DIGITAL SCOUTS Cyber Security Guide - per persone private - Vi mostriamo la strada attraverso la giungla digitale - Baloise Group
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
DIGITAL
SCOUTS
Cyber Security Guide –
per persone private
Vi mostriamo la strada attraverso la giungla digitale.
www.baloise.com/digitale-pfadfinder
Informazioni sugli scout digitali La truppa degli scout digitali di Baloise Group è composta da collaboratori motivati e interessati. Come amba- sciatori della digitalizzazione, offrono un aiuto per riuscire a trovare la giu- sta strada nella giungla digitale. L’orga- nizzazione degli scout digitali Baloise nasce da una collaborazione tra Group IT e Public Affairs. Obiettivo e scopo degli scout digitali Gli scout digitali Baloise forniscono un contributo facoltativo nell’am- bito di Corporate Social Responsibi- lity di Baloise, poiché le esigenze della società vanno oltre l’acquisto di pre- stazioni di sicurezza. I collaboratori Baloise dispongono di un vasto know- how che viene messo a disposizione della società al di là delle prestazioni di servizio rilevanti per l’attività azien- dale. Avete interesse a partecipare ad uno dei nostri eventi informativi sul tema cyber security? Scriveteci un’e-mail: pfadfinder@baloise.com
3
Introduzione
Questa brochure ha lo scopo di aiutarvi I rischi a livello di cyber security sono pre-
a essere informati in merito ai rischi ed senti sotto molte forme e possono provo-
ai pericoli che si celano nell’uso quoti- care danni di dimensioni e portata deva-
diano di Internet nella vostra vita pri- stanti. Il principale punto debole nella
vata. Inoltre, essa vi spiega quali sono sicurezza IT, che sia a casa o in ufficio, è
le basi della cyber security presentando e rimane sempre la persona stessa. Una
delle direttive preventive per evitare di chiara comprensione dei rischi e delle con-
incappare proprio in questi pericoli. seguenze del proprio agire può però con-
tribuire in modo evidente a limitare la pos-
sibilità di fare errori.
4 I termini principali
in breve
I termini principali in breve
Social engineering Phishing
È “l’arte” di manipolare le persone allo Tentativi di accedere ai dati personali
scopo di indurle ad adottare un certo di utenti Internet attraverso l’uso di siti
comportamento, ad esempio, vista la Internet, e-mail o messaggi falsi allo
buona fede di una determinata persona, scopo di danneggiare le persone coin-
si cerca di manipolarla in modo tale da volte (ad esempio furto di dati o di valori
farsi confidare informazioni riservate. pecuniari). Il phishing è una forma parti-
Facendo appello alla disponibilità delle colare di social engineering.
vittime, il social engineer cerca di procu-
rarsi l’acceso a dati sensibili. Distributed Denial of Service (DDoS)
Blocco dei servizi informatici esposti
Malware a Internet (sito web, negozio online o
Termine generale che indica i software forum), causato da un’enorme quantità
che eseguono funzioni indesiderate e di richieste. Questo blocco impedisce l’u-
dannose. Il malware spesso non si dif- tilizzo del servizio informatico mirato.
fonde da solo, bensì utilizza un pro- Questo tipo di attacco può essere cau-
gramma ospite e, facendo leva sull’utilità sato da sovraccarichi involontari o da un
di esso, cerca di indurre l’utente a instal- attacco mirato. Si tratta di una forma di
larlo. I programmi malware più cono- ricatto che sta diventando sempre più
sciuti sono i trojan, gli spyware e i ran- comune nell’era del business online.
somware.
