Buongiorno a tutti. In breve propongo un vademecum per la sicurezza informatica.
Le truffe digitali sono veicolate da e-mail o SMS che sembrano provenire da fonti affidabili presentando loghi
di aziende note, di banche o addirittura di enti pubblici.
Portano al furto di codici riservati, ad avere accessi indesiderati e a dovere eseguire versamenti di denaro a
società o enti inesistenti, oltre al rischio di potere perdere importanti dati aziendali e personali.
Ci sono tuttavia alcune caratteristiche che permettono di riconoscere l’illegittimità di una comunicazione o
richiesta e che devono mettere in guardia TUTTI.
Password aziendale
È opportuno scegliere sempre una password diversa per ciascuna e-mail e servizio utilizzato e cambiarle
spesso o ad ogni richiesta dei sistemi (la validità massima della password è di 45 giorni).
Ad esempio: la password non deve contenere il proprio nome e/o altri dati personali, il nome dell’azienda, il
riferimento ad un giorno, mese e/o anno e preferibilmente non deve contenere parole uniche di senso
compiuto.
È importante usare almeno 8 caratteri, con un mix di lettere maiuscole e minuscole, simboli e numeri.
Deve essere sempre diversa dalle ultime utilizzate e non deve contenere informazioni che possano essere
recuperate pubblicamente, ad esempio da social e siti web pubblici.
La password deve essere immediatamente sostituita nel caso si sospetti che la stessa abbia perso la sua
segretezza.
SCELTA DELLE PASSWORD
Estratto dall’Allegato 1 Istruzioni per la persona autorizzata al trattamento dei dati personali contenuto
all’interno dell’Atto di Nomina quale persona autorizzata al trattamento dei dati personali ai sensi del
D.Lgs. 196/2003 e del Regolamento Europeo 2016/679 (GDPR)
Il più semplice metodo per l’accesso illecito a un sistema consiste nell’individuare la password dell’utente
legittimo.
In molti casi sono stati arrecati ingenti danni a sistemi informativi di aziende a causa di un accesso protetto
da password “deboli”.
Sarà dunque necessaria la scelta di password “forti” al fine di garantire la sicurezza informatica.
COSA NON FARE:
• NON comunicare a nessuno la tua password. Ricordi che lo scopo principale per cui si utilizza una password
è quello di assicurare che nessun altro possa utilizzare le risorse a assegnate o farlo a tuo nome.
• NON conservare la password in luoghi facilmente accessibili da parte di terzi ed in ogni caso mai nelle
vicinanze del computer e/o di qualsivoglia altro strumento elettronico fornito in dotazione.
• Quando immetti la password assicurati che nessuno la stia osservando.
• NON scegliere password che si possano trovare in un dizionario. Su alcuni sistemi è possibile “provare”
tutte le password contenute in un dizionario per vedere quale sia quella giusta.
• NON credere che usare parole straniere renderà più difficile il lavoro di scoperta, infatti chi vuole scoprire
una password è dotato di molti dizionari delle più svariate lingue.
• NON usare il tuo nome utente: è la password più semplice da indovinare.
• NON usare password che possano in qualche modo essere legate a te come, ad esempio, il tuo nome, quello
di tua moglie/marito, dei figli, del cane, date di nascita, numeri di telefono, etc.
COSA FARE OBBLIGATORIAMENTE
• la password deve essere composta da almeno otto (8) caratteri; è buona norma che questi caratteri, la
metà o poco meno, siano di natura numerica.
COSA FARE PRATICAMENTE:
Utilizzare più di una parola e creare password lunghe
A volte è più semplice ricordare una frase completa di senso compiuto piuttosto che una parola complicata
e questa tecnica, oltre a facilitare la memorizzazione, migliora la sicurezza stessa della parola chiave;
la lunghezza influisce sulle difficoltà di individuazione e ci consente di utilizzare lo “spazio” tra una parola e
l’altra come ulteriore elemento da intercettare.
Inoltre, è utile sapere che diversi strumenti di intercettazione presumono che le password non siano formate
da più di 14 caratteri e quindi, anche senza complessità, le password molto lunghe (da 14 a 128 caratteri)
possono rappresentare un’ottima protezione contro possibili violazioni.
Si ricorda che la password può essere sostituita a partire dal terzo giorno dopo l’ultimo cambiamento (o dopo
l’attivazione dell’account) dal sito: https://rdweb.sielte.it
È possibile cambiare la password direttamente dal proprio computer con la procedura classica
CTRL+ALT+CANC e selezionando poi “Cambia password”: in questo caso il computer deve essere collegato o
alla rete aziendale o in VPN Sielte.
La password ha durata massima 45 giorni; superato tale periodo deve essere sostituita.
Seguono i criteri per la digitazione della propria password che saranno adottati a partire dal primo cambio
password:
1. Non possono essere inserite le ultime tre (3) password utilizzate;
2. Lunghezza minima della password 8 caratteri;
3. Non può contenere il proprio account, il proprio nome e il proprio cognome;
4. Validità della password 45 giorni;
5. Deve soddisfare almeno tre dei seguenti requisiti di complessità:
a. Caratteri alfabetici maiuscoli (A-Z); a, b, c, …
b. Caratteri alfabetici minuscoli (a-z);
c. Numeri (0-9); 0,1,2,3,4,5,6,7,8,9
d. Caratteri non alfabetici (ad esempio (<> , . ) ` ~ ! $ % ^ ; * – + = | \ { @ # } [ / ] : ; ” ‘?).
