Il 30 giugno è il Social Media Day, una ricorrenza per ricordare come utenti consumer e professionisti possono evitare errori e prevenire rischi sulle piattaforme social. A partire dal phishing per finire al cyberbullismo, mentre in ambito aziendale il pericolo è che i canali social vengano utilizzati per portare a termine campagne di social engineering.
“È oramai impensabile separare completamente social media – di ogni tipo – dalla realtà quotidiana del lavoro”, afferma Pierguido Iezzi, CEO di Swascan: “Sono parte integrante del tessuto connettivo delle nostre vite. Ma questo bisogno di connessione, a volte, può anche rivelarsi una lama a doppio taglio”. Ecco come proteggersi, non solo in ambito privato, ma soprattutto in quello professionale.
Indice degli argomenti
Social Media Day: i dati
Secondo una statistica di SmartinsIghts dello scorso gennaio, oltre la metà della popolazione globale usa i social media. Per rimanere in contatto con amici e parenti lontani, per comunicare, lavorare, lanciare campagne marketing.
I social media fanno parte della vita quotidiana di circa 4,62 miliardi di persone, occupando più tempo di quanto sia necessario. Gli italiani attivi sui social network sono circa 35 milioni, di cui circa 31 milioni si connette da un dispositivo mobile (smartphone o tablet). Nel dettaglio, 31 milioni sono gli italiani su Facebook, 19 milioni su Instagram, 12 milioni su LinkedIn, 2,50 milioni su Snapchat e 2,35 milioni su Twitter.
Tuttavia, sebbene le piattaforme (come TikTok, Instagram, Facebook eccetera) possano divertire e permettano di condividere post ed esperienze, i social media presentano anche rischi da non sottovalutare per la cyber security.
I rischi da evitare
In particolare, i social network celano rischi come la sextortion, il cyber stalking o il furto d’identità, oltre alle minacce sempre in agguato del phishing, del cyberbullismo e del social engineering, come dicevamo prima.
Secondo Check Point Software Technologies, sono quattro i principali fattori di rischio da monitorare per non compromettere la cyber sicurezza quando utilizziamo i social media. Ecco quali:
- condividere informazioni personali (che rimangono a lungo, con impatto sulla vita reale);
- le email non richieste per reimpostare la password;
- cliccare su qualsiasi link;
- non controllare gli URL.
I quattro fattori nel dettaglio
Condividere informazioni personali è infatti un errore diffuso e pericoloso, il più comune sui social network. I cyber criminali sono sempre a caccia delle vostre informazioni personali.
I dati personali aiutano a fomentare campagne phishing o addirittura rubare soldi. Inoltre, la maggior parte delle persone condivide le stesse credenziali con più piattaforme. Basta rubare una password per accedere a tutti gli account social media: invece occorre usare password diverse e non condividere i dati personali per minimizzare i danni se si dovesse essere vittima di un attacco.
Inoltre, un altro rischio sono le email non richieste per reimpostare la password. Gli hacker possono approfittare di ogni errore. Il primo impulso è quello di cliccare sul link e resettare, offrendo all’aggressore l’accesso all’intero account.
Bisogna sempre collegarsi direttamente sulla pagina della piattaforma del social media (senza cliccare sul link contenuto nell’email) e cambiare la password (e poi fare lo stesso per gli altri account che condividono la stessa password).
Altra pessima abitudine è cliccare su qualsiasi link. Link, all’interno di email o SMS, possono infatti reindirizzare gli utenti verso siti malevoli.
Chi riceve un link di questo tipo, deve proteggersi andando sul sito in esame, attraverso il proprio browser consueto, e controllare eventuale messaggi, evitando sempre di cliccare su un link contenuto in un’email o in un SMS non richiesti. O ricevuto via Messenger.
Un altro trucco per trafugare dati è quello di modificare un URL per
farlo apparire un sito autentico. Cyber criminali possono indurre la vittima a visitare un sito web ritenuto affidabile, come una pagina Facebook, richiedendo di cambiare la password, per poi reindirizzarla a un sito web identico, ma malevolo, per rubare tutte le informazion.
Nel Brand Phishing Report di Check Point, infatti, LinkedIn rappresentava il canale con oltre la metà (52%) di tutti i tentativi di phishing nel primo trimestre di quest’anno.
