La sicurezza (propria, degli altri, dei propri dati) non sembra una priorità per gli utenti social

Molti utenti non se ne rendono conto, ma «quando stanno usando uno smartphone, stanno manovrando in realtà un’arma nucleare che può fare male a loro, alla loro azienda, alla società intera»: così Andrea Zapparoli Manzoni introduceva la vexata quaestio della cybersecurity sui social media al Social Media Marketing + Digital Communication Days Italia 2018.

Qualche occasione utile a rendersi conto dei danni concreti e più tangibili degli attacchi digitali è venuta nel tempo dalla cronaca. Nel 2013, quando quelli che poi si rivelarono essere attivisti pro Assad hackerarono l’account Twitter ufficiale dell’Associated Press dando l’annuncio, ovviamente falso, di un attentato in cui era stato ferito Barack Obama, il Down Jones perse in borsa oltre 150 punti¹. A luglio 2020 un attacco informatico ai danni Twitter, poi rivelatosi in realtà una “semplice” truffa in bitcoin , ha costretto la compagnia di Dorsey a fare i conti con il segno “meno” non solo davanti ai propri titoli in borsa, ma anche e soprattutto alla reputazione presso i propri investitori.

Secondo il Rapporto Clusit 2021, ancora, a fronte del numero di attacchi informatici cresciuto durante la pandemia di almeno il 12%, si può stimare che il danno economico legato al cybercrime sia stato doppio in un solo anno al PIL italiano, ossia di almeno 3.4 mila miliardi di euro. Non è la prima volta che vengono fatte delle stime economiche e “di mercato” sul crimine digitale: i volumi sono simili (se non proprio quelli) del narcotraffico o per usare, come ha fatto nel 2018 la Surrey University per esempio, il metro di paragone dei PIL nazionali il cybercrime vale oggi quanto quello della tredicesima potenza mondiale e cioè almeno 1.5 trilioni di dollari².

Non si arresta il trend di crescita dei cyberattacchi: nel triennio 2017-2020 ha fatto segnare un +66%. Fonte: Clusit

Cybersecurity sui social media: da dove vengono le principali minacce

C’è almeno un altro dato interessante nell’analisi svolta per il Rapporto Clusit 2021. Degli attacchi cybercriminali rilevati e andati a buon fine nel 2020 il 44% è stato a “impatto medio” e quindi non ha compromesso infrastrutture pubbliche o aziendali, ma ha avuto a oggetto dispositivi e account personali: a dimostrazione che quando si tratta di cybersecurity sui social media e negli ambienti digitali l’attenzione andrebbe posta soprattutto sulla “human security”, cioè su come comportamenti, (cattive) abitudini, disattenzioni o azioni involontarie o inconsapevoli dei singoli possano risultare critici in termini di sicurezza digitale personale e collettiva.

I “comuni” reati digitali sono stati nel 2020 tra gli attacchi informatici più frequenti. Fonte: Clusit

Quello che gli esperti di cybersecurity amano ripetere come un mantra è, del resto, che è tutto quello che succede tra la sedia e lo schermo del PC a mettere in pericolo in l’utente in Rete e i dati sembrerebbero dare loro ragione.

Un utente su tre è stato vittima di cyberattacchi (che, forse, è stato lui stesso a causare)

Secondo il Pew Research Center, almeno un americano su tre è stato vittima di attacchi informatici almeno una volta in vita propria e si dice per questo «sfiduciato» nei confronti di decisori e controllori, quindi di chi dovrebbe vigilare perché episodi di questo tipo non avvengano, ma allo stesso tempo non presta abbastanza attenzione alla scelta delle password per i propri account digitali o a proteggere i propri dispositivi personali con meccanismi anche semplici come il blocca schermo.

Il 2017 Norton Cyber Security Insights Report³ ha fornito risultati piuttosto simili anche in riferimento agli italiani e al modo in cui (non) si sono presi cura della propria cybersecurity sui social media. Nell’arco di tempo considerato dallo studio, oltre un terzo della popolazione adulta italiana è stata vittima di attacchi informatici e, in parte a sorpresa, si è trattato soprattutto di utenti con una certa familiarità con gli ambienti digitali, che utilizzano la Rete su base quotidiana e convinti di proteggere adeguatamente i propri dati e le proprie informazioni personali e di essere a basso rischio cyberattack.

I comportamenti più a rischio riguarderebbero, ancora, la scelta delle password: il 47% di chi è stato vittima di un attacco informatico, che si trattasse di ransomware o phishing fa poca differenza, aveva utilizzato la stessa password per più account diversi o, anche quando non lo aveva fatto, aveva salvato i codici di sicurezza in un file sul proprio dispositivo (così è stato nel 22% dei casi) o addirittura annotandoli su un pezzo di carta (così ha fatto un 40% di italiani).

Anche azioni apparentemente innocue e a cui capita di non dare eccessivamente peso, come condividere per filo e per segno la propria routine quotidiana, aggiungere alle foto del primo saggio dei propri bambini il geotag della palestra, sbandierare con largo anticipo quando e per quanto tempo si starà fuori per le vacanze estive, possono risultare critiche, però, sotto il profilo della sicurezza sui social media. Le informazioni e i dati personali che vengono in questo modo «esposte» o, meglio, «sovraesposte»⁴ direttamente dagli utenti possono essere sfruttate dai malintenzionati per fare social engineering, ossia per aumentare le probabilità di riuscita nel tentativo di intrufolarsi nella vita (digitale) della propria vittima giocando soprattutto su elementi “soft” come essere a conoscenza di cosa piace e quali sono le passioni o le abitudini della vittima, quali i suoi punti deboli.

Attacchi informatici: quali sono i più comuni sui social media?

Tanti e molto diversi tra di loro sono i modi in cui i cybercriminali provano a raggirare gli utenti sui social media.

• Le truffe di ogni genere sono, forse, il più comune. Si va dalle più semplici e che si basano sulla promessa di poter venire in possesso grosse cifre di denaro in cambio di un’azione semplice come un like a una pagina Facebook o un profilo Instagram (virale è diventata, per esempio, non molto tempo fa la “truffa Chiara Ferragni”) alle famose “truffe alla nigeriana” in cui il malintenzionato si presenta come il titolare di un grosso conto in banca o un importante ereditiere che non riesce più ad accedere alle proprie proprietà e ha bisogno per questo di un prestanome a cui cedere una corposa percentuale delle stesse, passando per più elaborate forme di catfishing. Quest’ultimo è un raggiro basato su false identità o sock puppet che fa leva sulla possibilità di instaurare una relazione di fiducia tale da indurre il malcapitato a credere nelle difficoltà economiche del truffatore e a cedere a richieste di denaro. Il fenomeno è conosciuto anche come romance scam se la relazione di fiducia si è trasformata in relazione amorosa; piuttosto comuni sono, in quest’ultimo caso, anche le sextortion, ossia le richieste di denaro da parte di interlocutori online con i quali si è entrati in una sintonia tale da scambiare materiali compromettenti e che serve per scongiurare la pubblicazione online di questo materiale.
• A volte il cybercriminale sui social può provare a raggirare le proprie vittime grazie a offerte veicolate da banner che rimandano a landing page con form da compilare o prodotti da acquistare a prezzi stracciati. Le offerte strepitose si servono del presunto vantaggio economico per riuscire a rubare informazioni come le coordinate bancarie utilizzabili per scopi fraudolenti. In casi come questi è sempre meglio verificare l’autenticità dell’offerta confrontandola con le offerte del sito ufficiale dei brand e usare sistemi di intermediazione come PayPal.
• La vittima di un attacco informatico avvenuto tramite social può, però, anche aver ricevuto (su Twitter, via messaggi privati, ecc.) degli url abbreviati e nascosti che non permettono di identificare il link e verificarne la sua validità. In questi casi si tratta spesso di collegamenti a siti web che contengono malware o mascherano tentativi di phishing, ma si può essere rimandati anche a bot malevoli su Telegram o a canali in cui si pratica il pump&dump, l’acquisto massivo di criptovalute da rivendere una volta che hanno acquistato valore o il carding, ossia l’utilizzo di carte di credito clonate acquistate nel dark web . Gli addetti ai lavori non hanno ormai remore a sostenere che il cybrecrime si è spostato dal dark web su Telegram più che sulle altre app di messaggistica istantanea.
• Gli utenti social, ancora, si ritrovano spesso a dare autorizzazioni ad app di terze parti, senza pensare che le stesse possono essere utilizzate a scopi malevoli o senza verificarne le politiche sulla privacy e sull’utilizzo delle informazioni condivise.
• Ci sono, infine, casi di profile hijacking in cui viene letteralmente rubata l’identità digitale di un utente attraverso una copia quasi perfetta dell’account o il furto dell’account stesso: l’hacker può così truffare amici e contatti facendo leva sulla credibilità del malcapitato utente.

