagliamo pure), ma abbiamo difficoltà a ripeterla a voce. Quindi dall'intervista avreste una buona probabilità (stima: almeno il 25%) di raccogliere una password sbagliata.
E poi l'intervistato potrebbe fare il furbo: prendere il cioccolato e darci intenzionalmente una password inventata sul momento.

Vatti a fidare.

[Immagine da maddmaths.simai.eu]