www.docflow.com

Personal Cybersecurity Come difendersi nei nuovi scenari del Cybercrime

UGO MICCI

13 settembre 2015

2 Personal Cybersecurity 2

Cybersecurity? Non mi riguarda!!

Non uso la carta di credito su internet, e

sul mio PC non ho nulla di segreto!

Ne siamo sicuri?

Personal Cybersecurity 3

Alcuni dati

Personal Cybersecurity 4

La diffusione del fenomeno Cybercrime

Personal Cybersecurity 5

La diffusione del fenomeno Cybercrime

3.000.000 di attacchi informatici al giorno nel mondo https://cybermap.kaspersky.com/

http://map.norsecorp.com/

Personal Cybersecurity 6

Personal Cybersecurity 7

La «rete» sa molte cose di noi

https://maps.google.com/locationhistory/b/0/

Dentro google resta traccia di tutti i vostri spostamenti…

8 Personal Cybersecurity 8

Il profilo degli attaccanti si è spostato dai ragazzini

«nerd» (se mai ci sono stati) alle organizzazioni

criminali. E’ diventato un business come la droga e le

armi.

Com’è cambiato lo scenario

Il bersaglio principale non

sono più i codici delle carte

di credito, ma i dati

personali e il controllo dei

PC per poi usarli per attività

criminali

Personal Cybersecurity 9

#ilbersagliosiamonoi

10 Personal Cybersecurity 10

Non importa chi sei

Non importa cosa fai

Non importa con cosa lo fai

Ti attaccheranno

E se non ti sarai protetto in modo adeguato subirai dei danni

(A. «Mayhem» Pennasilico)

Personal Cybersecurity 11

Cosa rischiamo?

12 Personal Cybersecurity 12

Con il furto di identità i tuoi

dati personali vengono

usati per attività illecite.

Furto di identità

Questo può farti trovare invischiato in procedure

legali che, pur risolvendosi, si trascinano per anni, e

nel frattempo creano disagi enormi: impossibilità di

accedere a finanziamenti, carte di credito bloccate,

etc.

13 Personal Cybersecurity 13

Il tuo computer personale viene usato come «testa di

ponte» per svolgere attività criminali in totale

anonimato, o per sottrarre e diffondere informazioni

riservate presenti non solo sul tuo PC, ma anche sui

sistemi a cui ti connetti (lavoro, clienti, etc.)

Malware

Questo può avere gravi

conseguenze penali e

professionali (se ad esempio

tramite il nostro PC viene recato

un danno all’azienda in cui

lavoriamo, o ad un nostro

cliente)

14 Personal Cybersecurity 14

Tutti i tuoi dati (foto, documenti, posta) vengono

cifrati, e ti viene chiesto di pagare un riscatto per

avere la chiave per decifrarli

In alcuni casi possono essere addirittura effettuati foto

e video a tua insaputa, che poi vengono usati per

ricattarti

Cryptolocker e Ransomware

#ilbersagliosiamonoi

15 Personal Cybersecurity 15

Tramite l’analisi dei nostri social (Facebook, LinkedIn,

Twitter), ma anche attraverso mail o telefonate mirate,

l’aggressore viene in possesso di informazioni riservate,

che può poi usare per il furto di identità e per

l’accesso a sistemi protetti

Social Engineering e Phishing

16 Personal Cybersecurity 16

Come mi proteggo?

17 Personal Cybersecurity 17

Innanzitutto la consapevolezza:

#ilbersagliosiamonoi

Personal Cybersecurity 18

Le credenziali di accesso (username e password) sono

il vostro tesoro più prezioso:

NON comunicatele MAI a nessuno.

Nessuna eccezione

Mai

Personal Cybersecurity 19

Per le vostre password NON usate nulla che sia

facilmente riconducibile a voi (date di nascita vostre,

dei figli, nomi degli animali domestici, etc)

Password di questo tipo sono normalmente

«crackabili» in massimo10 minuti.

Sostituire lettere con numeri simili (S3GR3T0 invece di

SEGRETO) era un trucco molto valido…

Negli anni 80.

E per favore.. Non scrivete le

password sui post-it attaccati al

PC. Nel mio lavoro ne vedo

almeno un paio da ogni Cliente in

cui vado.

Personal Cybersecurity 20

Non usate la stessa password per tutti i vostri account

(facebook, posta elettronica, banca…) ma separatele

almeno per ambito. Meglio sarebbe una password per

ogni account.

Prestate attenzione alla

domanda segreta in caso

dimenticaste la password:

«la mia squadra preferita»

oppure «il nome del mio cane»

sono oggettivamente banali…

Titolo presentazione 21

Recentemente sono state crackate 11 milioni di

password del sito Ashley Madison, e sono state rese

pubbliche

120.000 persone avevano come password «123456»

Personal Cybersecurity 22

Le regole d’oro per

creare la password:

+ di 8 caratteri (meglio 14)

Alterna maiuscole e minuscole

Inserisci almeno due tra numeri e caratteri speciali

(es. @#$%^& )

Niente parti del nome o dello username

Niente parole di uso comune

E cambia le tue password almeno ogni 6 mesi, o se hai

il dubbio che siano state compromesse

Personal Cybersecurity 23

Per aiutarti a ricordare una password diversa per ogni

sito, un piccolo trucco:

Crea (e memorizza) una sola password sicura, ad

esempio:

LioMe#560eRR

A questo punto aggiungi, in fondo, un carattere

speciale (es. $) e poi la prima lettera del sito, ad es.

per la posta gmail, una «g»

La tua password per la posta sarà ora:

LioMe#560eRR$g

24 Personal Cybersecurity 24

Subito dopo le credenziali, i vostri dati personali sono il

secondo tesoro da proteggere!

