| Undefined
I social media sono servizi che consentono di connettersi con altre persone e condividere informazioni, scambiando opinioni e creando contenuti a scopo sia puramente relazionale che lavorativo per il tramite di servizi in essi integrati quali ad esempio chat e messaggistica istantanea.
Poiché i social media sono uno strumento in grado di offrire moltissime opportunità non solo ai singoli ma anche alle organizzazioni (ad esempio per fini promozionali), fornendo comunque a tutti una presenza a livello globale, un utilizzo senza opportune precauzioni può comportare un elevato rischio in grado di minare la sicurezza informatica e la privacy degli stessi utenti.
Basti pensare come con un semplice post sia possibile geolocalizzare un luogo, taggare altri utenti, ottenere consensi, ricevere commenti e condividere anche momenti della quotidianità. La virtualità di queste aree sociali danno inoltre una falsa percezione di sicurezza, portando ad ignorare quelle buone pratiche solitamente adottate nel mondo offline, esponendo qualsiasi utilizzatore (individui e organizzazioni) ad un pericolo correlato allo sfruttamento dei canali social per condurre attacchi informatici, diffondere malware e compiere qualsiasi ulteriore illecito.
L’uso dei social network ha di fatto modificato comportamenti e modo di comunicare. Pertanto pur rappresentando una grande risorsa, solo il buon senso e la prudenza rimangono il presupposto per un corretto e sicuro impiego. Per tutti questi motivi anche sui social media è necessario proteggersi dalle minacce informatiche, adottando piccole accortezze che garantiscano una navigazione sicura e un uso corretto dei dispositivi.
Le minacce a cui fare attenzione
Bisogna prestare maggiormente attenzione verso quelle minacce per le quali i social media possono rappresentare un canale privilegiato ovvero il social engineering, le varie forme di phishing e il doxing.
Social engineering
Il social engineering si riferisce ad esempio a una vasta gamma di attacchi che sfruttano il fattore umano e le emozioni per manipolare uno specifico target. Il cyber criminale dopo avere fatto ricerche sulla potenziale vittima, raccogliendo ogni tipo di informazione su di essa, lavora per guadagnare la sua fiducia, mettere pressione, urgenza oppure suscitare curiosità, allo scopo di manipolarla affinché divulghi inconsapevolmente informazioni sensibili violando privacy e sicurezza.
Phishing
Ad esempio con tecniche di ingegneria sociale è possibile allestire un attacco di phishing, che solitamente avviene tramite e-mail o messagistica istantanea (smishing), per adescare le potenziali vittime tentando di convincerle a cliccare su un link che punta ad una pagina di landing falsa o di aprire un allegato malevolo (malware). Tramite il phishing, ad esempio, un attaccante potrebbe ricreare una falsa pagina di login del social network e indurre l’utente a fornire le sue credenziali di accesso.
Brand Phishing
Un altro rischio correlato ai social media è legato al cosiddetto brand phishing ovvero alla possibilità di impersonare una società o un marchio popolare per ingannare e indurre le vittime a fornire informazioni riservate, che potranno essere successivamente utilizzate per violare sistemi e reti. Il brand phishing oltre a danneggiare la vittima, danneggia anche la reputazione dell’organizzazione impersonata.
Catfishing
Si parla invece di catfishing, quando si crea una falsa identità per prendere di mira un individuo allo scopo di acquisire informazioni e contenuti. Il catfishing è una minaccia molto diffusa sui social media con la quale il truffatore cerca di ottenere empatia con le vittime mettendo successivamente in atto un illecito. Pertanto sarebbe sempre buona prassi quella di valutare in modo critico ogni tipo di invito ricevuto. Gli account sconosciuti che cercano contatto possono essere in realtà account falsi creati al solo scopo di raccogliere informazioni sugli utenti e perpetrare successive truffe (come ad esempio le truffe a tema sentimentale).
Il doxing
Chiunque condivida online dati sensibili come estremi privati e numeri di telefono potrebbe essere oggetto di doxing. Il doxing è la pratica criminale di ricercare, pubblicare e/o diffondere delle informazioni personali o private di un soggetto senza il suo consenso, con l’intenzione di estorcere denaro, intimidire o semplicemente denigrare. È per questo che sarebbe sempre importante valutare con attenzione il tipo di informazioni, immagini e altri contenuti che si desiderano condividere online.
Proteggersi sui social media, alcuni utili consigli
Di seguito si elencano alcuni suggerimenti per l’uso sicuro e responsabile dei servizi social da seguire per attenuare l’esposizione alla maggior parte dei rischi.
- utilizzare l’autenticazione multifattore, 2FA, ovvero una misura di sicurezza che richiede agli utenti di fornire due o più fattori di autenticazione per accedere ad un account o applicazione. L’aggiunta di ulteriori livelli di sicurezza aiuta a contrastare eventuali attacchi qualora le credenziali o le identità digitali siano state rubate, esposte o vendute a terzi (per approfondimenti potete consultare questo nostro articolo https://cloud/en/articles/show/51);
- tenere sotto controllo condizioni d’uso e impostazioni su privacy e sicurezza. In generale, prima dell’iscrizione ad un social network è sempre buona regola controllare le opzioni di sicurezza e privacy assicurandosi che siano sempre aggiornate e impostate con il livello più alto;
- non utilizzare la stessa password per servizi differenti. È importante utilizzare una password diversa per ciascun account social (aiutandosi ad esempio con un buon password manager https://cloud/en/articles/show/47) in modo da evitare un accesso abusivo su tutti gli account qualora uno di questi subisse una violazione di sicurezza;
- assicurarsi che le password siano robuste e lunghe (consigliati almeno 10 caratteri) combinando lettere maiuscole, minuscole e caratteri alfanumerici;
- tenersi sempre aggiornati sulle possibili minacce che possono colpire determinate piattaforme sfruttando vulnerabilità con azioni di hacking, attacchi di phishing e falsificazioni account;
- Verificare se il proprio indirizzo email sia stato coinvolto in un data leak in passato. Esistono appositi strumenti online che grazie all’analisi dei numerosi casi noti e censiti a livello globale, riescono a stabilire se un determinato indirizzo di posta elettronica sia stato oggetto di una violazione dati. La fondazione Fermi (https://cloud/it) ad esempio ha realizzato un servizio ad hoc. È sufficiente per la verifica inserire il proprio indirizzo email;
- non diffondere informazioni sensibili (foto, video, date di nascita, spostamenti, abitudini etc) che potrebbero essere utilizzate in modo fraudolento da terzi per profilare potenziali vittime e perpetrare truffe;
- mantenere sicuri i propri dispositivi connessi, aggiornando costantemente sistemi, applicazioni, browser e strumenti di protezione;
- diffidare degli sconosciuti e fare attenzione alle applicazioni di terze parti. Prestare attenzione alle applicazioni e servizi disponibili sui siti social, procedendo con cautela nel decidere quali attivare e quali permessi di accesso concedere;
- fare attenzione ad aprire link, immagini e video contenuti nei messaggi, potrebbero essere dannosi e reindirizzare verso siti malevoli realizzati per diffondere malware o carpire credenziali.