Concludiamo la nostra inchiesta con un argomento d’attualità: il furto di identità digitale. Cosa possiamo fare per evitarlo?
Ma il furto d’identità? La Polizia Postale dice che le denunce per furto di identità via internet in Italia, nei primi dieci mesi del 2014, sono state 8.906. L’Unione Europea stima che solo il 30% è segnalato alle autorità competenti. “Eh sì – spiega Pierluigi Paganini, esperto di sicurezza informatica – perché i furti d’identità spesso non vengono scoperti, o magari lo sono solo dopo 12-18 mesi ”. E lo sai perché succede? Perché spesso non ce ne accorgiamo nemmeno: entrano nel nostro pc, nel nostro profilo social e non lo vediamo. Oppure rubano i nostri dati, sì, ma nei database pubblici, tipo quelli del Comune, della Asl, dell’Inps. Che, lo abbiamo visto, non sono ben protetti come immaginiamo, vista la delicatezza di ciò che conservano e il ruolo ufficiale di chi conserva. Adiconsum e Geri HDP hanno elencato tutte le forme di furto d’identità possibili e immaginabili: Identity Cloning (sostituzione di persona per creare una nuova identità), Financial Identity Theft (furto di dati finanziari per ottenere crediti e prestiti), Criminal Identity Theft (compiere altri atti vietati, come aprire una carta di credito a nome della vittima), Medical Identity Theft (i dati altrui sono usati per avere prestazioni sanitarie), Ghosting (crearsi una nuova identità coi dati di qualcuno che è morto), Cyber Bullismo – Impersonation (assumere un’altra identità per vessare qualcuno).
E come lo fanno, ‘sto furto? Ad esempio, con lo skimming (clonando cioè la tua carta di credito quando vai a pagare: copiano tutti i tuoi dati); col phishing (per posta elettronica. Ricevi una mail in cui qualcuno, che dichiara di appartenere a una qualsiasi società con cui sei in rapporti – la tua banca, ad esempio – e ti chiede i tuoi dati personali. Oppure usa la classica scusa che hai vinto alla lotteria. Oppure scrive fingendo di essere un tuo amico in difficoltà, qualcuno che davvero conosci, cui serve subito del denaro). Una versione evoluta è il vishing, in cui la mail ti chiede, per fregarti meglio, di chiamare un finto call center, che ti chiederà a voce quei dati. Un’altra variante evoluta: lo spear phishing, di cui parla l’hacker Raoul Chiesa. Cos’è, Pierluigi? “Si tratta di questo: invece di mandare la mail a tutti come nel phishing, l’attaccante seleziona un numero limitato di utenti. L’attacco è meno rumoroso, meno visibile…un attacco chirurgico”. I criminali selezionano le vittime e ne osservano le abitudini, imparano chi sono e cosa fanno tramite tutte le informazioni che lasciano sui social network. Così, quando mandano la mail, sono più credibili, perché sanno cosa hai fatto di recente, che tipo sei. E ancora: spamming (link o file da scaricare, inviati via mail, che contengono invece dei malware), keylogging (un malware segue tutto quello che fai sulla tastiera, quindi scopre anche le password…), spoofing (una tecnica basata sulla falsificazione dell’identità dell’attaccante), pharming (credi, che so, di connetterti al sito della tua banca e invece sei su un sito-clone, perfettamente uguale, che legge quale password inserisci), sniffing (intercettazione dei pacchetti di dati che trasferisci dal tuo pc ad un server cui ti colleghi), oppure tramite download di brani musicali o video da siti poco chiari (e che contengono malware che poi rubano dati dal tuo pc). Poi ci sono anche altre modalità, che però è un po’ difficile che ti possano capitare. Come il trashing (sì, potrebbero frugare nella carta che butti al riciclo e trovare tutti i tuoi dati bancari su quell’estratto conto che hai soltanto appallottolato…).
Come posso evitare che mi rubino i dati personali? Non facendo il fesso. Segui le mani della cassiera o del benzinaio, quando gli dai la carta di credito. In genere la macchinetta per clonare i dati si trova sotto il bancone o nel retrobottega, perché è molto diversa da quella che vedi sempre. Se ti mandano una mail che puzza di phishing, non abboccare. Non cliccare su tutti i link che trovi, non scaricare qualunque cosa da siti strani. Quando scarichi un file, prima di aprirlo facci una passata con l’antivirus e l’antimalware. Ricordati che il keylogging ha bisogno di un apparecchietto esterno, che assomiglia ad un adattatore: lo vedi. Non salvare mai nessuna password nel pc, immettila ogni volta. E se butti documenti bancari o assicurativi, tagliuzzali prima. Adiconsum e Geri HDP danno anche altri suggerimenti: usare un software antivirus ed un firewall e tenerli sempre aggiornati (importantissimo), non cliccare sui pop-up che spuntano fuori mentre navighi e avvertono della presenza di virus sul computer (fidati solo del tuo antivirus), non lasciare i tuoi dati personali sui Social Network, verifica sul tuo estratto conto bancario se ci sono spese sospette ed attiva il servizio di sms alert che ormai offrono tutti. Aggiungo: setta i social al massimo livello di protezione.
Ma se mi rubano l’identità, che ci fanno? C’è l’imbarazzo della scelta. Una volta che hanno il tuo nome, cognome, data di nascita e numero di conto corrente, ad esempio, si fanno fare un documento falso a tuo nome e poi, sempre a tuo nome, acquistano beni aprendo un finanziamento. Automobili, televisori… poi smettono di pagare le rate (ovviamente) e tu ti vedi arrivare la telefonata di qualche società di recupero crediti, se non ti sei già accorto che sul tuo conto corrente succede qualcosa di strano. Un’altra situazione meno frequente è che la tua identità venga usata da un terrorista o un criminale. Oppure, le informazioni possono essere vendute sul mercato nero, oppure usate per rubare dal tuo conto corrente; oppure per farti una simpatica estorsione … se hai qualcosa da nascondere. Le tue informazioni sono una merce preziosa nell’underground criminale, sono l’ingrediente fondamentale per la realizzazione di qualunque attività criminale, dalle frodi telematiche ad attacchi di vario genere, e per questo motivo ricercatissime. Ora lo sai.
di Fabio Sanvitale
