I furti di identità sono una delle attività più remunerative per gli hacker perché consentono di spalancare facilmente le porte di archivi difficilmente raggiungibili e svolgere varie attività fraudolente di cui si parlerà a breve.
Il Data Breach Investigations Report, stilato da Verizon ed aggiornato al 2018, afferma che il 68% dei data breach viene scoperto dalle compagnie a diversi mesi di distanza dal furto. E se si pensa che nell’87% dei casi le violazioni compromettono dopo pochi minuti la sicurezza dei bersagli colpiti, è facile capire come le associazioni criminali abbiano tutto il tempo necessario a fabbricare degli alter ego digitali da sfruttare a proprio vantaggio, ad esempio per “richiedere una carta di credito, una linea di credito o un prestito a vostro nome, noleggiare un veicolo, candidarsi per una posizione lavorativa, acquistare un cellulare, richiedere rimborsi falsi ad un’assicurazione” ed altro ancora. Naturalmente i dati possono essere anche ceduti a terzi:
La parte di internet meno conosciuta è invece il dark web, accessibile solo con browser particolari. Qui sono presenti contenuti non indicizzati, peer-to-peer e crittografati. […] Nel dark web trovano spazio marketplace variegati, proprio come i punti vendita normali, ma anche marketplaces più particolari – ad esempio, quelli dedicati alla vendita di credenziali rubate, PII dump, iPhone, malware, dump di carte di credito rubate, droga, medicinali e altre merci di contrabbando, e persino attività legate all’estorsione e a crimini fisici. I criminali non usano quasi mai i dati che rubano per sé stessi, per paura di essere tracciati.
Il lavoro degli hacker è agevolato principalmente da due fattori, il primo più “globale” e difficilmente contrastabile, ovvero la moderna società “interconnessa” e digitale in cui i dati circolano in modo fluido tra social network, piattaforme di servizi vari e sono raccolti, spesso a nostra insaputa, dalle grandi compagnie del Web:
Nel mondo digitale, le organizzazioni raccolgono informazioni riguardo i propri clienti e gli altri utenti, per interpretare al meglio le loro necessità, e offrire loro un’experience più soddisfacente. I touchpoint digitali con un utente possono generare dati appetibili per ogni settore, come l’età, la residenza, i siti più consultati, le app più scaricate, e molto altro. Il settore retail, ad esempio, ha accesso ad una marea di strumenti di data mining, che promettono di rintracciare i dati personali ricercati, che consentono loro di capire meglio i desideri della clientela. Il settore sanitario, poi, uno dei bersagli preferiti dei cybercriminali, ha sperimentato una rapida digitalizzazione, mettendo online, e a rischio, dati riservati dei pazienti come l’identità, il quadro clinico e le informazioni bancarie. La sicurezza dei dati dei clienti attualmente è sicuramente tra le priorità delle organizzazioni.
Il secondo fattore è il classico anello debole di qualunque perimetro di sicurezza, ovvero l’essere umano. Gli attacchi di social engineering (pretexting, phising) sono lo strumento ideale per carpire le informazioni personali degli obiettivi e si affidarsi a metodologie sempre più sofisticate che si avvantaggiano di molteplici leve psicologiche per raggiungere il proprio obiettivo. E nei casi più “fortuiti” gli intrusi si trovano davanti a password elementari e facilmente intuibili (ogni anno 123456 finisce puntualmente al primo posto):
[…]adesso, questi attacchi riguardano diversi reparti, e quello delle risorse umane (HR) spicca tra i bersagli, a causa della possibilità di estrapolare dati sugli stipendi e sulle tasse, il che darebbe ai criminali la possibilità di commettere frodi legate alle tasse, e quindi ai rimborsi.
Alcuni consigli per le aziende
Una parte del report Verizon è prevedibilmente dedicata alle buone norme da seguire per ridurre al minimo o rendere vani gli attacchi dei criminali, a partire da una adeguata formazione alla sicurezza dei dipendenti:
- Essere sempre vigili – il log dei file e il cambiamento dei sistemi di gestione possono svelare una violazione in corso.
- Rendere i dipendenti la prima linea di difesa – formandoli perché possano accorgersi dei segnali sospetti.
- Utilizzare i dati con una logica “need to know” – i sistemi dovrebbero infatti essere accessibili unicamente ai dipendenti che ne hanno necessità per lavorare.
- Applicare le patch tempestivamente – questo metterà le aziende al sicuro da molti attacchi.
- Crittografare i dati sensibili – in caso i dati vengano rubati, questo passaggio li renderà inutilizzabili.
- Applicare l’autenticazione a due fattori – questo potrebbe limitare i danni possibili con credenziali perse o rubate.
- Non dimenticare la sicurezza fisica – non tutti i furti di dati avvengono online.
Come comportarsi prima e dopo un furto di identità (privati)
Ai privati si consiglia invece:
- di essere consapevoli delle informazioni condivise online e dei consensi (impliciti ed espliciti) dati alle organizzazioni;
- di non utilizzare le stesse password ed affidarsi all’autenticazione a due fattori;
- valutare l’acquisto di una polizza che tuteli dai rischi informatici.
Nel caso in cui il furto dei dati sia già stato subito si consiglia invece:
- di attivare un servizio di monitoraggio del credito/furto di identità e attivare anche un’allerta frode negli estratti conto
- controllare l’attività di accesso ai profili digitali e tenere sott’occhio gli estratti conto;
- valutare l’attivazione di un’allerta frode a 360°, oppure di un blocco di sicurezza/del credito;
- denunciare a tutte le istituzioni competenti l’accaduto, e chiudere tutti i profili fraudolenti/linee di credito che sono state aperti sfruttando l’identità rubata;
- presentare una denuncia alla polizia, in caso i dati sottratti siano stati forniti/siano tra le informazioni in possesso di un ente governativo, e chiedere una nuova carta d’identità;
- cambiare password/domande segrete su tutti i siti/portali a cui siete registrati, inserendo sempre l’autenticazione a due fattori;
- attivare un’allerta frode in sinergia con la filiale dell’istituto bancario personale.
Fonte: “Furto di identità, una bomba a orologeria da disinnescare” di Laurance Dine (Managing Principal di Verizon Enterprise Solutions).