Il racconto di un utente derubato nel giro di poche ore. L'esperto: «Ecco le indicazioni per una password a prova di hacker».
BELLINZONA - Le password sono il tallone d’Achille di molte persone. Lo sa bene un nostro lettore che, qualche giorno fa, è stato vittima di una truffa online. «Qualcuno - ci ha scritto - è riuscito a clonare la mia carta di credito attraverso l’app di Paypal». I cibercriminali sono riusciti «a entrare nel mio profilo, inserire una carta di credito clonata associata alla mia e successivamente hanno fatto 17 transazioni di piccoli importi, non superiori a 30 franchi». E ora ha voluto raccontare la spiacevole vicenda per «sensibilizzare la popolazione a fare cambio password puntualmente, proprio per evitare di ritrovarsi in situazioni come la mia».
510 franchi è la cifra totale a cui ammonta il furto messo a segno dai criminali «tra le 22.50 del 26 e le 3 del 27 settembre». Solamente la sua reazione tempestiva è riuscita a prevenire il peggio. «Fortunatamente ero sveglio - prosegue - e sono riuscito ad accorgermi di quanto mi stesse succedendo, grazie alle notifiche dell’app PostFinance». Il nostro lettore è riuscito infatti a «bloccare subito la carta di credito associata al profilo Paypal». L'account del provider è stato poi cancellato dai malintenzionati, impedendogli così di poter contestare e rifiutare questi pagamenti. A nulla è valsa la chiamata in scena dell'istituto bancario: «Ora, mi ritrovo in bilico tra l’istituto della Posta e Paypal. Finché gli accrediti non saranno eseguiti non avrò modo di contestare nulla. Paypal mi dice anche che non appena viene eliminato l’account non si hanno minimamente le possibilità di riaprire l’account e togliere i pagamenti; le loro testuali parole sono state: “Chiudendo l’app i soldi sono partiti ed è impossibile bloccarli”».
Attacco hacker - Come prevenire allora queste situazioni? «Basterebbe aggiornare frequentemente le password», conferma Paolo Lezzi, fondatore e presidente di In The Cyber, azienda attiva a Lugano che si occupa di verificare e ottimizzare la cibersicurezza di aziende e organizzazioni. «A gennaio Paypal aveva reso noto di essere stata soggetta a un attacco hacker: erano stati sottratti i dati di 35 mila account in tutto il mondo. I detentori erano stati avvisati. Bisogna vedere se questa persona rientra tra di loro oppure se hanno trovato le sue credenziali da qualche altra parte». Senza ombra di dubbi sostiene, però, che «Paypal è sicuro, l'azienda ha investito tantissimo su questo fronte».
Conto chiuso, si perdono le informazioni - Spiega poi che «nel momento in cui il conto viene chiuso, vengono perse tutte le informazioni contenute poiché, essendo riservate, vengono eliminate di default. Non è più accessibile né al criminale né all'utente, ma così facendo si cancellano anche le evidenze delle sottrazioni avvenute in modo illecito».
Rubate da qualsiasi sito - «Accade soprattutto quando si usano password semplici o quando sono sempre le stesse per diversi siti, compreso Paypal. È chiaro dunque che se gli hacker intercettano una chiave di accesso della posta elettronica, per esempio, continuano a inserire quella password su tutto quello che trovano in rete sotto lo stesso user. Se è quella giusta, il gioco è fatto e nel giro in pochi minuti».
La password perfetta - Consiglia infine di trattare il servizio Paypal come un vero e proprio conto bancario e di «cambiare frequentemente le chiavi di accesso, in media ogni tre mesi». Devono essere difficili, con numeri, maiuscole, minuscole e caratteri speciali, ma anche di una certa lunghezza, solo così si può rendere più ardua la sottrazione illecita. «Laddove possibile si deve utilizzare l'autenticazione a due fattori, perché dà la possibilità di esercitare un ulteriore controllo. Sono strumenti - conclude - creati per alzare il livello di sicurezza e vanno implementati se si vuole essere protetti».
Le indicazioni della Polizia cantonale«L’acquisizione illecita di dati personali o finanziari e il susseguente illecito utilizzo è frequente. Bisogna tenere conto in particolare che molte persone danneggiate non intendono procedere penalmente e di conseguenza non segnalano alle autorità questi casi». In queste situazioni si deve «bloccare immediatamente la carta di credito e informare dell’accaduto l’istituto di credito, nonché l’Internet service provider (ISP), che in questo caso è PayPal».Può anche essere utile «la segnalazione in Polizia. È però necessario considerare che l’autore/autrice o gli/le autori/autrici, probabilmente, hanno agito dall’estero. Per questo motivo le indagini e la loro identificazione possono risultare più complesse».Per evitare di finire in queste spiacevoli situazioni, le autorità suggeriscono infine di: «Non inviare i propri dati se non si è assolutamente sicuri del mittente; non fare mai acquisti in negozi online sprovvisti di un sistema di pagamento sicuro; aggiornare il sistema operativo e i software dei propri dispositivi; navigare in rete diligentemente, evitando siti equivoci».