Notizia del 10 giugno: è stato pagato un riscatto del valore di 11 milioni di dollari in seguito ad un attacco ransomware. Tanto. Uno dei più alti mai pagati, l’anno scorso per dirvi il più alto fu di 2.3 milioni di euro se non ricordo male.

Notizia dell’11 giugno: Electronic Arts ha subito un furto completo dei codici sorgenti dei loro giochi: 780 gigabytes of data from EA, including the Frostbite source code, which is the game engine that powers the FIFA, Madden, and Battlefield series of video games, among others. Verranno venduti sul mercato nero e frutteranno svariate centinaia di migliaia di euro, ogni volta che verranno acquistati.

Nel frattempo il numero degli account vittime di furto di credenziali ha superato il numero della popolazione mondiale:

11,389,527,466 account contro circa 7,872,655,969

Cominciamo:

MFA e 2FA

I rischi che dovete temere sono ovviamente più legati al lavoro: è sempre più polarizzata l’attenzione dei criminali verso le aziende che ai privati, per una ovvia ragione di concentrazione di capitale: se non avete qualche milione di liquidità a portata di mano, ecco, non siete bersagli interessanti.

Però tutto fa brodo, ricordatevelo. Se avete atteggiamenti digitali non sicuri è evidente che siete comunque a rischio: è come andare in giro con una banconota da 50 euro. Se la tieni nel portafoglio devi incontrare un ladro che ti prenda di mira. Se la banconota la lasci sul tavolo di un bar e torni dopo mezz’ora, non è necessario un ladro professionista, basta chiunque non si faccia troppi problemi a rubare.

l’MFA e 2FA (che sono due modi per descrivere lo stesso sistema) sono due elementi che normalmente fanno desistere la maggior parte dei criminali nell’attacare i privati, a meno che non siano notoriamente facoltosi. Perchè MFA gli complica la vita, gli fa perdere molto più tempo rispetto agli altri e quindi desiste e passa ad altri bersagli meno ostici.

MFA sta per Autenticazione a più fattori, e la conoscete già, perlomeno in parte. E’ quel sistema per il quale per autenticarvi non basta più la solita coppia di credenziali Utente+Password ma anche un altro elemento in aggiunta. I casi più diffusi sono 2:

• sms mandato sul vostro cellulare con codice monouso

• App installata sullo smartphone che genera il codice monouso

andavano di moda in passato dei token portachiavi che generavano un codice numerico sempre leggibile. Sono desuete, ora sono quasi tutti stati sostituiti dalle App su smarphone.

Probabilmente usate MFA per:

• SPID

• PEC

• Home Banking (è obbligatorio per legge)

• Account di servizi Cloud come Google, Microsoft ecc…

Ognuno ha una app dedicata: Google Authenticator, Microsoft Authenticator ecc..

Per attivarla basta andare nelle impostazioni dei servizi e abilitare l’auteticazione a due fattori.

E’ interessante che molti siti meno famosi supportano l’autenticazione a due fattori ma non hanno una App dedicata: permettono di riutilizzare quelle principali, come quelle citate prima, di Google o di Microsoft. La procedura di attivazione è identica: inquadrare un QRcode da dentro l’applicazione e seguire le indicazioni.

Ovviamente queste App devono essere protette nell’apertura: ti invitano già loro a farlo appena installate di proteggerle con l’impronta digitale, per evitare che chi entri in possesso del cellulare entri in posesso dei codici.

Attenzione però: da ora in poi vi servira anche quel codice oltre alla password. Dovrete sempre tenerlo a portata di mano, a meno che decidiate (non sempre è possibile farlo, ma spesso e volentieri si) di impostare come sicuro il dispositivo da cui state facendo la login, di solito l’opzione viene sengalata con una possibile spunta con la voce “non chiedere più il PIN“ oppure “segna come dispositivo sicuro“. Fatelo senza problemi a patto che quel dispositivo non sia utilizzato in condivisione con altre persone.

Se perdete il cellulare? ci sono dei codici di emergenza che vengono forniti all’attivazione dell’MFA. Sono codici sacri. Salvateli o copiateli a mano in un posto dove non li perderete mai. Avete una scatola delle chiavi di casa o della macchina di riserva? E’ la stessa identica cosa. Mettete li. Fine.

Se cambiate cellulare? dovete riattivare le App in questione, se non avete cancellato il vecchio cellulare spesso esiste la procedura per attivare la App nuova con il codice generato sull vecchio cellulare. Se avete già cancellato il vecchio cellulare, avete le chiavi di emergenza.

Perchè aggiunge sicurezza ai vostri account?