Cybermobbing Ransomware (dall’inglese “ransom” per
Termine generale che indica quei com- “riscatto”)
portamenti volti a diffamare e importu- Chiamati anche cryptolocker o virus del
nare altre persone o imprese avvalen- riscatto, sono programmi di malware con
dosi dell’uso di Internet o di dispositivi cui l’intruso riesce ad accedere a determi-
mobili. Fa parte del cybermobbing anche nati dati per poi bloccare l’utilizzo di essi
il furto di identità, ad esempio allo scopo o l’accesso a tutto il sistema informatico.
di svolgere transazioni o rilasciare affer- Lo scopo è estorcere denaro per poter
mazioni a nome di altri. Si tratta anche riacquisire l’accesso ai propri dati. Nel
qui di una forma particolare di social 2017 gli attacchi dei malware WannaCry e
engineering. NotPetya hanno ottenuto risonanza a
livello mondiale mettendo completa-
mente k.o. tra gli altri anche ospedali e
aziende di logistica.Sensibilizzazione Password e sicurezza Le password non andrebbero mai scritte andare perse e che quindi è bene cam- e non dovrebbero mai essere comu- biarle regolarmente. È molto importante nicate a nessuno. L’autenticazione a quindi non cambiare solo un numero o più fattori è un metodo buono e sem- una lettera, bensì utilizzare una pas- plice per aumentare la sicurezza di un sword completamente nuova. account. Ad esempio, al momento del login viene inviato all’utente un SMS al In caso di sospetto di uso illecito dell’ac- numero di cellulare registrato, conte- count, è fondamentale modificare subito nente un codice numerico per poter pro- la rispettiva password. seguire con la procedura di login. Per ogni account dovrebbero essere utiliz- zate password diverse, non troppo simili tra loro. È necessario essere consape- voli del fatto che le password possono
Sensibilizzazione 7
Password e sicurezza
Cassaforti per password smartphone, anche tramite identifica-
Le cosiddette cassaforti per password zione con impronta digitale o riconosci-
(password vault) servono a semplifi- mento facciale. In questo modo dovete
care la creazione e la memorizzazione ricordarvi solo la master password e poi
di password nuove ed esistenti. Si tratta potete consultare tutte le altre password.
di applicazioni che permettono di gene- Ecco alcuni buoni esempi di cassaforti
rare una password sicura e di salvarla in per password: SecureSafe, 1Password e
combinazione con un account. L’appli- Keeper Security.
cazione stessa viene protetta grazie ad
una complessa master password, sullo
Checklist per la sicurezza delle Esempio:
password → Frase d’esempio per la creazione
Almeno otto caratteri di una password: Mio figlio è nato
Maiuscole e minuscole nel febbraio 1994, compie 26 anni
Numeri e caratteri speciali quest’anno.
Nessuna combinazione di lettere
contenuta in dizionari → Ogni prima lettera o numero in ordine,
Password mai usata prima rispettando le maiuscole e le minu-
scole:
Suggerimento:
Mio figlio è nato nel febbraio 1994,
compie 26 anni quest’anno.
Se non doveste utilizzare alcuna → Password: Mfennf94$c26aq$a
cassaforte per password, espe-
dienti mnemonici e frasi per pas-
sword possono aiutare a creare
nuove password e quindi a ricor-
darle più facilmente. Si tratta di
frasi semplici che permettono di
creare una password utilizzando,
ad esempio, le prime lettere di ogni
parola.8 Social engineering
Esempio e comportamento da seguire
Social engineering
Esempio e comportamento da seguire
Il social engineering può essere pra- → Suggerimento di azione: un classico
ticato nei vostri confronti durante una che purtroppo funziona ancora troppo
conversazione diretta, ma anche online spesso. Se qualche sconosciuto vi pro-
oppure al telefono. I seguenti esempi e mette un buon profitto tramite Inter-
le azioni consigliate hanno lo scopo di net, potete essere certi che si tratta
aiutarvi a riconoscere un certo schema di una truffa. Non rispondete a que-
ricorrente. sta e-mail, bensì cancellatela diretta-
mente.
Situazione: un principe nigeriano vi con-
tatta tramite e-mail perché desidera con- Situazione: la persona con cui avete
segnare oro in Svizzera per un valore di concordato un appuntamento online, e
molti milioni di franchi. Voi dovreste aiu- che non avete ancora incontrato perso-
tarlo in veste di intermediario e potrete nalmente, scrive che ha problemi fami-
poi tenere per voi una certa quota del liari e che ha bisogno di denaro da voi
ricavo totale.Social engineering 9
Esempio e comportamento da seguire
per pagare il viaggio nel proprio paese, vostro dispositivo acquistato e se si
spesso tramite l’acquisto di crediti per verificano problemi, voi dovete chia-
carte prepagate MasterCard. mare l’Helpdesk del produttore.