Non dateli a nessuno, a meno che non siate

ASSOLUTAMENTE sicuri che la richiesta sia legittima.

Riconoscere le email sospette

Via email e al telefono non avere dubbi sul reale

interlocutore è molto difficile…

Se c’è qualche dubbio,

non ci sono dubbi

(De Niro, Ronin)

Personal Cybersecurity 25

Potete riconoscere le mail di phishing perché

normalmente contengono errori grammaticali, hanno

toni allarmistici, e vi chiedono di cliccare su dei link o di

aprire documenti allegati.

Non cliccate mai sui link, ma digitate manualmente gli

indirizzi nel browser

Ad esempio, per accedere al vostro conto Intesa,

digitate sempre manualmente nel browser

https://www.intesasanpaolo.com

invece di cliccare su questo link:

www.intesasanpaolo.com

http://sitocattivissimo.org

Personal Cybersecurity 26

Un esempio di mail di phishing

http://sitocattivissimo.org

Generico

Link di phishing

Caratteri «speciali»

Minacce

Link di phishing

Errori grammaticali

Personal Cybersecurity 27

Spesso degli apparentemente innocui documenti PDF

nascondono in realtà dei virus.

Non apriteli mai direttamente, ma piuttosto scaricateli

sul desktop ed eseguite, prima di aprirli, una scansione

con l’antivirus

Avete un antivirus, vero?

E’ aggiornato, vero?

Effettuate regolarmente una scansione del PC,

vero?

#ilbersagliosiamonoi

Personal Cybersecurity 28

Aggiornate costantemente il sistema operativo

applicando prima possibile tutte le patch di sicurezza

che escono

Le aziende produttrici di software spendono milioni di

dollari per rilasciare tempestivamente gli

aggiornamenti che «tappano» le falle di sicurezza.

NON VANIFICATE I LORO SFORZI!

Il 99% delle intrusioni nei sistemi avviene attraverso

falle conosciute e per le quali è già disponibile la

patch

Personal Cybersecurity 29

Non siete soli!

Istruite la vostra famiglia, soprattutto i vostri figli, sui

rischi correlati alla Cybersecurity, e condividete con

loro le nozioni base di protezione

#ilbersagliosiamonoi

Personal Cybersecurity 30

Separate il più possibile le sessioni di lavoro navigando

in internet. Evitate ad esempio di collegarvi al sito del

remote banking mentre avete aperto un sito di dubbia

provenienza, oppure di navigare per diletto mentre

avete attiva la VPN aziendale

Se possibile, non utilizzate servizi quali Torrent per

scaricare materiale dalla rete, e se lo fate usate PC

dedicati, scollegati dal resto della vostra rete (e MAI

dal PC aziendale!)

In generale…

Personal Cybersecurity 31

Installate solo programmi della cui provenienza e sul

cui reale funzionamento non avete dubbi

Sui social, condividete il minor numero possibile di

informazioni, e sfruttate appieno le opzioni di privacy e

security per limitare le informazioni che rendete

accessibili a tutto il mondo

Siate sospettosi in caso di contatti da parte di persone

sconosciute (è la versione moderna del «non

accettare caramelle dagli sconosciuti») e non fornite

MAI loro informazioni personali, nemmeno le più

innocue

In generale…

#ilbersagliosiamonoi

Personal Cybersecurity 32

In caso di comportamenti sospetti del PC (finestre che

si aprono da sole, eccessiva e improvvisa lentezza, o

anche solo una mail sospetta) non abbiate remore a

chiedere, il prima possibile, il supporto del vostro

reparto IT o comunque di un esperto.

Prevenire è molto più economico che rimediare, e un

minimo di paranoia può farvi risparmiare molti soldi,

tempo e grattacapi

In generale…

Personal Cybersecurity 33

E se nonostante tutti i vostri sforzi un’intrusione dovesse

riuscire (e prima o poi capiterà) ricordate un aspetto

fondamentale:

#ilbersagliosiamonoi

Effettuate regolarmente

un backup

dei vostri dati più importanti, soprattutto quelli in

«copia unica» come ad esempio le foto di famiglia,

ormai sempre più spesso esclusivamente in digitale

Personal Cybersecurity 34

http://www.dhs.gov/cybersecurity-tips

http://www.difesa.it/SMD_/Staff/Reparti/II/CERT/Tips_Tri

cks/Pagine/Cyber_Security_Tips.aspx

http://clusit.it/download/Rapporto_Clusit%202014.pdf

Per approfondire:

www.docflow.com

DocFlow Italia S.p.A.

Centro Direzionale Milanofiori

Strada 4 Palazzo Q8 | 20089 Rozzano (MI)

Tel. 02.57503366 | marketing@docflow.it

Ugo Micci ugo.micci@docflow.it

Mob. 335 1234567