La maggior parte degli utenti utilizzano un unico indirizzo di posta elettronica come riferimento ai propri account, tipo: social network, home banking, Paypal, servizi cloud, e altri servizi personali. Il rischio è che un hacker se viene in possesso delle credenziali di accesso dell’ indirizzo email si impossessa di tutta la vostra vita digitale, sfruttando la vostra email per recuperare le password dei servizi a essa collegati, compresi quelli relativi al vostro conto corrente bancario o alla vostra carta di credito. Vi spiego come gli hacker si impossessano della vostra casella Gmail. Premesso che Google, in collaborazione con l´Università di California di Berkeley, ha analizzato lo scenario legato al furto e alla vendita di credenziali sul mercato nero del “deep web” nell’ultimo anno, sono emersi numeri impressionanti riguardanti lo studio che ha identificato 800 mila potenziali vittime di “keylogger”, programmi che registrano in maniera invisibile ciò che l´utente digita sui dispositivi o visualizza attraverso lo schermo, inviando queste informazioni a un server esterno controllato da hacker; 14 milioni di potenziali vittime di phishing, ovvero quelle pratiche (basate di solito su messaggi email o siti web apparentemente riferibili alla propria banca o a servizi online famosi e affidabili) per indurre l´utente a immettere le proprie credenziali su una piattaforma online gestita in realtà da criminali; 1,9 miliardi di credenziali violate e vendute sul mercato nero. La minaccia con un maggior numero di vittime è il phishing, seguito dai keylogger e dalle lacune nella sicurezza di servizi di terze parti. Ma i criminali informatici vanno ben oltre, utilizzando strumenti sempre più sofisticati allo scopo di ottenere numeri di telefono, indirizzi IP e dati di geolocalizzazione per aggirare le misure di sicurezza implementate dai vari servizi online. La responsabilità va attribuita a falle nella sicurezza, esterne alla stessa Google, fra cui violazioni a piattaforme terze, come Yahoo, che influenzano direttamente anche la sicurezza degli account Gmail o di altri servizi. Secondo lo studio, tra il 10% e il 30% delle password, sono identiche a tutti i servizi ai quali sono iscritti. L’autenticazione in due passaggi e misure di sicurezza supplementari per proteggere i servizi, possono evitare molti furti di password, ma possono anche essere insufficienti. Per ottenere livelli di sicurezza ancora superiori è preferibile utilizzare metodi di autenticazione dedicati come Google Authenticator, un’app per Android e iOS che genera token temporanei in base ad algoritmi criptati, o altre applicazioni di autenticazione sempre basate sull’utilizzo del proprio dispositivo mobile. Se comunque la verifica in due passaggi rappresenta la soluzione più immediata per contare su un buon livello di sicurezza, Google ha rilevato che solo il 3% delle vittime di attacchi ha abilitato questa protezione dopo avere recuperato il proprio account, allo scopo di prevenire ulteriori furti in futuro. Vi ricordo che i sistemi di sicurezza più affidabili sono quelli basati su dispositivi hardware come i lettori di impronte digitali, oggi disponibili su molti modelli di smartphone e anche come accessori da collegare a una porta USB del computer, supportati nativamente da Windows 10 attraverso Hello. Ma la prima cosa da fare, è evitare imprudenze, di fronte alle quali nulla possono verifiche, token o impronte digitali. Un esempio stupido è quel post-it in bella vista sulla cornice del monitor, in cui sono accuratamente annotati nome utente e password della propria casella emal, pin dispositivo della banca o di altri servizi.