→ Comportamento consigliato: non date
più ascolto a questo individuo. Quasi Situazione: nella chat del vostro video-
sicuramente non si tratta della per- gioco online qualcuno si presenta come
sona che ha detto di essere sul por- amministratore e vi informa che il vostro
tale online, probabilmente nemmeno account è corrotto. Per ripristinarlo,
del sesso indicato. Bloccate e indicate prima di perdere importanti dati di gioco,
questa persona agli amministratori questa persona ha bisogno della vostra
del portale, così che possa essere eli- password e dell’indirizzo e-mail con cui
minata dalla piattaforma. vi siete registrati al gioco.
→ Comportamento consigliato: ignorate
Situazione: l’interlocutore al tele- questa persona e bloccatela o indica-
fono si presenta come collaboratore tela a chi di dovere, se possibile. Nes-
dell’Helpdesk di un produttore di har- sun amministratore di un gioco vi scri-
dware come HP, Dell o Apple e vi informa verebbe nella chat del gioco stesso
che si è verificato un problema con il per discutere i problemi del vostro
vostro dispositivo. Successivamente vi account: tali comunicazioni avven-
invita a rivelare vari dati e dettagli perso- gono sempre tramite uno scambio di
nali sul vostro dispositivo e sulla vostra e-mail. Di norma, i produttori del gioco
connessione Internet. informano sempre in prima persona
→ Comportamento consigliato: non for- che nessuno dei loro amministratori
nite alcuna informazione dettagliata richiederebbe dati personali in chat.
sulla vostra persona o sui vostri dispo- Ignorate inoltre anche tutti i messaggi
sitivi se venite chiamati, ma riattac- in chat che vi offrono grandi quan-
cate. I produttori di hardware non tità di “valuta in-game” a un prezzo
hanno possibilità di riconoscere auto- vantaggioso: anche in questo caso si
maticamente se e come funziona il tratta sempre di una truffa.10 Phishing
Esempio e comportamento da seguire
Phishing
Esempio e comportamento da seguire
1.
2.
3. 4.
5.
Con l’e-mail sulla destra si spiega con 2. Manca il logo Facebook. Tutta la
un semplice esempio come riconoscere e-mail non ha il solito formato tipico
un’e-mail di phishing e come compor- di Facebook.
tarsi nel modo giusto.
3. Il link indicato per accedere a Face-
Fattori di riconoscimento (riquadri book contiene una “o” di troppo.
rossi) dall’alto verso il basso. Inoltre, il link stesso non sembra
1. Il mittente indicato ha due indi- assolutamente indirizzare verso una
rizzi e-mail, il secondo dei quali pagina di login o di sblocco della
non sembra assolutamente essere pagina.
quello di un impiegato di Facebook.Phishing 11
Esempio e comportamento da seguire
4. La questione sembra essere un Cifre e fatti:
po’urgente. La stessa frase contiene 45 % degli utenti Internet cliccano sui
anche una minaccia sotto forma di link contenuti nelle e-mail di mittenti
possibile cancellazione dell’account. sconosciuti.
92 % di tutti gli attacchi hacker iniziano
5. Mancano il classico disclaimer e la con un’e-mail di phishing.
nota sulla protezione dei dati a fine
e-mail. Non sono neppure indicate Come comportarsi con le e-mail di
le opzioni di presa di contatto con il phishing?
support di Facebook. Se in seguito Non tutte le e-mail di phishing sono identi-
l’account dovrebbe essere veramente ficabili a prima vista. In caso di sospetto,
cancellato, qui sarebbero sicura- potete procedere nel seguente modo:
mente riportate delle informazioni di → Cancellare l’e-mail; se dovesse trat-
contatto. tarsi effettivamente di un’e-mail
importante, il vero servizio online vi
Altre caratteristiche tipiche di un’e-mail contatterà.
