Sicurezza Informatica

Come proteggere la tua identità digitale in una società iperconnessa

Posted on by Carmen Di Nardo
6 min

I dispositivi connessi sono sempre più presenti nelle nostre giornate: a colazione leggiamo le mail o ci aggiorniamo sui social; a lavoro utilizziamo pc o device che ci permettono di svolgere le nostre attività o interagire con i dipendenti; e la sera ci godiamo un bel film sul divano grazie alla smart tv e alle piattaforme on demand. In quella che è diventata la nostra quotidianità iperconnessa, la sfera personale si mescola con quella digitale. La condivisione di account e password ha aumentato notevolmente i rischi di attacchi alla sicurezza informatica delle aziende. Vediamo ora come proteggere le nostre identità digitali in una società iperconnessa.

Vuoi ascoltare l’audio dell’articolo? Clicca play ⇓

Letto da: Linda Grasso

Cos’è un’identità digitale e perché bisogna proteggerla?

Quando pubblichiamo o condividiamo informazioni personali online stiamo creando o incrementando il nostro alter ego digitale. Per identità digitale, si intende l’associazione, al nostro nome online, di tutti quegli attributi che servono per definire la nostra personalità privata e professionale (ad es. data di nascita, informazioni sanitarie, indirizzo, numero di telefono, ID di accesso agli account).

Tutte le volte che interagiamo attraverso i social media, le piattaforme di servizi, e i siti che ci richiedono il login prima di compiere una qualsiasi azione stiamo fornendo al web nuove informazioni personali.

L’enorme quantità di dati personali che circolano in rete sono una vera e propria miniera d’oro per i criminali informatici. Si tratta di informazioni che possono essere utilizzate per frodi, più o meno gravi, come vedremo in seguito.

Le motivazioni che dovrebbero spingerci a proteggere la nostra identità online sono varie, tra cui:

  • difendere la reputazione. Anche se non perdiamo denaro da un eventuale furto della nostra identità online, un attacco alla nostra credibilità potrebbe danneggiarci da un punto di vista professionale o privato. La comparsa di video compromettenti sui nostri social network, l’invio di mail denigratorie ma anche la pubblicazione di post offensivi sui social network della nostra azienda potrebbero creare un danno che necessita di tempo e denaro per essere risolto.
  • tutelare le finanze. L’accesso ai conti bancari non è una frode che smascheriamo rapidamente, soprattutto se gli hacker sono professionisti che agiscono con i guanti di seta. Non vedremo, quindi, una transazione di denaro massiccia che farà scattare gli allarmi di sicurezza informatica delle banche e questo ci espone a pericoli maggiori.
  • proteggere le informazioni di lavoro. L’identità digitale è la chiave di accesso al mondo digitale e, se rubata, potrebbe permettere ad un criminale informatico di agire per conto nostro. Ecco un esempio. Se siamo CEO di un’azienda la nostra identità digitale potrebbe essere utilizzata per inviare delle mail, dal nostro account di posta elettronica, ai dipendenti. Chi riceverà il messaggio si fida di noi e potrebbe accettare un’ipotetica richiesta di trasferimento di denaro sull’IBAN scritto nel testo della mail. Questo attacco è conosciuto come Business Email Compromise (BEC)

Oggi il furto d’identità digitale, con l’enorme quantità di dispositivi connessi e di account attivati, è un crimine diffuso. Dal sondaggio annuale di Sophos “The State of Ransomware” è emerso che il 37% delle organizzazioni – più di un terzo dei 5.400 intervistati – sono state colpite da ransomware.

L'identità digitale è composta da una serie di attributi che definiscono la persona nell'universo online. Capire quali sono le minacce e come proteggere il nostro alter ego digitale è fondamentale in una società iperconnessa Condividi il Tweet

Quali sono le minacce all’identità digitale?

Ogni persona ha un valore per un hacker informatico. Ci sono pesci grossi come chi riveste un ruolo di prestigio nelle istituzioni governative, nomi noti dello spettacolo, imprenditori multimiliardari ma anche pesci più piccoli, meno noti ma più numerosi, che assicurano guadagni importanti.

Ottenere le chiavi d’accesso agli account o ai conti permette ai criminali informatici di attuare frodi di vario tipo:

  • Impersonare un utente nella fase di creazione di un account. Durante questo processo il criminale può creare un account nuovo con i dati reali di un utente, nel caso del furto d’identità; o entrare con gli accessi di un utente e utilizzarli momentaneamente per raggiungere un determinato scopo senza essere scoperto; o creare un account gemello con le stesse informazioni personali dell’utente reale e agire per conto nostro con la nostra rete contatti.
  • Furto di identità di un account attivo. Più frequenti e più dannosi, sono varie le tipologie di ransomware in cui l’hacker ruba l’identità di un account attivo. La maggior parte di questi attacchi arrivano tramite posta elettronica e sono identificati come social engineering: ci sono casi in cui si offre qualcosa in cambio dell’inserimento di dati (Baiting) o la mail sembra inviata da un account che conosciamo e ci chiede di fare il log-in inserendo ID e password (Phishing); o il mittente è l’azienda per cui lavoriamo o il nostro capo (Business Email Compromise)
  • Riattivazione di account entrati in disuso. Siamo in tanti ad avere account creati tempo fa e non più utilizzati. Mail di lavori precedenti, account di servizi a cui non abbiamo fatto più accesso. Noi ce ne dimentichiamo mentre gli hacker potrebbero riattivarli ed operare per conto nostro. Oppure capita che i criminali si approprino dei dati di una persona defunta per costruire una nuova identità (Ghosting).

Società iperconnessa e identità digitale

Come proteggere l’identità digitale personale e professionale?