Perchè se per qualunque ragione le vostre credenziali venissero diffuse in rete, chiunque tenti di usarle si troverebbe di fronte alla richiesta di un codice temporaneo generato su un telefono a decine di migliaia di chilometri dal criminale (Russia, Cina, Est Europa …). Per loro è un gran bel problema e mollano il colpo.

La faccio breve:

1. meglio la App. Evitate gli SMS.

2. La password è comunque importante: serve sia la password che la App.

Perchè l’SMS non è preferibile?

Semplice: te lo possono leggere a tua insaputa1. Come? pensaci bene, dai!

Se ti mando un SMS questo non compare in bella vista sul tuo smartphone anche se è bloccato, come una notifica? non compare anche sul tuo bracciale o sull’orologio smart? Esatto. Magari lasciate il cellulare in bella vista, a lavoro o al bar e mentre non lo controllate ricevete un messaggio con il codice che viene letto da un malintenzionato. Non è fantascenza, l’ho fatto spesso con degli amici per dimostrarne il pericolo, sotto ti spiego come ho fatto a fregargli whatsapp, ad esempio.

C’è un altro rischio, più remoto, ma più subdolo e usato molto in passato negli Stati Uniti e possibile anche in italia. La portabilità fraudolenta del vostro numero di telefono. Vi ricordate cosa dicevo della vostra identità? Tutti sanno tutto di voi. Ecco, se avete una compagnia telefonica low-cost che non è molto scrupolosa nelle verifiche, una persona potrebbe presentarsi in negozio (o addirittura aprire una pratica online) come fanno tutti per passare a un nuovo operatore telefonico: solo che lo fanno a nome vostro facendosi attivare sulla nuova SIM in loro possesso il vostro numero di telefono. Voi lo verrete a sapere a migrazione avvenuta e tanti saluti e baci. Adesso i controlli in UE sono abbastanza rigidi, ma per scrupolo fate mai fotografare la vostra SIM.

E la password?

Non abbassate la guardia sulla password, anche se avete l’MFA a protezione. Ci deve essere sempre una password forte insieme all’MFA altrimenti va tutto a rotoli. Come?

Come si poteva fregare Whatsapp.

Lo posso raccontare perchè tanto oramai non è più (così) fattibile.

Avrete attivato Whatsapp una volta nella vostra vita, no? Cosa informazioni servono? non molte: il vostro numero di telefono e un codice monouso ricevuto via SMS. Da quel momento in poi chiunque scriva a quel numero su whatsapp, voi riceverete il messaggio. Tutto normale fin qui.

Vi siete mai chiesti cosa succede se, dopo aver installato Whatsapp sul vostro cellulare, invece di mettere il vostro numero di telefono mettete quello di un vostro amico? Semplice: il vostro amico riceverà un messaggio di attivazione con il codice monouso. Se quel codice arriva in vostro possesso entro qualche minuto, potrete attivare whatsapp sul vostro telefono con il numero dell’amico, ricevendo voi e inviando voi i messaggi al posto suo. Come fai a leggere il numero? Appena si distrae un attimo e lascia il cellulare in vista, fai partire la procedura di attivazione: l’SMS arriva subito e non sarà un problema leggere 5 cifre che compaiono come notifica, anche se il cellulare è bloccato2.

Perchè lo spiego: perchè la procedura è stata mitigata da tempo e comunque in questo caso il rimedio è facile per il vostro amico: può richiedere in qualsiasi momento una nuova attivazione e stavolta non fare leggere ad altri l’SMS. Inoltre da qualche mese Whatsapp è introdotto una password (o PIN) di protezione che si deve digitare oltre all’SMS. Inoltre appenagli fregate l’account, la app sul suo cellulare smette di funzionare, avvisandolo in modo evidente: non sperate di spiarlo in questo modo. Oltretutto le nuove versioni di Android e iOs permettono di limitare la visualizzazione di queste notifiche nascondendo i contenuti.

Insomma avete capito. L’SMS ha creato un problema, l’assenza di una seconda password l’ha amplificato. In presenza del PIN per me sarebbe stato arduo, anche se ovviamente mi sarei giocato subito: 123456, la data sua data di nascita e quella del figlio. Perchè? perchè almeno 1 su 10 usa 123456 quando deve inserire un pin di 6 cifre.

Siete interessati anche ai PIN di 4 cifre, lo so. Eccoli qui, solo per voi:

Vuol dire che 1 persona su 8 usa 1234 o 1111 come PIN. I cattivi non sono dei geni, semplicemente vi conoscono meglio di voi stessi,sono più informati e hanno un bazooka.

Quindi proteggetevi e backuppatevi!