Vai de încredere. Chiar și PEC, poșta electronică certificată super-blindată teoretic, poate fi încălcată. Și dacă credem că PEC este punctul de sprijin al identității noastre digitale, trebuie să ne îngrijorăm. Trebuie și putem lua măsuri. Prin implementarea unei strategii de apărare care, totuși, trebuie să țină cont de toate mijloacele electronice care gravitează în jurul PEC-ului nostru.
Scenariul este îngrijorător și atacurile se înmulțesc
SPID, Cartea electronică de identitate (CIE) și PEC trebuiau să fie combinația câștigătoare a viitorului nostru digital. Sau mai bine zis al nostru Acasă digitală, în condițiile în care SPID și CIE (în viitor doar acestea din urmă, în planurile Guvernului în funcție) servesc la recunoașterea noastră și validarea oficială a accesului nostru la portalurile administrației publice și nu numai, în timp ce PEC-ul este containerul telematic în care putem face schimb. informații și documente într-o manieră teoretic sigur și blindate.
Totul pe computer (sau telefon mobil, sau tabletă), fără călătorii, fără cozi, securitate maximă și totul disponibil imediat. Este adevărat, este viitorul. Dar prezentul ne obligă la a rodaj problematic. Obiceiurile noastre trebuie să se adapteze, să se schimbe, să se modernizeze. Dar tehnologiile și Web-ul au fantomele lor. Și calea deraiează uneori. Hackeri, spioni, hoți de date, identități și – dacă le place – bunurile noastre. Vestea este plină de ei. Faptul este că casa noastră digitală este la risc.
Vestea este proaspătă din presă și de pe web că în ultimele zile mulți utilizatori italieni de Spid au fost încălcați de hackeri, care din fericire au reușit doar să fure date (oricât de sensibile) asupra proprietarilor și nu acreditările de acces. Cu toate acestea, acreditările sunt protejate în mod obligatoriu pentru toată lumea de către un sistem validare cu doi factori prin intermediul smartphone-ului nostru acum inseparabil. Și numai pe asta, special validat pentru aceste operațiuni.
Pentru PEC treaba este diferită, mai delicată, chiar mai insidioasă. Din două motive. Primul: utilizatorii obișnuiți de PEC acum în vigoare de mulți ani sunt încă încredințați în majoritatea cazurilor unui sistem de validare cu un singur pas, care acum trebuie luat în considerare rudimentar, sau pur și simplu tastând numele de utilizator și parola. Al doilea motiv: PEC este expus, în ciuda a câteva bariere, la multe dintre relele e-mailului obișnuit.
Ceea ce trimitem din PEC-ul nostru activat în mod regulat este strict certificat ca „echivalent” cu conținutul unei scrisori recomandate? Da, ceea ce primim este la fel de bun? Da, dar numai dacă știm să verificăm cu atenție regularitatea certificărilor legate de mesaj și documentația de intrare aferentă. Pare contraintuitiv, dar este adevărat.
De ce și cum, e-mailul certificat poate conține înșelăciune
Phishing (încercarea înșelătoriei de a fura date sensibile sau, mai rău, de a deturna practici comerciale frauduloase), viruși informatici (deseori pentru a obține ceea ce se încearcă să fure prin phishing), totul pentru a implementa poate real furtul de identitate pentru alte fraude și mai grave. PEC nu poate fi considerat nevătămat. De fapt, poate suferi de aceleași rele care afectează e-mailul obișnuit. Pentru că este poate un e-mail obișnuit deghizat în PEC care ne este prezentat ca atare în adresa noastră PEC, sau pentru că este de fapt un PEC care, totuși, a fost activat în mod fraudulos: se întâmplă și asta.
În primul caz, înșelăciunea exploatează posibilitatea ca PEC-ul nostru să nu se limiteze doar la primirea altor PEC-uri, ci să fie deschis și la primirea de mesaje de e-mail obișnuite: o opțiune care există practic în toate serviciile PEC, cu posibilitatea de a alege unul sau altul. În al doilea caz obligighi a furniza datele esențiale ale deținătorului PEC la activarea serviciului poate să nu fie atât de riguros pe cât ar fi obligatoriu în ciuda procedurilor de certificare ale furnizorilor. Și aici, un hoț de identitate priceput poate reuși să activeze o cutie poștală PEC aparent normală, poate în numele unui cetățean nebănuitor, folosind-o în scopuri frauduloase.
