Da sempre nella sicurezza informatica c’è un grosso anello debole che persiste nonostante gli sforzi degli sviluppatori.
Una costante che è in grado di vanificare tutto il lavoro fatto per rendere le reti più sicure. Una costante chiamata essere umano.
Ebbene si: gli utenti sono la causa principale di insicurezza di un sistema informatico. Non c’è accortezza tecnica che possa resistere davanti ad un utente poco attento alle corrette pratiche o semplicemente distratto e disinformato.
Ascolta “Instagram e l’anello debole della sicurezza” su Spreaker.
Un esempio abbastanza fresco e meritevole di attenzione mediatica lo troviamo nel 2021. Nel pieno dell’emergenza COVID il sistema informatico della Asl del Lazio viene attaccato da un ransomware. I ransomware sono dei particolari tipi di virus che criptano i dati rendendoli inaccessibili chiedendoti un riscatto per avere la chiave di decodifica.
Ma torniamo all’ASL Lazio: i tecnici diedero la colpa ad un dipendente in smart working che si giustificò incolpando il figlio che avrebbe aperto una mail di phishing.
Prendiamo per vero tutto e facciamo finta di non sospettare che in realtà il sistema fosse già stato bucato da un pezzo e che si stesse solo aspettando il miglior acquirente per rivendere l’accesso abusivo.
Bene: queste cose succedono realmente e il più delle volte le colpe sono davvero di chi apre allegati con troppa leggerezza o visita siti di madre ignota. Come dice poi Matteo Flora le colpe reali, nel caso di Regione Lazio, sono principalmente di chi ha messo in piedi una infrastruttura così vacillante. Ma è un altro discorso e sulle note ti lascio un suo video molto esplicativo del perchè le colpe andrebbero ricercate altrove.
Un esempio di messaggio utilizzato per invitarti a mandare lo screenshot
Ma voglio parlarti di un caso, o per meglio dire di molti casi, che stanno accadendo quotidianamente su Instagram. Se usi questo social ti sarai reso conto della quantità di account rubati ai legittimi proprietari. Scommetto che almeno ad uno dei tuoi amici è stato rubato il profilo. E ti stupirà sapere che l’account in realtà lo ha consegnato il tuo amico al ladro. Appositamente non uso il termine hacker: questi non sono hacker, sono solo delinquenti che usano una tecnica chiamata ingegneria sociale. Ti contattano chiedendo il tuo aiuto per un contest. L’unica cosa che devi fare e mandargli lo screenshot dell’sms ricevuto da Instagram per poter convalidare il tuo voto.
Aiutare un amico? Ma certo. Se poi è un aiuto che non richiede denaro perchè non farlo? Ed è proprio su questo che lavorano: nel momento in cui manderai quello screenshot gli avrai dato l’accesso al tuo profilo.
Tu non lo sai ma mentre stavate parlando il malfattore ha utilizzato la funzione di recupero password del tuo account e quell’SMS serve a instagram come conferma dell’identità del richiedente. Ora capisci cosa intendo quando dico che l’uomo è il vero anello debole della sicurezza informatica?
Questo modo di operare è ben conosciuto e sfruttato da decenni con diverse sfumature prendendo il nome di Ingegneria Sociale. È l’abilità di carpire informazioni semplicemente parlando e magari spacciandosi per un’altra persona come in questo caso. “L’arte dell’inganno” è un libro scritto da Kevin Mitnick che parla di questa tecnica raccontando parecchi aneddoti sul suo utilizzo. Mitnick è un Hacker nel vero senso del termine che fece del social engineering una delle sue carte vincenti.
Ma tornando a Instagram: se sei stato vittima di un furto di account o conosci qualcuno che lo è stato forse non è troppo tardi per riuscire a rientrarne in possesso. Con un semplice contenuto audio è veramente difficile spiegare come fare e per questo motivo ti lascio ad un video di Andrea Bentivegna. Negli ultimi minuti illustra perfettamente le varie procedure da tentare per il recupero.
“Il naturale desiderio di protezione assoluta spinge molte persone a cullarsi di un falso senso di sicurezza” Kevin Mitnick
Contatti
Links e fonti
- Kevin Mitnick: ( bio – L’arte dell’Inganno, libro )
- Il caso ASL Lazio
- Andrea Bentivegna – Video sui furti account Instagram
- Matteo Flora – video sul caso Regione Lazio
Musiche
- Soundtrack di Kevin MacLeod, da incompetech Music Search. (Creative Commons BY4.0)