Negli ultimi anni sono tantissimi i casi registrati di furto di identità con scopi fraudolenti. Questi furti sono stati spesso l’origine di violazioni degli accessi a sistemi e applicazioni che hanno colpito organizzazioni, pubbliche e private, di varia dimensione. Le indagini effettuate sulla natura degli incidenti hanno rivelato troppo spesso che l’account violato aveva un solo livello di protezione, ossia che la sua sicurezza dipendeva esclusivamente da una password, senza ulteriori metodi di identificazione e verifica.
In molti di questi casi quindi, per non aprire la porta al cyber crime, sarebbe stato sufficiente che la vittima avesse utilizzato un doppio livello di autenticazione, ossia un’autenticazione a più fattori. I sistemi di autenticazione a più fattori, oltre a utilizzare una password, richiedono agli utenti di fornire un’ulteriore prova a conferma della loro identità. Questa ulteriore prova deve essere qualcosa che solo l’utente possiede, come uno smartphone o un elemento biometrico, come un’impronta digitale.
Come avviene un furto di identità digitale?
Per appropiarsi delle credenziali di un utente gli hacker in genere utilizzano una delle seguenti tecniche:
- Il Phishing – questa tecnica prevede, in linea generale, l’invio da parte di un falso mittente di una mail, il cui contenuto è pensato per incoraggiare tutti i destinatari che la ricevono ad accedere a una pagina Web, naturalmente falsa, in cui inserire le loro credenziali. Il contenuto della mail può variare: dall’offerta di poter accedere a un nuovo Tool, alla necessità di dover reimpostare una password o, ironia della sorte, di dover verificare delle attività sospette dell’account.
- Lo Spear Phishing – segue nelle caratteristiche principali il modello del phishing, ma in questo caso le mail sono indirizzate a uno specifico utente, con nome e cognome, e i contenuti sono molto più attinenti alle abitudini dell’utente stesso. E’ per questa ragione che le mail di spear phishing, sembrando più credibili, e molto più pericolose di quelle classiche di phishing.
- Il Password Spraying – con questa tecnica i criminali cyber riescono a violare un account semplicemente provando ad utilizzare password comuni o predefinite, come le generiche “12345678”, “password”, e così via.
- Il Credential Stuffing– questa tecnica, ultimamente molto utilizzata, sfrutta le liste di credenziali rubate, ormai facilmente reperibili nel dark web o in rete, per provare con le stesse ad accedere a siti ed App. Partendo dall’idea che vista l’alta percentuale di utenti che utilizzano sempre la stessa coppia username e password, molto probabilmente con una di queste credenziali, prima o poi, si riuscirà a violare qualche accesso a siti o APP.
Perché dunque l’autenticazione a più fattori è così importante?
Purtroppo, come emerge da molte ricerche, gli utenti che utilizzano la stessa password per account diversi sono più del 50%. Di conseguenza è facile immaginare che le stesse password possano essere condivise tra account personali e account di lavoro.
La sicurezza della propria organizzazione è quindi strettamente legata alla sicurezza in ambito personale. Proteggere la propria identità digitale è sempre più indispensabile, e per farlo è fondamentale abilitare, dove possibile, un ulteriore livello di autenticazione. L’Internet banking rappresenta certamente un esempio di autenticazione a più fattori che tutti conosciamo. Meccanismi analoghi possono però essere attivati anche per proteggere il proprio account nei Social Network, ambienti ultimamente molto frequentati dai crimali cyber.
Abilitare un ulteriore livello di autenticazione sulla posta elettronica personale come Gmail o su un Social Network è facile da configurare e comodo da usare. Ogni applicazione ha le sue istruzioni da seguire come nel caso di Facebook o di Whatsapp. Abilitare queste funzionalità potrebbe risparmiarvi spiacevoli sorprese, riducendo al minimo il rischio di violazioni dei dati. I vantaggi che ne derivano non sono solo personali, ma riguardano anche, indirettamente, la propria organizzazione.
Cyber Security Awareness e il fattore umano
Considerate le tante tecniche di attacco e la poca attenzione che a volte viene riservata all’uso della password, per un criminale cyber entrarne in possesso può diventare una missione assolutamente “possibile”. Ritrovarsi con un account compromesso non è quindi un avvenimento così improbabile. Un rischio molto serio per sé e per la propria organizzazione.
Per difendersi da questo rischio, una modalità di autenticazione aggiuntiva che aggiunga un ulteriore livello di sicurezza alla coppia username e password, può dimostrarsi di grande efficacia. Questo perché, se risulta evidente la facilità con cui una password può essere violata, è altrettanto evidente che le possibilità per un criminale cyber di accedere da remoto al dispositivo che consente un ulteriore livello di autenticazione, sono “quasi” nulle.
Quasi nulle significa che per proteggere dai malintenzionati tutti i propri sistemi di autenticazione, siano password o smartphone, rimane comunque fondamentale mantenere alto il livello di attenzione. Il fattore umano resta un elemento determinante per difendersi dagli attacchi sempre più sofisticati di un cyber crime alla continua ricerca di nuove modalità per aggirare anche i sistemi di autenticazione più complessi.
L’utilizzo di sistemi di autenticazione a più fattori può quindi non essere sufficiente, davanti a un cyber crime in continua evoluzione, se non si attuano dei percorsi di formazione sulla Cyber Security Awareness veramente efficaci.