Martedì 7 febbraio 2023 ricorre la celebrazione del Safer Internet Day, la Giornata Mondiale per la sicurezza in Rete promossa dalla Commissione Europea, che proprio quest’anno compie il ventesimo anniversario. Il motto di questa ricorrenza è “Together for a better internet”, che ricorda a tutti il ruolo attivo che ciascuno ha nella realizzazione di Internet come luogo positivo e sicuro. Nelle 100 Nazioni in cui si celebra, questa giornata è un’occasione per aiutare i giovani a fare un uso consapevole della rete.

Significa fissare momenti di riflessione, fornire strumenti e insegnamenti che includono le nozioni di base sulla sicurezza informatica, per far capire alle nuove generazioni che le soluzioni tecnologiche da sole non bastano per proteggere dalle insidie della rete, se non si tengono comportamenti adeguati. In realtà le regola da seguire sono poche e non servono ore di lezioni tediose per impararle. Ricapitoliamole brevemente con l’aiuto di Corey Nachreiner, CSO WatchGuard.

Software legittimo e aggiornato

I software piratati o non aggiornati sono fra gli strumenti preferiti dai cyber criminali per sferrare attacchi. Che si tratti di computer, console di gioco, smartphone, dispositivi IoT, bisogna ricordarsi che sistema operativo e applicazioni devono essere sempre aggiornati. Il concetto di base è semplice: tutto quello che è connesso a Internet è attaccabile, quindi va difeso. Che si tratti di hardware o software, la prima difesa è costituita dagli aggiornamenti di sicurezza che vengono pubblicati dai produttori.

A giovani e giovanissimi è doveroso ricordare che quanto appena detto vale anche e soprattutto per i videogiochi: è vero che a volte i prezzi sono saltati, ma le versioni illegali che possono essere scaricate gratuitamente sono spesso delle esche usate dai criminali informatici per sferrare attacchi gravissimi. Meglio limitarsi al software acquistato da fonti legittime e in caso di download mobile, scaricato solo dagli store ufficiali.

Phishing e truffe

La rete è piena di insidie, le truffe sono quelle più diffuse. Molti abboccano e si fanno raggirare, spingendo le persone con l’inganno a visitare siti web fasulli, scaricare allegati infetti o cedere importanti informazioni personali. Per mettersi al riparo da queste insidie bisogna essere vigili e diffidenti. I messaggi, a prescindere che arrivino via social, email o chat, devono essere considerati sospetti a prescindere. Bisogna verificare l’autentico mittente, l’URL a cui propone di connettersi, il tipo di messaggio. Se instilla un senso di urgenza è probabilmente una truffa. Se propone un affare incredibile o qualcosa di troppo bello per essere vero, è probabilmente una truffa. Se prospetta uno scenario apocalittico e gravissimo che si verificherà a meno che non facciate un’azione richiesta… è probabilmente una truffa. Se avanza una richiesta “normale” ma in un modo “strano” o inaspettato probabilmente è una truffa.

Il minimo dubbio dovrebbe essere più che sufficiente per bloccare tutto e non dare corso alle richieste. Spesso una ricerca in rete rivela che in effetti quella a cui si sta assistendo è una tecnica truffaldina.

Le password

Le password sono come le chiavi di casa: se usate correttamente possono impedire ai ladri di entrare. Usare combinazioni troppo facili di lettere e numeri equivale a lasciare le chiavi nella serratura. Usare la stessa password per diversi account equivale a lasciare una copia della chiave sullo zerbino d’ingresso. Sembra una banalità e lo è, esattamente come impostare la password “password” o “123456”.

Per la propria sicurezza è quindi il caso di fare uno sforzo per una buona gestione delle password. Per ciascuno dei propri accessi bisogna creare una password complessa e univoca. Complessa significa che non dev’essere indovinabile con le tecniche più diffuse, come il brute forcing o gli attacchi a dizionario. Evitare i nomi degli animali domestici, le date delle ricorrenze di famiglia, le squadre di calcio, i cibi e via dicendo. Meglio comporre qualcosa che alterni lettere e numeri in un ordine casuale difficile da identificare.

Quanto all’univocità è un concetto banale: ciascun account deve avere una password unica. Il motivo è semplice: se si condivide la stessa password fra più account, nel momento in cui ne viene “bucato uno” sono automaticamente tutti gli altri. Infine, tenuto conto che anche la password più difficile può cadere in mano ai cyber criminali, è bene attivare l'autenticazione a più fattori (MFA) ove possibile, quindi su qualunque servizio che lo consenta.