Ad agosto il Sistema sanitario della Regione Lazio è andato fuori uso in piena campagna vaccinale a causa di un assalto ransomware, e solo dopo alcuni giorni è stato possibile ripristinarlo, ufficialmente senza pagare alcun riscatto agli autori dell’attacco informatico. La porta di accesso ai sistemi regionali era stata aperta involontariamente da un dipendente, il cui computer aveva fatto da base di lancio per il sofware malevolo.
Fra i metodi usati per forzare un sistema, quelli più insidiosi sono le tecniche di social engineering: un mix di trucchi psicologici per appropriarsi di informazioni riservate, come password e codici di accesso.
Immagina di lavorare in una grande azienda e ricevere una telefonata dai sistemi informativi, che ti avvisano che è in corso un attacco informatico e bisogna fare una serie di verifiche e aggiornamenti di sicurezza ai profili di tutti i dipendenti. Lo faranno loro, ma bisogna che tutti reimpostino temporaneamente la propria password a un valore dato, potresti farlo subito? Magari tu non sai se fidarti o meno, ma chi è al telefono cita il nome di una collega che conosci bene e tu ti convinci che è tutto regolare, anzi ti senti quasi in colpa perché stai rallentando una procedura di sicurezza; e fai ciò che ti viene detto, lasciando il campo libero ai malintenzionati che useranno subito la password “provvisoria” per introdursi nel sistema.
Oppure immagina di ricevere una telefonata dal servizio di igiene pubblica dell’Ausl che sta facendo un’indagine a campione sulle persone vaccinate; l’operatrice ti chiede conferma della data della tua vaccinazione, citando anche il tipo di vaccino che hai fatto, poi ti chiede una serie di dati personali e sanitari. Qualche tempo dopo, qualcuno telefona a un tuo anziano parente, fingendo che tu abbia avuto un incidente durante una vacanza all’estero (magari il viaggio di cui hai appena pubblicato le foto su Instagram); la persona cita informazioni su malattie che hai avuto realmente in passato, per aumentare la propria credibilità, e conclude con una richiesta urgente di denaro. Chi ha dato loro queste informazioni? Tu, durante la telefonata. Da chi hanno saputo data e dettagli della tua vaccinazione? Sempre da te, quando hai pubblicato su Facebook la foto del green pass appena ottenuto.
Ogni volta che diffondiamo su internet notizie su di noi e i nostri cari, le stiamo mettendo a disposizione anche di persone che potrebbero usarle a nostro danno. Perciò il Garante della Privacy, subito dopo l’adozione del green pass, ha rilasciato un video in cui raccomanda di non condividerlo online; e per questo devi sempre essere consapevole di chi può vedere i tuoi post, controllare il livello di riservatezza dei tuoi profili social, e possibilmente limitarlo, nascondendo agli sconosciuti le notizie che ti riguardano più da vicino.
Un libro inquietante, ma molto istruttivo “L’arte dell’inganno”di Kevin Mitnick è una lettura molto utile, anche se rischia di farti perdere una buona dose di fiducia nel genere umano. L’autore, un hacker esperto, racconta gli stratagemmi grazie a cui è riuscito a violare sistemi che avrebbero dovuto essere altamente sicuri, sempre facendo leva sul fattore umano: curiosità, ingenuità, inesperienza di persone che hanno rivelato informazioni preziose alla persona sbagliata.
