LinkedIn e sicurezza informatica: l’intervista a Giancarlo Calzetta

In Rete circola da tempo un acronimo divertente, PEBKAC: “Problem Exists Between Keyboard And Chair”, ossia “Il problema sta fra tastiera e sedia“. Quando si parla di problemi legati alla sicurezza, nove volte su dieci l’anello debole siamo noi. Anche sui social, anche su LinkedIn.
Ho contattato uno dei più grandi esperti di cybersecurity italiani: Giancarlo Calzetta, direttore editoriale di Security Info (www.securityinfo.it) e collaboratore di diverse testate, tradizionali (come Il Sole 24 Ore) e digitali (come Tom’s Hardware).

Gianlcarlo, social e privacy non paiono andare molto d’accordo: come possiamo però giocare in difesa su LinkedIn?

Social Network e privacy non vanno mai d’accordo dal momento che partecipare attivamente a un social network vuol dire mettere in piazza un po’ di fatti propri. Con LinkedIn, se vogliamo, il problema è ancora più importante perché se un utente di Facebook può limitarsi a fare da spettatore, pubblicando nulla di utile sul proprio conto, su LinkedIn ci si iscrive con il preciso intento di farsi trovare e impressionare chi visita il nostro profilo con le nostre competenze e referenze. LinkedIn è una miniera d’oro per i cybercriminali e gli stalker perché tutto quello che pubblichiamo è vero e più accurato possibile. Qualcuno è addirittura tentato di abbellire più del dovuto il proprio profilo pubblicando referenze false, ma così si diventa solo più appetibili per i criminali dal momento che loro sono proprio a caccia di “pesci grossi”.
Inoltre, molte delle informazioni sono direttamente reperibili anche tramite Google e questo significa che il nostro motore di ricerca preferito ha accesso a molte delle informazioni disponibili sui nostri profili. Ricordiamoci che avere una impronta digitale importante è utile per il nostro lavoro, ma ci espone ad attacchi di ogni tipo.

Esiste la possibilità di subire furti di dati o d’identità o truffe, su LinkedIn?

Bisogna vedere cosa si intende per “furti di dati”. Se io attacco un biglietto da visita sopra alla mia porta, posso dire che chi passa può rubarmi i dati? Con LinkedIn funziona più o meno così, ma con una variante importante: gli utenti di LinkedIn vogliono farsi vedere ed espandere il più possibile il proprio network. Così, però, i propri dati vengono sparpagliati per il web e resi disponibili praticamente a tutti.
Tramite una serie di passaggi, un malintenzionato può sfruttare le informazioni trovate su LinkedIn, magari incrociandole con quelle presenti su altri social network, per rubare l’identità di qualcuno e farsi concedere prestiti o, addirittura, concludere delle vendita in nome vostro, intascando il compenso e lasciando l’onere del falso ordine alla società per cui lavora la persona a cui ha rubato l’identità.

Disseminare dati su LinkedIn, inoltre, sta diventando un pericolo anche per gli altri oltre che per se stessi. Per esempio, quando un gruppo di criminali prepara una intrusione informatica, per prima cosa fa un giro su LinkedIn per cercare i fornitori dell’azienda che hanno scelto come bersaglio. Le grandi aziende, infatti, di solito hanno difese ben armate e attaccarle direttamente è molto complesso. I loro fornitori, invece, sono molto meno attenti e rappresentano una porta di ingresso privilegiata verso bersagli complicati.
LinkedIn è anche un vero e proprio paradiso per i venditori di fumo. Chiunque abbia in mente un sistema di marketing piramidale cerca di fare grande uso di questo network per attirare professionisti e utenti attivi in un determinato campo lavorativo. Qui si costruiscono una
“reputazione” di alto livello tramite feedback e raccomandazioni lasciati da complici compiacenti, magari tramite dei falsi profili intestati a personaggi influenti nel settore, e partono proponendo lavori ben retribuiti che fungano da specchietto per le allodole. L’idea è sempre quella di intascare un capitale iniziale per poi sparire nel nulla o abbindolare i malcapitati adducendo scuse o dichiarando (falsi) fallimenti.

Puoi dare una dritta per dormire sonni tranquilli?
No, su Internet non si dorme, altrimenti si cade preda dei malintenzionati. La prima cosa da fare con LinkedIn, ma vale anche per gli altri social, è quella di non aggiungere alla nostra cerchia di
contatti chiunque lo chieda. In primo luogo, i contatti che non conosciamo non portano praticamente mai niente di utile alla nostra professione. In secondo luogo, molti di questi contatti “mai sentiti” sono in realtà profili fasulli creati da chi raccoglie informazioni “a strascico” nella Rete. Evitiamo di fare la fine delle sardine e accettiamo nelle nostre cerchie solo persone fidate. Ricordatevi che se una persona è accettata come contatto conosciuto avrà accesso a tutti i dati che avete condiviso.
In secondo luogo, bisogna sempre tenere gli occhi aperti. Se un collega che ci sembrava d’averci già contattato ci chiede di nuovo di entrare tra i nostri contatti, controlliamo con un messaggio se si tratta davvero di lui. Se non lo è, attenzione: qualcuno ci ha presi di mira e probabilmente sta puntando alla nostra azienda o a qualcuno dei nostri clienti.
Infine, è sempre una buona idea quella di usare un indirizzo email diverso da quello principale per iscriversi a questi servizi. Se vediamo arrivare richieste di lavoro sull’indirizzo usato dai social, solleviamo un sopracciglio e prendiamo il messaggio con le pinze.