Il furto d’identità è una delle tecniche più spesso utilizzate dagli attaccanti, perché le credenziali personali possono essere utilizzate per più scopi: per entrare negli account delle vittime, estorcere o rubare denaro, effettuare truffe e utilizzare abusivamente i servizi online. Qual è la situazione attuale e come correre ai ripari per proteggere i dati e l’identità digitale di clienti e dipendenti? Password ed e-mail sono tra i dati più vulnerabili e più ricercati dagli attaccanti: una soluzione efficace e contemporaneamente semplice da utilizzare è oggi quella dell’autenticazione multifattore, rafforzata e resa seamless da tecniche di riconoscimento biometrico.
Durante il Webinar “Identità digitali nel mirino degli hacker” dello scorso 12 settembre, organizzato da Keyless e The Innovation Group, con la partecipazione di Beatrice Rubini, Executive Director Personal Solutions & Cybersecurity services di CRIF, Luca Dozio, Head of ICT Security di illimity, Giampiero Raschetti, CISO di Banca Popolare di Sondrio, Andrea Carmignani, Co-Founder & CEO di Keyless e Elena Vaciago, Research Manager di The Innovation Group, sono stati approfonditi i seguenti punti:
- Cosa è il furto d’identità, come proteggersi da attacchi phishing, smishing, vishing?
- Quali sono le informazioni personali presenti nel Darkweb?
- Come riconoscere le tecniche con cui i truffatori si appropriano delle credenziali degli utenti, per evitare le truffe online sul canale eCommerce aziendale e frodi sui pagamenti?
- Come rafforzare i meccanismi di autentificazione, proteggere i dati personali di dipendenti e clienti con la biometria passwordless?
Le aziende sono sempre più consapevoli di essere quotidianamente sotto attacco informatico. Dall’indagine Cyber Risk Management 2023 di TIG, nel corso del 2022, il Phishing è stato osservato praticamente da tutte le aziende del campione (96% delle risposte). Numerose debolezze rendono le aziende vulnerabili agli attacchi informatici: a preoccupare di più sono i dipendenti poco accorti o poco consapevoli dei rischi (82% delle risposte), e a seguire, gli applicativi non aggiornati (58%), i rischi di sicurezza legati alle terze parti (41%), le vulnerabilità che dipendono da sistemi operativi fuori supporto (38%).
Da tempo siamo consapevoli che il fattore umano è il vero anello debole della catena: oggi in più un evento distruttivo come un ransomware sta diventando un rischio reale per tutti. Dall’indagine emerge che un 40% di aziende italiane ha già sofferto, fino ad oggi, di un attacco ransomware: è una percentuale molto alta ma si spiega con il fatto che questo tipo di attacchi affliggono le nostre realtà pubbliche e private da almeno un decennio. Inoltre, gli attacchi sono diventati nel tempo sempre più mirati ed efficaci, per cui la probabilità di caderne vittima è sempre più alta. Infine, anche la comunicazione di questi incidenti è diventata nel tempo una prassi sempre più diffusa: molti vengono alla luce addirittura con notizie riportate dai media.
Quando sono diventati di dominio pubblico i nostri dati personali? “L’osservazione del dark web ci permette di conoscere quanto i nostri dati sono oggi esposti online” ha detto Beatrice Rubini, Executive Director Personal Solutions & Cybersecurity services di CRIF, commentando gli ultimi risultati dell’Osservatorio Cyber di Crif. “Notiamo un continuo incremento (+10%) di circolazione di dati personali, soprattutto di mail personali e aziendali e di password, ma anche numeri di telefonia mobile e indirizzi postali. Gli hacker sono perfettamente in grado di ricostruire il profilo di una persona e di contattare le vittime. Altro elemento da portare all’attenzione è la combinazione dei dati che si trovano: se un numero di carta di credito è abbinato ad altre informazioni, si facilitano determinate frodi. Purtroppo, i dati che troviamo molto spesso sono completi”.
Queste evidenze fanno riflettere sui rischi relativi alla circolazione dei nostri dati online. In particolare, le informazioni di contatto e le credenziali di account diventano sempre più appetibili per i frodatori, rendendo quindi possibili truffe e furti di identità. Infatti, se i criminali riescono ad entrare in possesso di molteplici dati personali che aiutano a completare il profilo della vittima, possono progettare meglio i propri attacchi. “Un’altra minaccia dal trend in forte crescita è il ransomware – ha detto Beatrice Rubini -, soprattutto nei confronti delle aziende. Attraverso la “double extortion” (duplice estorsione), oltre a subire il furto e la compromissione di informazioni sensibili, aumenta infatti anche il rischio che i dati delle imprese siano diffusi nel dark web.”
