Un attacco da parte di pirati informatici a Facebook ha interessato 533 milioni di profili di cui circa 35.677.338 milioni sono italiani, il 90% delle persone che nel nostro Paese utilizza il social. Con questa violazione sono stati sottratti dati personali, soprattutto di numeri telefoni o indirizzi email; in qualche caso anche nomi, cognomi e date di nascita, tutte informazioni utili per truffe, ricatti o scopi commerciali illeciti. La notizia si è diffusa ora anche se il furto dei database è avvenuto tempo fa.
Sul caso è intervenuto anche il Garante per la Privacy, che di recente era stato chiamato in causa anche per l’uso dei social da parte di minorenni e che ha chiesto ai vertici di Facebook di rendere immediatamente disponibile un servizio che consenta a tutti gli utenti italiani di verificare se la propria numerazione telefonica o il proprio indirizzo mail siano stati “hackerati”.
Come capire se si è tra le vittime dell’hacking? Ma soprattutto come difendersi per evitare che ricapiti in futuro? Lo abbiamo chiesto a Riccardo Meggiato, esperto e consulente in cyber security e informatica forense.
Assenza di campo sospette?
Un primo campanello d’allarme sono possibili anomalie nel funzionamento dell’utenza telefonica: per esempio, nel caso in cui ci fosse un’assenza di campo non giustificata. Se finora non avete avuto problemi di linea e improvvisamente iniziate ad averne, è il caso di insospettirsi.
«Potrebbe essere il segnale che un criminale si è impossessato del nostro numero di telefono per usarlo a scopo fraudolento» spiega il Meggiato. In questo caso è «importante contattare il call center del proprio operatore telefonico per verificare le ragioni del problema e, in particolare, per verificare che terzi, fingendosi noi, non abbiano chiesto e ottenuto un trasferimento della nostra numerazione su un’altra Sim. Attenzione, però, l’anomalia deve verificarsi più volte e per lungo periodo: se è un fenomeno isolato, può dipendere da problemi tecnici, non serve chiamare il call center» spiega Meggiato.
Troppe chiamate o sms commerciali?
Anche in questo caso è possibile che l’utenza e i dati collegati siano stati hackerati e ceduti dai «pirati informatici» ad aziende private a scopi commerciali. «Il furto di cui si parla in questi giorni, in realtà, risale all’estate del 2019. La notizia arriva ora perché adesso quei dati, sottratti illegalmente, sono stati pubblicati. Nel frattempo, però, può essere che siano stati venduti ad aziende interessate a una sorta di profilazione illegale» spiega l’esperto. Che fare, dunque? «Il trucco più semplice, quando si ricevono chiamate da operatori commerciali o call center, è chiedere se hanno avuto il nostro numero tramite il GDPR, ossia il codice di regolamentazione europeo sulla privacy. Vedrete che metteranno subito giù e non chiameranno più perché nessuno, salvo rarissime occasioni, rispetta la normativa» aggiunge Meggiato.
Attenzione al SIM swapping
Come spiegato anche dal Garante, indica una «una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione». «Accade quando un hacker si impossessa virtualmente di un numero di telefono di una persona e può diventare molto pericoloso se si dispone di sistemi di accesso a siti o piattaforme che richiedono la doppia autenticazione, cioè una password e poi la ricezione di un codice tramite sms sul proprio cellulare o App. In pratica i pirati, essendo entrati in possesso del numero di telefono, ricevono quel codice e possono entrare nei siti con l’identità del proprietario dell’utenza» spiega Meggiato. Ma come difendersi?
Usa password sicure
«Io consiglio sempre dei semplici trucchi che sono poi delle buone routine da seguire ogni volta che si ha a che fare col mondo digitale, a partire dalla scelta di una password sicura, cioè di almeno 8 caratteri che comprendano maiuscole e minuscole, numeri e caratteri speciali» premette l’esperto. «Poi, anche se sembra un consiglio scontato, non bisogna mai usare la stessa per più siti. Se dovessero rubare la vostra identità tramite un social network o una piattaforma, sarebbero in grado di accedere ad altri siti, magari delicati, come quello della banca o altro, usandola come un vero passpartout».
Utilizza due indirizzi mail
«Fatto questo, ecco tre semplici consigli: il primo è utilizzare due indirizzi email: uno per le attività importanti come il lavoro, l’altro per quelle più futili, come gli acquisti online o le registrazioni a social o piattaforme di svago.
Non registrarti con il numero di telefono
Altro consiglio utile è non registrarsi ai social o siti meno utili con il proprio numero di telefono (casomai utilizzarne un secondo, come nel caso dell’indirizzo email). La stessa piattaforma Facebook chiede la registrazione con il numero di telefono sia per il social che per Messenger, ma è sempre possibile ricorrere all’email: forse ci si metterà qualche minuto in più, ma si avranno maggiori garanzie di sicurezza.
Come scoprire se sei stato hackerato
«Oltre a insospettirsi per qualche anomalia, è possibile verificare se i nostri dati sono stati violati tramite alcuni siti, come ad esempi HaveIBeenPwned: offre un servizio gratuito grazie al quale, inserendo il proprio account, si scopre se è nell’elenco di quelli hackerati» spiega il consulente. «In ogni caso, se i dati sono tra quelli resi disponibili a chiunque in seguito ad hackeraggio, la legge italiana e quella europea, seguendo le disposizioni del GDPR, prevedono di chiederne la cancellazione ai siti violati. Lo stesso sito dovrà avvertirvi per legge che siete vittime di hackeraggio, con una notifica» spiega Meggiato.