di phishing: → Verificare manualmente (senza clic-
→ Formulazioni impersonali care sul link all’interno dell’e-mail) lo
→ Errori di battitura e problemi con gli status del profilo o del servizio.
accenti → Chiamare il supporto clienti del mit-
→ Uso di una lingua inconsueta (ad tente e chiedere informazioni. Il
esempio l’inglese sebbene utilizziate numero di telefono del supporto
il servizio in italiano) clienti di un fornitore di servizi si trova
→ Diversi tipi di formattazione nell’ facilmente con una ricerca su Google.
e-mail12 Phishing
Esempio e comportamento da seguire
Ricordate che nessuna azienda seria SMS Phishing
informerebbe i propri clienti della cancel- Il phishing può avvenire anche tramite un
lazione dell’account solo tramite e-mail. SMS sul cellulare.
In particolar modo gli istituti finan- Controllate sempre quando ricevete un
ziari e assicurativi vi informeranno per SMS con un link, alcuni consigli impor-
prima cosa telefonicamente e via posta tanti per riconoscere un tentativo di phi-
se dovessero verificarsi problemi con il shing:
vostro account. → Controllare il nome e il numero del
mittente
→ Controllare l’ortografia del messaggio
→ Guarda il link (ad es. il nome dell’a-
zienda scritto correttamente)
→ In caso di dubbio contattare il servi-
zio clienti dell’azienda per telefono o
per e-mail.Protezione da ransomware 13
e reazione in caso di attacco
Protezione da ransomware
e reazione in caso di attacco
Il ransomware può accedere in diversi aggiornamenti del programma antivi-
modi al vostro sistema e danneggiarvi rus contengono miglioramenti per il
con il blocco dei vostri dati. Tenete a riconoscimento e la difesa antivirus e
mente le seguenti misure per evitare dovrebbero essere fatti regolarmente.
questo tipo di ricatto.
Ricordate che il ransomware spesso è
→ Attenzione alle e-mail, soprattutto programmato in modo da diffondersi
all’apertura di allegati. I ransomware ulteriormente nella rete infetta: ciò
vengono trasmessi soprattutto tramite significa, ad esempio, che tutti i dispo-
e-mail e si propagano all’interno del sitivi collegati alla vostra WLAN sono
vostro sistema nel momento in cui clic- potenzialmente prossime vittime del
cate su un link o scaricate un allegato. ransomware.
Usate assolutamente un antivirus per
verificare gli allegati di mittenti scono- → Utilizzate quindi una soluzione di
sciuti prima di aprirli. backup per tutti i dispositivi pre-
senti nella vostra casa e create rego-
→ Attenzione ai dispositivi di memo- larmente copie di sicurezza dei vostri
rizzazione come le chiavette USB e i dati e di quelli dei vostri coinquilini.
dischi rigidi portatili. Soprattutto se
non conoscete l’utente precedente del In caso di attacco
dispositivo e non siete completamente → Non pagate il riscatto richiesto! In
sicuri del contenuto del dispositivo questi casi spesso poi il riscatto viene
stesso, non dovreste mai collegarlo al aumentato ed i dati rimangono crip-
vostro sistema. tati.
→ Mantenete sempre aggiornati i vostri → Rivolgetevi a un professionista e cer-
sistemi. Le nuove versioni dei sistemi cate di ripristinare il sistema con una
operativi contengono spesso miglio- versione di backup precedente all’at-
ramenti in fatto di sicurezza. Anche gli tacco.14 Ulteriori direttive preventive importanti
Ulteriori direttive preventive importanti
Informare familiari e coinquilini nel caso scegliate la soluzione di backup
Se abitate in una casa con più disposi- con cloud, che a seconda della sede
tivi abilitati all’accesso a Internet e con dell’azienda, le leggi sulla protezione dei
più utenti, informate questi ultimi circa i dati possono essere diverse da quelle
rischi di Internet e scambiatevi consigli della Svizzera.
a vicenda. Spesso bambini ed i ragazzi Consigliamo inoltre l’uso di un firewall
sanno più su Internet di quanto si creda. per difendervi dagli attacchi esterni non-
Ciononostante è consigliabile concordare ché l’installazione di un antivirus che
insieme una soluzione con regole di con- verifichi regolarmente l’eventuale pre-
dotta per l’uso della rete. senza di aggressori nel vostro sistema e
nei file in esso presenti.