Pentru a da doar un exemplu, mesajele deghizate în e-mailuri certificate sunt acum ciclice în numele Agenţiei de Venituri ei cer să plătească într-un cont fraudulos, poate unul de unică folosință situat în străinătate (atenție în acest caz la IBAN-ul non-italian) în majoritatea cazurilor sume relativ mici, de genul pentru a ne determina să plătim imediat „ca să nu ne gândim la mai ea”.
Nu întâmplător noile proceduri de realizare a PEC „european”., adică conformă cu regulile comunitare și interoperabilă, permițând astfel schimbul de mesaje de e-mail certificate în toată Europa, oferă măsuri de securitate mult mai riguroase și suplimentare decât cele ale e-mailului certificat normal.
Pentru ca PEC-ul nostru să fie european, autentificarea în doi factori devine obligatorie cu o nouă recunoaștere riguroasă a identității proprietarului, cu o procedură de activat prin SPID sau CIE. La fel și în alte țări. Este totul rezolvat? Deloc. Transformarea PEC în „europeană” va fi o realitate obligatoriu doar în următoarele luni iar dacă procedurile italiene pentru „europenizarea” PEC-ului par suficient de riguroase, suntem siguri că așa va fi în multitudinea altor țări? Rămâne apoi problema primirii de e-mailuri normale poate deghizate în e-mailuri certificate în antet, cu falsificare care poate fi evidentă pentru un ochi expert, dar care poate fi ratată de cei mai puțin atenți.
Cum să ridicăm barierele corespondenței noastre certificate
O bună strategie de apărare PEC implică o serie de acțiuni combinate, pentru a adăuga la precauțiile acum ciudate pentru pentru a proteja navigarea noastră pe Internet și e-mailurile noastre pornesc piratii informaticieni.
În primul rând dezactivăm în configurația căsuței noastre poștale PEC primirea mesajelor de e-mail obișnuite. Este adevărat că toate serviciile PEC italiene oferă un mesaj de alertă specific dacă e-mailul primit nu provine în sine de la un PEC, dar în confuzia mesajelor primite problema poate fi trecută cu vederea. Renunțarea la primirea de e-mailuri obișnuite este cea mai bună soluție. Pe de altă parte, la ce folosește primirea unui e-mail obișnuit pe PEC atunci când avem una sau mai multe adrese de e-mail „normale” pe care le oferim tuturor interlocutorilor noștri? PEC-ul este folosit pentru mesaje oarecum „oficiale” și cel mai bine este să-i limitezi utilizarea doar la acelea.
În primul rând, să recunoască posibila fraudă a unui PEC aparent autentic să examinăm cu atenție adresa de origine. Dacă avem chiar și cea mai mică suspiciune de neregulă, verificăm mai întâi că este o adresă reală, care corespunde de fapt expeditorului. Pentru a face acest lucru, trimitem la rândul nostru un PEC cu cererea de confirmare la aceeași adresă și așteptăm răspunsul. În acel moment, facem o verificare suplimentară inserând adresa PEC a expeditorului într-un motor de căutare pentru a verifica corespondență reală unui proprietar real (privat, firma, institutie, administratie publica) care desfasoara activitatea cu care se prezinta. Dacă da, facem o verificare încrucișată prin telefon.
Desigur, verificarea noastră providențială este uneori ușoară, alteori mai puțin. O așa-numită amendă de circulație poate să nu fie ușor de investigat, o presupusă falsificare a cererii de plată în numele Agenției de Venituri poate fi dezvăluit cu ușurință: aceasta este o oportunitate bună de a le activa pe a noastră convenabil de pe computer Sertar de taxe, dacă nu am făcut-o deja, urmând unul dintre tutoriale propus de FIRSTonline.