Alcune semplici regole di igiene digitale e perché la formazione è la migliore alleata della cybersecurity sui social media

A ottobre 2020, approfittando dell’edizione di quell’anno del European Cybersecurity Month (ECSM)⁵, Cisco ha pubblicato una sorta di vademecum dei comportamenti da adottare per migliorare la propria cybersecurity sui social media, riportando alcune regole di “cyber hygene”⁶. Tra queste:

• mantenere private le informazioni personali e in particolare quelle che possono portare all’identificazione personale, anche diffidando per esempio di “giochi” come quelli che richiedono di associare la propria data di nascita a personaggi di film o serie TV o battute divertenti o nonsense e poi condividere il risultato nei commenti perché è cosi che i cybercriminali possono risalire a informazioni utili a raggirare le domande di sicurezza dei servizi bancari, ecc.;
• fare attenzione alle email ricevute per scongiurare che i propri dispositivi si infettino di malware e simili, così come che ci si trovi dinanzi a tentativi di phishing;
• aggiornare software e app per poter contare sui più recenti patch per la privacy e per la sicurezza stabiliti a monte dagli sviluppatori. Per quanto riguarda le seconde, sarebbe meglio verificare periodicamente anche di che tipo di autorizzazione godono per quanto riguarda l’accesso a microfono, fotocamera, localizzazione, rubrica dei propri dispositivi;
• evitare o ridurre al minimo l’utilizzo delle reti Wi-Fi pubbliche, dal momento che risultano vulnerabili in termini di protezione dei dati.

Quelle suggerite da Cisco sono buone pratiche che ricordano come non si può pensare alla cybersecurity sui social media solo come a una «sicurezza passiva» – così si esprimeva ancora Andrea Zapparoli Manzoni al #SMMdayIT 2018 – e cioè a una sicurezza garantita dall’alto da interventi normativi che in ogni caso non sono mancati in materia e hanno avuto il cuore prima nell’adozione del GDPR e poi nel recepimento della NIS⁷, una direttiva che dovrebbe rafforzare sicurezza e protezione dei sistemi IT più critici come quelli utilizzati nel settore bancario e finanziario, nelle infrastrutture, in sanità.

Cyber security: come difendersi da rischi informatici sui Social Media | Andrea Zapparoli Manzoni

Bisogna investire anche e soprattutto in educazione civica digitale, ossia puntando a fare in modo che i bambini imparino fin da subito come si sta negli ambienti digitali e come prendersi cura non solo della propria sicurezza ma più in generale del proprio benessere digitale. Come ha aggiunto ancora l’esperto, è necessario fare

«formazione, insegnando alle persone a usare i social in modo sicuro e non in un modo, come spesso avviene purtroppo, un po’ superficiale, un po’ magari anche annoiato, ludico […]. Bisogna spiegare che è esattamente come nella vita reale, perché i social sono un pezzo della vita reale, non è che sei in un’altra dimensione, e bisogna avere le stesse accortezze perché ci sono gli stessi rischi, moltiplicati dalla “scala” del problema».

Solo così si può arrivare a una condizione in cui siano gli stessi utenti dei social network i primi “guardiani” della cybersecurity propria e collettiva: solo quando si notano e si riconoscono attività anomale dal profilo di un amico o di un collega (come overposting, link sospetti, messaggi spam inviati a tutta la rubrica) gli si possono chiedere, dal vivo e faccia a faccia, spiegazioni in merito, spesso per scoprire che lo stesso è ignaro di quanto sta succedendo, ma spingerlo a trovare una soluzione.