Salvataggio dati – esecuzione di backup
I vostri dati possono andare persi e non La maggior parte dei programmi antivi-
solo nel caso di un attacco hacker. Anche rus, di firewall e di backup offre una ver-
altri fattori esterni come l’incendio o i sione di test oppure è completamente
danni da acque ed il danneggiamento gratuita. Pertanto vi consigliamo di pren-
fisico del dispositivo possono provocare dervi il tempo necessario per testare
la perdita di dati. alcuni programmi e scegliere una solu-
Ricordate pertanto di fare regolarmente zione adeguata nel prezzo e nelle presta-
delle copie di sicurezza dei vostri dati, i zioni al vostro budget ed alle vostre esi-
cosiddetti backup. Anche in questo caso genze.
sono in vendita programmi di diversa
qualità e di diverso prezzo. L’importante
è che verifichiate regolarmente che i dati
salvati possano essere ripristinati. Inol-
tre, i backup non dovrebbero essere con-
servati nello stesso dispositivo e nello
stesso luogo usato per i dati originali.
Acquistate un disco rigido esterno o uti-
lizzate una soluzione di backup che salvi
i vostri dati in un cloud. Ricordate però,Aggiornare sistemi operativi e pro- Sostegno statale
grammi Dal 2010, lo Stato offre la Centrale d’an-
Ricordate di eseguire regolarmente e fre- nuncio e d’analisi per la sicurezza dell’in-
quentemente gli aggiornamenti di assi- formazione (MELANI) su
stenza e sicurezza per il proprio sistema www.melani.admin.ch, dove trovate
operativo e i programmi in uso. Queste informazioni in merito ai pericoli e alle
patch chiudono le falle e le lacune note, misure attuali, come anche un modulo di
aumentando così la sicurezza per tutte le annuncio per attacchi.
funzioni utilizzate.
Tutti i sistemi operativi e programmi per Have I Been pwned?
computer o smartphone hanno degli Il servizio web Have I Been pwned (HIBP)
errori. Gli autori di malware sfruttano raccoglie e analizza i cosiddetti data
queste falle per penetrare nel compu- dumps che gli hacker mettono in rete
ter o nello smartphone. Vale quindi la dopo aver messo a segno i loro data
pena utilizzare, oltre ai servizi standard breach. HIBP offre agli utenti la possi-
di sicurezza del vostro sistema operativo bilità di verificare se, in questo mare di
(ad esempio Windows Defender), solu- informazioni rese note e quindi non più
zioni antivirus e firewall integrative. protette, si trova anche il proprio indi-
rizzo e-mail o il proprio user name. Inol-
Buon senso tre è possibile impostare anche una fun-
Quando navigate in Internet o eseguite zione con la quale si viene informati
delle operazioni con dati sensibili, affida- tramite e-mail in caso i propri dati doves-
tevi sempre al vostro buon senso. sero essere resi noti in un data breach. È
inoltre possibile cercare tra le password
Per ulteriori linee guida preventive, infor- rese pubbliche. Per questo motivo è
mazioni in merito alla cyber security e importante utilizzare più password, poi-
interessanti attacchi hacker dal vivo, ché quelle rese note nei data breach ven-
partecipate agli eventi informativi ed gono vendute in Internet e non possono
alle presentazioni degli scout digitali di quindi essere più utilizzate.
Baloise. https://haveibeenpwned.com
L’attività di hacker è punibile
Qualsiasi tipo di attacco hacker è proi-
bito dalla legge.Baloise Group
Aeschengraben 21
000.1039 i 5.20 100
CH-4002 Basel
pfadfinder@baloise.com
www.baloise.comPuoi anche leggere