Sono tante le minacce informatiche generate da una società iperconnessa ed è per questo importante mettere in atto dei comportamenti che tutelino la nostra identità digitale in ambito privato e professionale.

1 – Cambiare frequentemente la password di accesso

Solitamente cambiamo la nostra password quando per qualche motivo dobbiamo inserirla e ci siamo dimenticati dove l’abbiamo salvata. Sarebbe, invece, buona norma cambiare almeno una volta ogni sei mesi la password degli account che contengono informazioni personali o che permettono l’accesso ai nostri conti.
Inoltre, bisogna fare attenzione a non salvare le password online in quanto anche il più sicuro dei siti può essere hackerato.

2- Fare attenzione al Social Login

Molti siti permettono di creare un account sfruttando gli accessi ai profili social personali (Facebook, Instagram, Twitter, Google). Quello che può sembrare un metodo rapido nasconde un importante problema legato alla privacy. In effetti, quando si sceglie l’open-standard authorization (OAuth) sarà, ad esempio Google, a inviare al sito sul quale ci stiamo registrando non solo ID e password ma anche una serie di informazioni legate al nostro account che, consapevolmente o meno, abbiamo autorizzato a condividere. Vale sempre la pena leggere attentamente l’informativa sulla privacy prima di accettare.

3 – Leggere attentamente i messaggi delle mail

La via preferita dagli hacker per colpire il maggior numero di utenti sono le mail. Riceviamo ogni giorno svariate mail e newsletter che provengono dai colleghi o dal capo, dalle utenze domestiche, dai siti a cui siamo registrati. In questo mare di messaggi è facile camuffarsi. Quando il phishing è palese, anche se distratti riusciamo a cestinare la mail prima di cliccare sul link. Se invece il mittente è un professionista, potrebbe aver effettuato l’accesso dall’account di posta del nostro capo, o aver ripreso graficamente la struttura utilizzata, ad esempio, dai nostri fornitori di energia elettrica. In questo caso sembrerà tutto molto simile alla realtà e, se non facciamo caso ai particolari, il rischio di cadere nella trappola sarà molto elevato. Quali sono gli aspetti da valutare? Il mittente, la richiesta del messaggio e l’azione che ci chiede di compiere. Magari il mittente potrebbe essere una persona conosciuta nel caso del BCE, ma basta fare attenzione al link, se presente, o alla richiesta. Nessuna azienda seria chiederà di fare il login cliccando su un link o di inviare informazioni personali tramite posta elettronica.

4 – Aggiornare le impostazioni sulla privacy dei propri account

Quante volte ti è capitato di fare l’accesso ad un account personale, sui social o su un sito, e leggere che sono state aggiornate le impostazioni sulla privacy. Ebbene, in quel momento non bisogna cliccare rapidamente su “accetta tutto” per non perdere tempo ma vale la pena fermarsi e leggere attentamente. Quel messaggio è come dire “Guarda che stiamo cambiando il modo in cui forniamo a terzi le tue informazioni personali”. Dopo aver letto è importante andare nelle impostazioni sulla privacy e controllare che i premessi che avevi settato non siano cambiati. Un altro suggerimento per proteggere i propri account dalle intrusioni è l’autenticazione a due fattori. Molti account permettono di associare al login un ulteriore step di verifica. Potrà essere un numero di telefono o una mail a cui arriverà una notifica utile per confermare l’accesso. Tale protezione è efficace soprattutto in ambito aziendale con gli accessi alle piattaforme che utilizziamo per lavoro. In questo modo gli hacker, anche se riescono ad entrare in possesso di ID e password, non potranno accedere alle informazioni.

Iscriviti alla nostra newsletter

5 – Proteggere i device personali e professionali e fare attenzione alla connessione

Lo smart working ci permette di lavorare ovunque. Con il portatile alla mano possiamo connetterci dal bar, da casa, in un parco o presso gli uffici dei clienti. Il wifi pubblico però potrebbe essere un importante porta di accesso per gli hacker. Per questo è fondamentale proteggere con firewall e antivirus sempre aggiornati i nostri device professionali. Questo vale in linea generale ma a quale aspetto dobbiamo fare attenzione in merito all’identità digitale? Se il nostro dispositivo non è adeguatamente protetto, accedere ad una rete pubblica, come quella del bar o del parco, potrebbe esporre tutte le informazioni presenti sul nostro pc o sul nostro cellulare, ad attacchi informatici. Potrebbero intrufolarsi nella nostra rete e spiare le attività che stiamo svolgendo. In questo caso, può essere utile utilizzare una VPN (Virtual Private Network), ovvero un sistema che nasconde l’Indirizzo IP e protegge il traffico in entrata e in uscita.

In conclusione, la strada da seguire per limitare i danni personali e professionali dovuti al furto d’identità è puntare sulla responsabilizzazione degli utenti. Che siano i dipendenti della nostra azienda o persone con cui ci interfacciamo in ambito professionale è sempre utile verificare la loro attenzione alla protezione dell’identità digitale. La facile porta di accesso, ancora oggi, resta l’errore umano, commesso per distrazione o per mancanza di un’adeguata formazione.

Quanto è stato utile questo articolo?

Clicca la lampadina per votare!

Condivisione intelligente dei dati personali
3 step per gestire correttamente i dati sensibili in azienda
insider threat: 4 identikit di dipendenti
Attacco interno: 4 identikit di dipendenti che potrebbero rivelarsi una minaccia per l’azienda
Carmen Di Nardo

Content Manager del team DeltalogiX. La scrittura le ha permesso di unire la sua passione per la tecnologia e l'innovazione con le sue skills di comunicatrice. La sua sfida quotidiana è quella di riuscire a trasformare i concetti complessi della Digital Transformation in letture che durino il tempo di un caffè.