Chi naviga in rete, lascia sempre delle tracce. Anche la condivisione di informazioni riguardo a età, musica preferita, marche gradite e quant’altro lascia un’impronta gigantesca, che si traduce in dati forniti su base quotidiana ai giganti della Silicon Valley. Nell’informativa sulla privacy di Facebook (sottoposta a modifiche dall’entrata in vigore del RGPD e dagli ultimi avvenimenti) vi era scritto che Facebook non possiede solamente i diritti di tutte le immagini che pubblicate sulla sua piattaforma, ma anche dei dati di profilo pubblici; praticamente un dossier digitale, che può vendere ai propri partner.
Molti utenti non percepiscono questo come un problema: anzi si stima che circa un quarto degli utenti si rallegri dell’elaborazione dei dati personali per fini pubblicitari, che si traduce in pubblicità personalizzata, poiché queste rendono la ricerca dei beni di consumo sempre più facile.
Tuttavia tutti dovrebbero essere a conoscenza del fatto che l’archiviazione e la vendita dei propri dati comporta sempre il rischio (elevato) che quegli stessi dati finiscano nelle mani di criminali. Tra l’altro gli utenti spesso non hanno idea e men che meno controllo sulla circolazione dei propri dati in rete. Anche il semplice download di un’app garantisce spesso il diritto (senza che magari ci se ne renda conto) di tracciare dati di contatto e dettagli relativi alla connessione Internet. Questi dati fanno particolarmente gola alle aziende, che attraverso la loro vendita possono guadagnare soldi in brevissimo tempo o male che vada utilizzarli per rivolgersi agli utenti in maniera mirata con la pubblicità.
La pubblicità personalizzata è tra l’altro un utilizzo relativamente innocuo dei dati personalizzati: quando i cosiddetti social engineer hanno i vostri dati a propria disposizione, infatti, il pericolo è ben maggiore; essi sono infatti i truffatori della nuova era: i social engineer illudono le proprie vittime di essere in grado di mettere mano ai loro dati o ai loro risparmi. I metodi più utilizzati sono quelli di impadronirsi di una falsa identità così da ottenere la fiducia delle proprie vittime con l’inganno. Spesso si presentano come appartenenti a qualche tipo di autorità (ad esempio da incaricati della banca o da membri delle forze dell’ordine) o si spacciano per amici o parenti, hackerando un profilo e scrivendo ai suoi contatti.
Una variante speciale del social engineering è il baiting (letteralmente adescare): il provider richiede i vostri dati di login della casella di posta elettronica in cambio di fantomatici download gratuiti di file di vario tipo, ottenendo così accesso al vostro account. Quid Pro Quo è un metodo con il quale i truffatori danno a intendere di offrire determinate prestazioni di servizi o informazioni, se l’utente segue le loro istruzioni o se fornisce accesso a dei dati tecnici.
Un esempio: il truffatore si finge un’azienda del settore dell’IT che offre una soluzione veloce per falle ricorrenti di un dato sistema; richiede allora alla vittima del caso di disattivare il firewall e di installare un aggiornamento. Questo update si rivela successivamente un virus o uno spyware.
Gli attacchi di phishing puntano invece sulla paura e sulla fiducia che la gente ripone nelle autorità. Ad esempio, per quel che riguarda la forma e il testo, molte e-mail di phishing sono ispirate a quelle di banche o aziende di servizi rinomate. Inoltre presentano collegamenti a siti web che assomigliano a quelli delle istituzioni di cui dicono di fare parte. Se la vittima fornisce i propri dati, questi vengono inoltrati direttamente ai cyber criminali. Un’altra possibilità è quella del furto d’identità, nel qual caso i malfattori si servono dei vostri dati personali per fare acquisti o commettere reati.