Spoofing, sniffig, shoulder surfing, wi-fi pineapple. Quando si utilizzano smartphone, tablet e personal computer in un luogo pubblico – all’aperto o in un bar, in un ristorante o in ufficio, in aeroporto o in centro commerciale – si possono correre rischi, se non si prendono minime precauzioni. Le reti wireless (senza fili) e i device, quando non sono protetti adeguatamente, diventano vulnerabili.
Tecniche criminali e furti di dati riservati
Lo spoofing, spiegano gli addetti ai lavori, è un tipo di attacco informatico che sfrutta la popolarità di reti wi-fi pubbliche e consente di falsificare le identità, impersonando qualcun altro per ingannare il prossimo (e prelevare credenziali e informazioni riservate, superare controlli di accesso, installare malware, inviare mail e link, diffondere notizie false e tendenziose, interporsi a due soggetti in contatto tra loro per transazioni economiche…).
Lo sniffing, l’“odorare”, è una tecnica che permette di intercettare e analizzare tutti i dati che passano all’interno di una rete wireless, captando informazioni sui “naviganti” e sulle loro abitudini. Chi pratica shoulder surfing (letteralmente “fare surf sulle spalle”) può spiare e carpire codici pin, password, ed altri dati riservati osservando chi sta utilizzando il wi-fi (o anche la tastiera del bancomat, per allargare il campo degli esempi), semplicemente ponendosi di spalle, da vicino (con la visione diretta) o da lontano (aiutandosi con un binocolo o di telecamere a circuito chiuso). I wi-fi pineapple, dispositivi creati per testare la sicurezza della rete, sono armi a doppio taglio: possono essere attivati per “simulare” punti di accesso al wi-fi e poi prelevare informazioni altrui.
L’allerta della Polpostale
Per alzare il livello di sicurezza di chi non ha competenze specifiche, e limitare i danni, gli esperti della Polizia postale e delle telecomunicazioni (www.commissariatodips.it, presente anche su Facebook, assieme a Una vita da social) hanno messo a punto e diffuso una sorta di vademecum, con l’elenco delle principali situazioni critiche e alcuni consigli basilari.
Le tipologie di situazioni a rischio
Le persone animate da pessime intenzioni, ricordano gli esperti della Polpostale, possono accedere all’attività online di un utente (per aprire le sue app e compiere atre attività illegali) se sta utilizzando una rete wireless non sicura o creata apposta.
Anche i comandi del telefono sono esposti. L’intrusione può avvenire pure tramite Bluetooth e permette, tra le altre cose, di inviare messaggi indesiderati sfruttando l’elenco dei contatti. Se non si proteggono adeguatamente i device durante la digitazione delle password, per giocarsele basta poco: per carpirle, è sufficiente guardare lo schermo e ciò che viene digitato.
Le vulnerabilità delle reti wi-fi pubbliche
Ricordano sempre i detective specializzati: “Il principale rischio per la sicurezza, associato all’uso del dispositivo in un luogo pubblico, è legato al fatto che la rete wi-fi alla quale si tenta di collegarsi potrebbe non essere protetta. Il che consente alle persone non autorizzate di intercettare qualsiasi cosa stia facendo online il soggetto inconsapevole sotto tiro. Ciò potrebbe includere, ad esempio, l’acquisizione delle password, la lettura di e-mail private o dei messaggi che si inviano o si ricevono. I rischi si moltiplicano se la connessione tra il dispositivo di un navigatore e il wi-fi non è crittografata o se qualcuno ha creato un hotspot fraudolento, cioè un punto di accesso a internet apparentemente regolare ma di fatto illegale”.
Con una connessione crittografata, e dunque sicura, viene richiesto di inserire una “chiave” complessa (che potrebbe avere un formato simile a 3b789C3GH2, non una semplice parola, magari simile a una insegna o al nome del locale pubblico che offre il servizio). In alternativa, quando la rete wi-fi è priva di protezione (pubblica), non si deve digitare alcun codice.
Precauzioni minime da adottare
Semplici, quanto efficaci, i consigli di base dati ai profani dalla Polspostale.
A meno che non si stia usando una pagina web protetta, meglio non inviare o ricevere informazioni private quando si utilizza un wi-fi pubblico.
Ove è possibile, servirsi di connessioni wi-fi fornite da provider commerciali noti.
Sempre se possibile, utilizzare una Virtual Private Network (une rete di telecomunicazione privata, instaurata tra soggetti che utilizzano un protocollo di tramissione pubblico e condiviso, come la rete internet) sicura e criptata, se si desidera accedere alla propria rete aziendale
Attivare il firewall e un antivirus aggiornato per avere una protezione adeguata del dispositivo utilizzato.
Non sottovalutare eventuali messaggi di alert relativi a tentativi di accesso o “attività” non autorizzate sul proprio device.