Per evitare di cadere in queste truffe, bisogna controllare gli URL a cui si accede, assicurandosi che il sito web abbia un certificato di sicurezza SSL. Se il sito dispone di un certificato di sicurezza,
nella barra degli indirizzi verrà visualizzata la lettera “s” (https://) che assicura che le informazioni riservate spedite tra due sistemi siano protette, impedendo ai criminali informatici
di accedere ai dati trasferiti, incluse informazioni personali.
“I social network hanno completamente rivoluzionato la nostra vita quotidiana, e proprio per questo motivo, è importante prestare attenzione e farne un utilizzo consapevole”, afferma Marco Fanuli, Security Engineer Team Leader di Check Point Italia: “I social sono uno degli obiettivi preferiti dei criminali informatici e conoscere le loro tecniche è l’unico modo per potersi difendere adeguatamente.
In occasione del Social Media Day, vogliamo sensibilizzare tutti gli utenti affinché vengano adottate tutte le misure di sicurezza idonee per prevenire attacchi informatici attraverso queste piattaforme”, conclude Fanuli.
I consigli per non correre pericoli
Bitdefender ha stilato 7 consigli per non correre rischi:
- gestire la privacy;
- prestare attenzione alla propria reputazione online;
- tutelare le proprie informazioni personali;
- impostare password forti e usare l’autenticazione a due fattori;
- adottare soluzioni di sicurezza per i propri dispositivi;
- segnalare eventuali utenti e comportamenti sospetti;
- diffidare dei messaggi non richiesti e degli annunci “troppo promettenti per essere veri”.
Social Media Day: consigli in ambito enterprise
In ambito professionale, i precedenti suggerimenti sono l’Abc, ma in azienda bisogna avere un approccio più cauto per evitare anche altri rischi ovvero offrire informazioni al cyber crime.
“Pensiamo a un semplice atto come un selfie: se realizzato all’interno dei locali aziendali, può inavvertitamente esporre informazioni sensibili utili a un criminal hacker per scagliare un attacco“, mette in guardia Iezzi.
“D’altronde è risaputo che i social sono terreno fertile per i criminali informatici impegnati in ‘fase di ricognizione‘ prima di un attacco (in particolar modo se si tratta di un target specifico)”, continua Iezzi.
“Questi sono oramai abituati a sondare Facebook, Instagram e Twitter. Da qui osservano attentamente le attività dei dipendenti dell’azienda da loro scelta come bersaglio. In particolare, è emerso, che seguono hashtag come #newjob #primogiorno #novità #stage e simili, magari cercando quell’anello debole ancora non pienamente ‘formato’ o allineato alle best practice”, afferma l’esperto di cyber security.
“Nel giorno del Social Media Day è bene ricordare che – anche se rappresentano spesso una bella vetrina anche a livello corporate – i social non devono essere meno attenzionati di ogni altro strumento. È sicuramente in carico ai datori di lavoro formare adeguatamente dipendenti e contractor. Bisogna sempre mettere bene in chiaro quali sono le politiche aziendali quando pubblicano su qualsiasi sito web di social media o altre piattaforme che richiedono informazioni aziendali, anche circostanziali”. Anche il social engineering è sempre in agguato.
“Educarli attraverso scenari comuni sulla protezione delle informazioni personali e sulla sicurezza dei dati aziendali è essenziale per la sicurezza aziendale”, conclude Iezzi: “Non dobbiamo sottovalutare il rischio concreto che si genera da una disattenzione o generale laissez faire nei confronti delle policy legate ai social. Potrebbe essere il primo ‘sasso’ che si stacca dalla parete prima di una frana”.
Infine, Marco Fanuli, Security Engineer Team Leader di Check Point Italia, suggerisce, in ambito business, di “installare una soluzione di mobile security su ogni dispositivo mobile”, fare sempre “il backup aziendale: mettere in sicurezza dati più importanti e sensibili con un backup”, adottare “l’autenticazione a due fattori, al fine di ridurre al minimo la minaccia” e infine prestare “attenzione al linguaggio e all’urgenza”, poiché “le email o gli SMS malevoli possono essere letti con meno attenzione dallo smartphone: un messaggio che arriva dall’Amministratore Delegato, scritto in modo frettoloso e che richiede una task urgente, dovrebbe far scattare un campanello d’allarme”.