Nel mondo bancario i processi di autenticazione sono stati molto rafforzati negli ultimi anni, come richiesto anche dalla compliance. Qual è la situazione odierna sul rischio di furto d’identità e cosa servirebbe ancora? “Oggi i controlli sono avanzati e i modelli utilizzati nell’autenticazione sempre più elaborati – ha detto Giampiero Raschetti, CISO di Banca Popolare di Sondrio -, ma allo stesso tempo, i rischi continuano ad aumentare, in primis per servizi esposti come quelli di internet banking. Pensiamo ai rischi collegati ai bonifici istantanei, che hanno introdotto variabili che, dal punto di vista dell’impatto complessivo sull’utente finale, possono essere molto critiche. La probabilità di accadimento delle frodi è scesa negli anni, ma allo stesso tempo, sono aumentati gli importi e quindi gli impatti potenziali, per cui il rischio nel complesso è più importante. Oggi in alcuni casi gli attaccanti arrivano addirittura a compromettere i token, la chiave utilizzata per accedere ai servizi, con danni che, è facile da immaginare, possono essere devastanti. Sono situazioni rare, per fortuna, ma molto preoccupanti, che espongono gli utenti a rischi mai corsi in passato: oggi tutti gli averi di una persona possono potenzialmente essere presi di mira da un attaccante, una situazione che, quando andavamo in filiale, non era neanche immaginabile. Da un lato, i meccanismi di analisi del comportamento possono essere una soluzione importante per prevenire questi attacchi, dall’altro lato, l’aumento della consapevolezza e la formazione dell’utente è fondamentale: senza questa, tutte le misure possono diventare vane in breve tempo”.
Con Luca Dozio, Head of ICT Security di illimity, abbiamo parlato invece del valore di un sistema sicuro di autenticazione del cliente bancario. “Le evoluzioni in campo digitale prevedono l’utilizzo di varie soluzioni e metodologie, non ultimo il passaggio da un concetto di compliance basato su una serie di regole a un’impostazione di cyber resilienza – ha detto Luca Dozio -. Secondo questo secondo approccio, partendo da una valutazione preventiva del rischio, si arriva a una serie di interventi per ottimizzare questo scenario, tra cui anche la valutazione del comportamento del cliente, e quindi indicare un coefficiente di rischio associato a ogni transazione. Un tema centrale però rimane sempre la persona e la sua vulnerabilità. Un cliente intercettato e convinto dall’attaccante, che sfrutta sue informazioni personali, può cadere in questa rete e subire una frode anche importante. Dobbiamo essere in grado di valutare la reale efficacia di una newsletter o di informazioni inviate al cliente”.
Un sistema che combina concetti di usabilità, sicurezza e privacy dei sistemi di autenticazione è quello della società Keyless. “Dalla nostra ricerca è nata una soluzione in cui la semplicità della biometria è combinata con la sicurezza della crittografia – ha detto Andrea Carmignani, Co-Founder & CEO di Keyless -. Negli ultimi anni abbiamo visto un importante incremento di frodi e furti di identità. Considerando gli attuali meccanismi di autenticazione, è chiaro che sono facilmente sfruttabili, soprattutto forzando il punto più debole ossia il fattore umano. Ripercorrendo la storia dell’autenticazione, utilizziamo ancora oggi un sistema di autenticazione come le password, che, quando era nato 60 anni fa, non era certo pensato per l’internet di oggi e per l’utilizzo che si fa di servizi come l’internet banking. Sappiamo che un utente in media deve gestire 100 password, che molti le riutilizzano per più servizi, che il 50% delle persone usa la propria data di nascita per il PIN della banca o per sbloccare il telefono. Molto spesso parlando di tecnologia biometria si cita il Face ID del telefono: il nostro sistema biometrico usa un meccanismo diverso. Le password sono sostituite da chiavi basate su parametri biometrici, la soluzione funziona su qualsiasi device, i dati non sono salvati sul dispositivo: in questo modo la sicurezza è molto aumentata. Il sistema sviluppato da Keyless è multi-factor by-design, l’identità può essere verificata con qualsiasi device, e infine, c’è un aspetto di forte compliance con la privacy. Il sistema è facile da usare, ma soprattutto, è molto sicuro”.
Rivedi il Webinar completo:
