La sicurezza on line dei dati personali è molto importante: per evitare di rimanere vittime delle insidie che si nascondono nelle truffe via mail, e per difendersi dai virus informatici, può essere molto utile consultare le seguenti FAQ su Antivirus e Antispam.

FAQ su Antivirus e Antispam

Lo spam è l’invio di messaggi indesiderati e non sollecitati (spesso pubblicitari o fraudolenti) a un gran numero di destinatari, tramite email, SMS, social media o altri canali digitali.

Questi messaggi, spesso definiti “posta spazzatura”, possono mirare a truffare gli utenti (phishing) o a diffondere malware, ma anche semplicemente a promuovere prodotti o servizi senza il consenso dei destinatari.

Caratteristiche principali dello spam

  • Invio massivo – Viene spedito contemporaneamente a un numero elevato di persone, da un programma automatizzato, denominato “spambot”.
  • Contenuto indesiderato – I destinatari non hanno acconsentito a ricevere questi messaggi.
  • Finalità commerciale o fraudolenta – Può essere usato per pubblicità, tentativi di truffa o per diffondere software malevoli.
  • Molteplici canali – Non si limita solo alle email, ma include messaggi di testo, messaggi sui social media, e persino telefonate.

Esempi di spam

  • Email pubblicitarie – Messaggi di aziende che non hai mai contattato.
  • Phishing – Email che fingono di provenire da banche o altre società per rubare dati sensibili come password o numeri di carta di credito.
  • Annunci ingannevoli – Messaggi che promettono vincite, soldi facili o cure miracolose.
  • Link dannosi – E-mail che ti invitano a cliccare su link per scaricare virus o software dannosi, fingendosi ad esempio degli antivirus.

Si consiglia di adottare i seguenti accorgimenti:

  • Non pubblicare il tuo indirizzo email online – Invece di inserire direttamente il tuo indirizzo su un sito, usa un modulo di contatto per evitare che venga raccolto da un bot malevolo.
    • Come misura aggiuntiva si consiglia fortemente di utilizzare un CAPTCHA nei moduli per l’invio di e-mail dal tuo sito.
  • Utilizza indirizzi email secondari – Usa un indirizzo diverso per iscrizioni a newsletter e servizi online, così proteggi la tua casella principale.
  • Attiva i filtri anti-spam – I gestori di posta elettronica hanno filtri automatici, ma puoi personalizzarli creando filtri specifici per bloccare mittenti indesiderati.
  • Fai attenzione ai link – Non cliccare su link sospetti e non accorciare link nelle tue email per evitare di finire in spam.
  • Contrassegna come spam – Quando ricevi un’email indesiderata, contrassegnala come spam per addestrare il filtro.

Un CAPTCHA è un test di sicurezza automatico progettato per distinguere gli utenti umani dai bot su Internet, impedendo l’accesso a robot che cercano di compiere attività dannose come spam o tentativi di hacking.

L’acronimo sta per “Completely Automated Public Turing test to tell Computers and Humans Apart” (test di Turing pubblico e completamente automatico per distinguere computer e umani).

Il funzionamento si basa su un test in cui all’utente viene presentata una sequenza di lettere o numeri distorti in un’immagine, e di chiedergli di digitarli in una casella di testo.

Esistono altri tipi di test che consistono nel cliccare su una casella per verificare di non essere un robot, oppure di selezionare tutte le immagini che contengono un elemento specifico (ad esempio, tutte le immagini con un’auto).

Alcuni test avanzati richiedono all’utente di ascoltare una sequenza di numeri o parole tramite un audio, e di trascriverle su una casella di testo, o di scegliere una serie di immagini che mostrano una combinazione corretta.

I CAPTCHA sono molto utili per proteggere dallo spam via e-mail, perché impediscono agli spambot di inviare automaticamente messaggi nei moduli di contatto.

Un altro utilizzo dei CAPTCHA è la sicurezza degli account utente del proprio sito, poiché aiutano a proteggersi dagli accessi non autorizzati provenienti da attacchi informatici.

Uno spambot è un programma automatizzato che raccoglie indirizzi e-mail e invia massicci volumi di messaggi di spam, come pubblicità indesiderata, truffe o tentativi di phishing.

Tali programmi possono anche creare account falsi, pubblicare contenuti su forum e social media e indurre gli utenti a fare clic su link dannosi.

Il phishing è una truffa online, basata sul Social Engineering, che consiste nel rubare informazioni riservate (come password, dati della carta di credito o altre informazioni personali) inducendo le vittime a cliccare su link malevoli, scaricare allegati o fornire dati su siti web falsi che imitano quelli legittimi.

I truffatori si fingono enti fidati, come banche o aziende, per ingannare le persone creando un senso di urgenza e convincerle ad agire rapidamente.

Questo tipo di truffa si manifesta, innanzitutto, con l’individuazione dell’esca, sfruttando diversi mezzi; solitamente le truffe avvengono tramite e-mail, ma possono veicolarsi anche tramite SMS (in tal caso si parla di smishing) o chiamate telefoniche (la tecnica viene chiamata più propriamente vishing in questo caso).

Il meccanismo del pishing si basa su una “falsa autorevolezza”: i truffatori, come è già stato anticipato, creano messaggi che sembrano provenire da fonti affidabili come banche, servizi postali, e negozi online.

Il tono di comunicazione usato fa leva sull’emotività della vittima, facendo emergere l’urgenza di risolvere un problema.

I messaggi e-mail di pishing, infatti, spesso avvisano di un problema urgente (ad esempio, un account bloccato, un’attività sospetta, un aggiornamento di sicurezza richiesto) per spingere l’utente ad agire senza riflettere, ed indurlo a comunicare dati sensibili come la password per accedere ad un servizio di home banking, allo scopo di prosciugargli il credito.

In alcuni casi le e-mail contengono link: cliccando sul link, si finisce su una pagina web che è una copia quasi perfetta di quella ufficiale di un sito esistente, dove vengono richieste le credenziali di accesso o altre informazioni personali.

Il social engineering (in italiano ingegneria sociale) è una tecnica di manipolazione psicologica usata per ingannare le persone e spingerle a rivelare informazioni riservate, compiere azioni dannose o violare procedure di sicurezza.

Ricorrendo ad una metafora, invece di forzare una porta digitale con un attacco informatico, il social engineer convince un utente ignaro ad aprirgliela egli stesso.

Un esempio semplice di come si svolge il Social Engineering potrebbe essere il seguente: un truffatore si finge tecnico dell’assistenza informatica di un’azienda reale, e chiama un impiegato dicendogli che “c’è un problema urgente con il server, e serve subito la sua password per risolverlo.”

L’impiegato, preso dal panico o dal desiderio di collaborare, gliela fornisce, e così il malintenzionato ottiene l’accesso senza toccare una sola riga di codice.

Come è già stato descritto in precedenza, la tecnica del Social Engineering è alla base del pishing.

Bisogna, innanzitutto, iniziare a comprendere come riconoscere un attacco di phishing; un’operazione molto facile, d’altronde, che può essere condotta analizzando alcuni indizi:

  • Indirizzo email sospetto – Passa il mouse sul nome del mittente per controllare l’indirizzo email reale. Un nome visualizzato che non corrisponde all’indirizzo è un campanello d’allarme, così come un nome fantasioso, o troppo banale come “tony84@email.it”.
  • Errori di ortografia o grammatica – Spesso i messaggi di phishing contengono errori, anche se i truffatori diventano sempre più abili col passare del tempo.
  • Richieste di dati sensibili – Le aziende raramente chiedono dati sensibili come password, PIN o numeri completi della carta di credito tramite email.
  • Tono di comunicazione che evidenzia l’urgenza di risolvere un problema – Messaggi che creano panico e spingono ad agire immediatamente, per risolvere delle presunte criticità (come ad esempio la cancellazione dell’account di un servizio, a causa di un incendio nel server, se non si fornisce la password) sono un segnale di allarme.
  • Link sospetti – Controlla l’URL del link prima di cliccare, specialmente se non corrisponde al nome dell’azienda o presenta domini sconosciuti o poco credibili, come ad esempio http://servizioclienti.com , di cui francamente non si capisce a risalire all’azienda che rappresenta.

Per proteggersi dal pishing occorre una buona dose di prudenza ed anche di diffidenza, si raccomanda pertanto di agire come descritto di seguito:

  • Non cliccare subito su link in caso di dubbi, e neanche scaricare allegati, spesso i tentativi di pishing sono accompagnati da virus informatici di ogni genere.
  • Se hai dei dubbi su una comunicazione proveniente da un indirizzo riconducibile ad un’azienda reale, visita direttamente il suo sito web ufficiale digitando l’indirizzo nella barra del browser, invece di usare il link ricevuto. Questo semplice accorgimento ti permetterà di capire se la comunicazione via e-mail è effettivamente presente nel sito web ufficiale dell’azienda, o se ci sono delle incongruenze.
  • Usare l’autenticazione a più fattori, ovunque sia possibile, per aggiungere un ulteriore livello di sicurezza.
  • Resta informato sulle tattiche di phishing più recenti e avvisa gli altri se ricevi un messaggio sospetto.

L’autenticazione a più fattori, indicata anche con la sigla MFA (dall’inglese “Multi-Factor Authentication”) è un metodo di sicurezza che richiede due o più tipi di verifica per accedere a un account.

In aggiunta alla password, tale metodo utilizza almeno un altro fattore, come un codice inviato via SMS o un’impronta digitale, per aumentare il livello di sicurezza.

Questo approccio a più livelli rende più difficile l’accesso non autorizzato, anche se la password viene compromessa.

I tipi di fattori di autenticazione si differenziano in base a dei criteri specifici:

  • Qualcosa che conosci – Una password, un PIN o una domanda di sicurezza.
  • Qualcosa che possiedi – Un dispositivo mobile, un token hardware o una carta di sicurezza.
  • Qualcosa che rappresenta chi sei – Dati biometrici come un’impronta digitale, il riconoscimento facciale o il timbro vocale.

Un esempio di implementazione del metodo MFA potrebbe essere il seguente: l’utente inserisce il nome utente e la password (il primo fattore di autenticazione) per accedere ad un’area riservata.

Immediatamente dopo viene richiesto un secondo metodo di verifica, come l’inserimento di un codice monouso temporaneo (denominato OTP ovvero One Time Password) inviato allo smartphone dell’utente, oppure l’approvazione di una notifica push o la scansione dell’impronta digitale.

Una volta completata la verifica aggiuntiva (che costituisce il secondo fattore di autenticazione), l’accesso all’account viene concesso.

È fondamentale adottare un approccio multi-livello, che preveda cioè l’applicazione di diverse misure di sicurezza.

Misure di sicurezza di base

Se si utilizza un CMS come WordPress si raccomanda di effettuare, innanzitutto, in modo regolare (almeno una volta al mese) dei backup dei file e del database. In caso di un eventuale attacco informatico (o di qualsiasi altra anomalia), si potrà rispristinare il sito a uno stato precedente e sicuro.

Questa operazione assume un’importanza prioritaria, come verrà spiegato più avanti.

Un’altra raccomandazione per gli utenti di WordPress riguarda l’aggiornamento della versione, perché nella maggior parte dei casi le versioni obsolete presentano delle “falle”, cioè delle vulnerabilità sfruttabili dai malware. Tale raccomandazione, ovviamente, è valida anche per i temi e per i plugin. 

È da tenere presente tuttavia che in alcuni casi dopo avere effettuato gli aggiornamenti di WordPress, le funzionalità del sito vengono compromesse. Potrebbe succedere, ad esempio, che qualche plugin essenziale per la corretta visualizzazione dei contenuti, non sia compatibile con la nuova versione di WordPress, generando così delle anomalie.

Ed ecco perché l’operazione di backup deve essere prioritaria rispetto a tutte le altre: è buona norma, infatti, effettuare sempre dei backup sia dei file sia del database, prima di installare qualsiasi aggiornamento della versione di WordPress, del tema e di qualche plugin. 

Per avere un buon livello di sicurezza si consglia di scegliere i servizi di hosting che offrono il backup periodico (giornaliero, settimanale, mensile) dei file e del database.

Fra le misure di base per la sicurezza non può mancare la scelta di password efficaci, che, in quanto tali, devono avere una forma complessa, cioè abbastanza lunghe ed alfanumeriche (costituite da lettere, cifre numeriche, e simboli di interpunzione come “!” o “?”). Le password devono essere conservate in un luogo sicuro, e, se necessario, devono essere cambiate con una certa frequenza.

Si raccomanda, infine, di implementare un certificato SSL (o meglio ancora il suo successore TLS, ancora più evoluto), e quindi di adottare il protocollo HTTPS per crittografare i dati scambiati tra il tuo sito e i visitatori, rendendo più difficile per i malintenzionati intercettare le informazioni.

Misure aggiuntive

Fra le misure extra da applicare nel contesto della sicurezza dei siti realizzati con WordPress, vi è la possibilità di  installare e di configurare plugin specifici per contrastare l’azione di malware.

Tali plugin offrono piani gratuiti per soluzioni efficaci di base, e a pagamento per soluzioni avanzate; per ricevere ulteriori informazioni o per ottenere delle consulenze specifiche in merito potete contattarmi compilando l’apposito modulo.

HTTPS (acronimo di HyperText Transfer Protocol Secure, ovvero “Protocollo di Trasferimento di Ipertesti Sicuro”) è la versione sicura del protocollo predecessore HTTP, che cripta la comunicazione tra il browser e un sito web, impedendo a terze parti, e soprattutto anche ai malintenzionati, di intercettare o manomettere i dati.

Caratteristiche principali

  • Sicurezza – HTTPS protegge le informazioni sensibili, come credenziali di accesso e dati personali, trasformandole in un formato illeggibile.
  • Crittografia – Utilizza protocolli come TLS (Transport Layer Security) o il suo predecessore SSL (Secure Sockets Layer) per creare un canale di comunicazione sicuro.
  • Autenticazione – HTTPS verifica l’identità del sito web tramite un certificato digitale, prevenendo frodi e attacchi di phishing.
  • Integrità – Garantisce che i dati scambiati non vengano alterati durante la trasmissione.
  • Visibilità – I browser moderni contrassegnano chiaramente i siti con HTPPS come sicuri, di contro etichetta i siti senza HTTPS come “non sicuri”, incoraggiando gli utenti a fare attenzione prima di visitarli.
  • Buon posizionamento a livello di SEO (Ranking) – Google considera HTTPS come un fattore di ranking, premiando i siti sicuri con una migliore posizione nei risultati di ricerca.

È un certificato digitale che verifica l’identità di un sito web e abilita una connessione crittografata e sicura (tramite il protocollo HTTPS) tra il browser dell’utente e il server web.

In pratica mentre HTTPS è il protocollo di navigazione sicuro, il certificato SSL è il file che permette a HTTPS di funzionare.

In altre parole, il certificato SSL è l’elemento che abilita la sicurezza, mentre HTTPS è la connessione sicura che utilizza tale certificato per crittografare i dati.

Il certificato SSL protegge i dati sensibili, come credenziali di accesso, dati di pagamento e informazioni personali, rendendo impossibile per terzi intercettare e leggere le informazioni trasferite.

È fondamentale per i siti che gestiscono transazioni e dati riservati, ed è riconoscibile dall’icona del “lucchetto” nella barra degli indirizzi del browser, e dall’indirizzo che inizia con “https://”.

Il certificato SSL verifica l’identità del sito, confermando che l’utente si sta connettendo al sito legittimo e non a uno fraudolento.

Dopo la verifica, il certificato SSL Stabilisce un canale sicuro per la trasmissione dei dati.

Tutto il traffico tra il browser e il server viene cifrato e non può essere letto da chiunque.

Viene rilasciato da un’Autorità di Certificazione (denominata CA) che ne convalida l’autenticità prima di permettergli di essere emesso.

Assolutamente si, per tutte le tipologie di siti web, implemento tecniche per prevenire lo spam che comprendono:

  • L’utilizzo di form per l’invio di e-mail dal sito con l’adozione di un CAPTCHA, senza mettere il link diretto alla mail del cliente.
  • Configurazione dell’email del cliente per la corretta impostazione dei filtri antispam.

Per quanto riguarda la protezione da malware mi occupo di effettuare periodicamente:

  • L’aggiornamento della versione di WordPress.
  • L’aggiornamento del tema.
  • L’aggiornamento dei plugin.

Tutti i siti, inoltre, sono dotati del protocollo di sicurezza HTTPS, e mi assicuro che sia attivato il backup automatico dei file e del database.

Categories: