Nel lontano 1995, quando Sandra Bullock interpretò “The Net”, il furto d’identità sembrava un concetto nuovo e quasi fantascientifico. Tuttavia, il mondo è radicalmente cambiato. A partire dal 2017, quasi 17 milioni di cittadini statunitensi sono diventati vittime di frodi d’identità ogni anno, dimostrando quanto sia diventato pervasivo questo problema.
La gravità del furto d’identità
I crimini legati all’identità abbracciano diverse situazioni pericolose. Si va dall’hacker che riesce a rubare le tue credenziali per accedere ai tuoi account personali o finanziari, fino a malintenzionati che, a chilometri di distanza, utilizzano la tua carta di credito per spese non autorizzate o richiedono prestiti a tuo nome.
Se hai bisogno di ulteriori motivi per preoccuparti, il FTC descrive scenari di furto d’identità dove un truffatore può ottenere una carta di credito a tuo nome, con i relativi estratti conto inviati ad un indirizzo diverso dal tuo, ovviamente, senza effettuare alcun pagamento. Oppure, le tue informazioni personali possono essere utilizzate per appropriarsi dei tuoi rimborsi fiscali o per spacciarsi per te in caso di arresto.
Liberarsi dalle conseguenze del furto d’identità, sia dal punto di vista legale che finanziario, può rivelarsi estremamente complicato. I danni alla tua reputazione creditizia potrebbero persistere per anni. In questo caso, più che in altri, è assolutamente vero che un minimo di prevenzione vale molto più di qualsiasi tentativo di riparazione.
Come avviene il furto d’identità
Purtroppo, la tua identità è un bersaglio fin troppo facile, vulnerabile in molti modi. Offline, i criminali possono rubare la posta dalle cassette o rovistare nella spazzatura, dove spesso si trovano offerte di credito e dati finanziari personali (ecco perché dovresti avere un trituratore di documenti). Skimmer installati nei distributori di benzina possono appropriarsi dei dati della tua carta di credito, così come possono farlo i dipendenti di un ristorante. Non molto tempo fa, un cassiere è stato arrestato per aver rubato i dati di 1.300 carte di credito che aveva memorizzato.
Online, la situazione è ancora più pericolosa, anche se le persone sono diventate più caute di fronte agli attacchi più evidenti. Sempre meno siti web di e-commerce non protetti (quelli che iniziano con “http” invece di “https”) effettuano transazioni, ma è comunque un aspetto da non sottovalutare.
Questo scenario ha portato alla proliferazione di campagne di phishing sempre più sofisticate, finalizzate ad indurre le persone a rivelare i propri dati personali attraverso email fraudolente che sembrano assolutamente legittime. Inoltre, c’è sempre una nuova truffa dietro l’angolo.
“Un’altra truffa diffusa avviene attraverso le app di incontri online”, afferma Whitney Joy Smith, presidente della Smith Investigation Agency. “I truffatori puntano a persone vulnerabili per instaurare una relazione. Successivamente, chiedono denaro o ottengono informazioni personali sufficienti per commettere frodi d’identità.”
E poi ci sono i classici attacchi informatici, come le violazioni di database che contengono una quantità enorme di informazioni personali.
Come proteggersi
“A meno che tu non sia disposto a prendere misure drastiche, come abbandonare completamente la tecnologia e trasferirti in Amazzonia per vivere con una tribù isolata, raggiungere la vera privacy è quasi impossibile”, osserva Fabian Wosar, chief technology officer di Emsisoft. Tuttavia, Wosar ammette che ci sono precauzioni ragionevoli e pratiche che le persone possono adottare.
Molte di queste precauzioni fanno parte delle normali prassi di sicurezza informatica di cui sentiamo parlare da anni. Ma per essere veramente protetti, è necessario mettere in pratica questi accorgimenti con regolarità. Dopotutto, il furto d’identità è spesso un crimine di convenienza e opportunità; pertanto, il tuo obiettivo principale è renderti un bersaglio il meno interessante possibile.
Anche se maggiore è la prevenzione, meglio è, la realtà è che non tutti saranno estremamente scrupolosi. Pertanto, abbiamo suddiviso le precauzioni da adottare in tre livelli: buon senso (le azioni che tutti dovrebbero intraprendere), maggiore sicurezza (per i più esperti) e mentalità da bunker (per chi è disposto a spingersi oltre).
Precauzioni di buon senso
Se non metti in pratica queste semplici regole, tanto varrebbe lasciare la porta di casa spalancata e la macchina aperta con le chiavi inserite:
Utilizza password complesse: la regola generale è che una password complessa deve essere una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. In realtà, più lunga è la tua password, più difficile sarà decifrarla. XKCD ha trattato l’argomento in modo efficace.
Usa una password diversa per ogni sito e servizio: potrebbe sembrare ovvio, ma è ancora molto comune incontrare persone che riutilizzano le stesse password. Il problema è che se le tue credenziali vengono violate su un sito, per gli hacker è un gioco da ragazzi riprovare con le stesse credenziali su altri siti. Inoltre, secondo Verizon, l’81% delle violazioni di dati si verificano a causa di password compromesse, deboli o riutilizzate.
Utilizza un gestore di password: strumenti come Dashlane o LastPass sono diventati essenziali nel mondo della sicurezza online. Secondo Dashlane, l’utente medio di internet ha più di 200 account digitali che richiedono password. L’azienda prevede che questo numero raddoppierà, arrivando a 400, nei prossimi cinque anni. È praticamente impossibile gestire un numero così elevato di password complesse e diverse senza un apposito strumento.