Non inserirli alla fine di una parola nota come ad es.:”computer987″.
In questo caso la password può essere identificata abbastanza facilmente: la parola “computer” è inclusa in
molti dizionari contenenti nomi comuni e quindi dopo aver scoperto il nome restano solo 3 caratteri da
identificare.
Al contrario, è sufficiente sostituire una o più lettere all’interno della parola con simboli che possono essere
ricordati facilmente.
Ad esempio, si può provare a utilizzare “@”al posto di “A”, “$”al posto di “S”, zero (0) o la doppia parentesi
() al posto di “O” e “3”al posto di “E”: si tratta di trovare delle analogie che ci rendano familiare la
sostituzione di lettere con simboli e numeri.
Con alcune sostituzioni si possono creare password riconoscibili per l’utente, ad esempio (es.: “Ve$tit0 di
Mari0”), già sufficientemente lunghe ed estremamente difficili da identificare o decifrare.
Cercare di realizzare password utilizzando caratteri appartenenti a tutti i quattro gruppi rappresentati nella
lista.
N.B. Si consiglia di eseguire la procedura di cambio password su rete aziendale al fine di evitare problemi di
accesso nel caso in cui il dispositivo sia scollegato dalla rete aziendale per lunghi periodi
Controllare il mittente della comunicazione
Nonostante il mittente della comunicazione che si visualizza possa essere familiare, è sempre bene analizzare
l’intestazione dell’e-mail.
Basterà controllare le informazioni aggiuntive relative al mittente della comunicazione: a volte potrebbe
bastare evidenziare l’indirizzo del mittente per verificare il reale mittente della comunicazione.
Se è sconosciuto, contiene dei nomi molto lunghi o caratteri insoliti, o non si riferisce ad una azienda con cui
si collabora è probabile che sia phishing.
Ci sono errori grammaticali nel testo
Se il testo contiene errori di scrittura, utilizzo di caratteri strani, evidenti errori di traduzione linguistica
bisogna stare in allarme.
Spesso sono contenuti errori grammaticali, ortografici o sintattici che possono farci sospettare, nonostante
le e-mail di phishing possano essere sempre più accurate nel contenuto e nella forma.
La presenza di anomalie nel tono, nell’utilizzo delle parole o nella forma dell’e-mail, sono sufficienti a far
scattare il campanello d’allarme.
Conviene cestinare la mail o approfondire il motivo della e-mail.
E-mail con allegati sospetti o inattesi
Se oltre ad avere ricevuto e-mail non attese, queste presentano degli allegati, l’attenzione da prestare è
ancora maggiore.
In questo caso infatti è sempre bene non scaricare o aprire gli allegati, soprattutto se si tratta di file di tipo
.exe, .vsb, .js, o .bat.
Spesso gli autori del phishing utilizzano gli allegati delle e-mail fraudolente per l’invio di malware o virus,
fenomeno noto appunto come “malware”.
E-mail con indirizzi e link sospetti
Se l’e-mail o sms contiene un link che, una volta cliccato, richiede l’inserimento di proprie credenziali
conviene accertarsi della fonte.
Controlla sempre il testo del collegamento del sito verso cui rimanda il link.
Possono essere presenti pulsanti che rimandano a pagine graficamente molto simili o uguali a quelle
dell’azienda o del servizio conosciuto, ma sono pagine fatte per rubare i dati.
Per verificare se l’indirizzo web a cui conduce un link è sicuro, basta passare con il mouse – senza cliccare –
sul pulsante o sulle parole con il link e comparirà l’indirizzo completo e reale cui punta il link.
E-mail non attese o che invitano alla fretta
Se di recente non hai eseguito pagamenti, se non hai servizi in scadenza o non stai aspettando nessuna
consegna o premio, presta attenzione alle e-mail che ti propongono di controllare qualcosa o di fare
un’azione di fretta.
I truffatori, infatti, possono prevedere quali comunicazioni potrebbero essere interessanti, ma non sanno se
è il momento giusto per inviarle.
Fate quindi attenzione alle comunicazioni che già nell’oggetto presentano punti esclamativi, parole
maiuscole.
E-mail che richiedono dati personali o pagamenti
Le e-mail di phishing richiedono spesso l’inserimento di dati personali come password e username, o di dati
bancari come conti corrente o addirittura numeri di carte di credito.
Non fornire a nessuno i tuoi dati personali o aziendali se non è una persona nota o autorizzata.
Ricorda che nessuno ti chiederà di dettare al telefono i codici autorizzativi inviati via sms o mediante notifica
push al tuo cellulare.
Contenuti con argomenti non di interesse aziendale
È opportuno evitare l’apertura e/o lo scambio di e-mail o messaggi che riportino a contenuti di carattere o
interesse non aziendale.
Ad esempio:
• acquisti online a scopo privato
• contenuti multimediali non pertinenti alla propria attività
• ricerca e condivisione di materiale pornografico
• utilizzo di strumenti di social entertainment