Fai attenzione alle reti Wi-Fi pubbliche: evita di connetterti a una rete Wi-Fi pubblica gratuita, a meno che tu non sia assolutamente certo che sia affidabile. Potresti finire per connetterti a una rete creata appositamente per monitorare il tuo traffico. Se devi usare un computer pubblico o condiviso (ad esempio, per stampare una carta d’imbarco durante le vacanze), assicurati di non permettere al browser di memorizzare le tue credenziali: svuota la cache una volta terminato.
Maggiore sicurezza
Come dice il proverbio, non devi correre più veloce dell’orso, devi solo correre più veloce del tuo amico. Se adotti queste pratiche di sicurezza avanzate, sarai molto più protetto rispetto alla maggior parte degli utenti online:
Non usare mai il tuo profilo social per accedere ad altri siti: quando ti registri su un nuovo sito, spesso ti viene data l’opzione di accesso rapido tramite il tuo account Facebook o Google. Anche se è comodo, una violazione dei dati ti espone in diversi modi. Inoltre, “rischi di fornire al sito l’accesso alle informazioni personali presenti nel tuo account di accesso”, avverte Pankaj Srivastava, chief operations officer della società di privacy Fig Leaf. È sempre meglio registrarsi con un indirizzo email specifico.
Abilita l’autenticazione a due fattori: questa misura impedisce ai malintenzionati di usare una reimpostazione della password per prendere il controllo dei tuoi account. Se è richiesta l’autenticazione a due fattori, i malintenzionati dovranno accedere non solo alla tua email, ma anche al tuo telefono. E puoi fare ancora meglio (vedi i suggerimenti successivi).
Riduci al minimo la tua presenza sui social media: i social media sono un ambiente sempre più pericoloso. Non accettare richieste di connessione o di amicizia da persone che non conosci. I malintenzionati sfruttano queste occasioni per pianificare campagne di phishing o per usarti come punto di partenza per attaccare i tuoi contatti.
Limita ciò che condividi sui social media: “Più pubblichi informazioni personali su di te, più un hacker può scoprire a tuo riguardo”, spiega Otavio Friere, chief technology officer di SafeGuard Cyber. “Di conseguenza, sarà più facile prenderti di mira”. Potrebbero esserci informazioni sufficienti sul tuo profilo Facebook (email, scuola, città natale, stato sentimentale, lavoro, interessi, affiliazioni politiche, ecc.) perché un truffatore possa chiamare la tua banca, fingere di essere te e convincere un addetto del servizio clienti a reimpostare la tua password. Simon Fogg, esperto di privacy dei dati di Termly, afferma: “Oltre a evitare di utilizzare nome completo e data di nascita sul tuo profilo, considera come tutte le tue informazioni si collegano tra loro. Anche se non condividi il tuo indirizzo di casa, il tuo numero di telefono potrebbe essere usato per rintracciarlo. Se ciò è combinato a foto con tag di geolocalizzazione, potresti rimanere sorpreso da quanto della tua vita quotidiana stai rivelando a sconosciuti e quanto ti stai esponendo a possibili minacce”.
Mentalità da bunker
Le precauzioni di sicurezza che puoi prendere sono infinite: non abbiamo nemmeno parlato dell’uso di un browser TOR, per esempio, o di come assicurarsi che il tuo registrar mantenga private le informazioni WHOIS del tuo sito web (se ne hai uno). Ma se hai già fatto tutto quello che abbiamo menzionato in precedenza, queste ulteriori precauzioni ti faranno rientrare nell’1% più protetto degli utenti Internet:
Non usare mai il tuo numero di telefono per l’autenticazione a due fattori: “I telefoni possono essere clonati”, afferma Steve Good, consulente di ICO (Initial Coin Offering). Questo rende il tuo secondo fattore nell’autenticazione a due fattori meno sicuro di quanto potresti pensare. Fortunatamente, è facile configurare Google Authenticator o Authy per centralizzare tutte le tue esigenze di autenticazione a due fattori.
Crittografa le tue chiavette USB: come trasferisci i file da un computer all’altro? Ovviamente, con le chiavette USB. Questi dispositivi, però, sono spesso l’anello debole della tua sicurezza. Se li perdi, chiunque potrebbe trovarli e leggere il loro contenuto. Puoi crittografare i singoli file, ma la soluzione migliore è crittografare l’intero dispositivo. Kingston offre una serie di chiavette – la DT2000 – con capacità da 8 a 64 GB. Sono dotate di tastierini numerici incorporati e proteggono i dati con crittografia hardware AES a 256 bit su disco completo, senza bisogno di alcun software.
Utilizza una rete privata virtuale (VPN): quando utilizzi una VPN, ti connetti a Internet (almeno in una certa misura) in modo anonimo. È particolarmente utile quando ti connetti a una rete Wi-Fi pubblica, ma può essere utile anche a casa. “Una VPN nasconde il tuo indirizzo IP e la tua posizione”, spiega Srivastava. “Quindi, sembrerà che tu stia navigando da un luogo completamente diverso. Potresti essere seduto in un bar di Boston, ma sembrerà che tu stia navigando da Sydney, in Australia, o da qualsiasi altro luogo che hai scelto di simulare”. Tuttavia, è consigliabile cercare una VPN che non tenga registri, in quanto questi potrebbero essere usati per identificare te e le tue attività online.
Tieni d’occhio la tua presenza online: “Controllare periodicamente la tua presenza online ti aiuterà a capire quante informazioni personali sono pubbliche”, afferma Fogg. È facile impostare avvisi Google per il tuo nome, che ti aiuteranno a farti un’idea di ciò che Internet sa di te.