Quando si pensa ad un hacker spesso si rischia di pensare male: si associa, infatti, questo termine a un esperto informatico che opera solo per danneggiare reti, computer o effettua un’attività criminale sfruttando la sua conoscenza del mondo informatico.
Un’associazione naturale visto che ogni giorno nuove minacce informatiche si presentano in rete di cui i media danno prontamente notizia. E considerando che sempre più spesso (anche grazie al GDPR) utenti e aziende ne subiscono i danni. Siamo tutti terrorizzati dagli hacker, ma tranquilli… ci sono anche quelli buoni.
Chi sono e cosa fanno gli hacker etici
Parliamo degli hacker etici, figure altamente professionali che mettono a disposizione le loro competenze per scopi leciti e che risolvono problemi di sicurezza informatica impedendo, ad esempio, l’accesso non autorizzato di malintenzionati alle reti informatiche. O, ancora, mostrano falle di sistemi o di software sia in modo preventivo sia a seguito di un attacco.
A livello internazionale si chiamano anche “white hat”, e sebbene facciano uso delle stesse competenze dei “black hat” (cioè gli hacker cattivi), a livello morale ed etico sono invece utili per le aziende. Svolgono infatti un vero e proprio “servizio di consulenza di Ricerca e Sviluppo” per scovare o mettere in luce eventuali falle nei loro sistemi di rete e programmi.
Come nasce un hacker e come si diventa hacker etici?
Come si diventa hacker etici? Lo abbiamo chiesto a un caro amico di Travel for business: Raoul Chiesa, un vero globetrotter poiché appassionato di viaggi di piacere, ma ancor di più un grande viaggiatore d’affari poiché i suoi clienti e i casi da risolvere sono ovunque, in tutto il mondo.
Torinese di nascita e romano d’adozione, è tra i massimi esperti mondiali della Sicurezza Informatica.
A cavallo degli anni ’80 e ’90 è stato uno dei primi hacker italiani e a 13 anni, con il nickname Nobody, era già noto per le sue eclatanti intrusioni nei sistemi informativi di aziende e organizzazioni del settore finanziario, governativo e militare.
“Ero più che un adolescente e passavo spesso le mie giornate in casa attaccato ad un computer” inzia a raccontarci. “Niente a che vedere con gli strumenti informatici che oggi sono disponibili, ma con quei piccoli attrezzi facevo prodezze per quell’epoca. Mi ricordo che mia mamma era imbufalita perché ricevevamo bollette del telefono fantasmagoriche per quei tempi. Poi ho scoperto il Blue-Boxing, le reti X.25 e le primissime chat hacker, come QSD, Pegasus ed Altos, ed ho iniziato a scambiare messaggi: il giorno non era più giorno poiché trascorrevo le mie notti in rete con un gruppo di ragazzi sparsi in giro per il mondo, veri e propri pionieri dell’Era Digitale in cui oggi tutti noi viviamo”. Raoul passava ore interminabili a comunicare “e a fare scherzi nelle nostre camerette, dipinte di colori vivaci e ricoperte da poster adolescenziali, senza sapere i veri rischi che correvamo o potevamo provocare”.
Il resto cerchiamo di scoprirlo in questa intervista.
Com’era la situazione in Italia a quei tempi?
“In Italia si era sviluppato un gruppetto di una trentina di persone che si “divertiva” goliardicamente a bucare i server (mainframe, ovverosia “grossi server” della IBM, i primi sistemi UNIX ed i mitici VAX/VMS della Digital Equipment Corporation: i “mostri” esistenti a quei tempi, insomma) delle poche, grandi aziende connesse alle prime reti di telecomunicazioni (“X.25” o “reti a commutazione di pacchetto”, in Italia ITAPAC: una sorta di “papà di Internet, per capirci) ed a mostrare le enormi falle di questi sistemi e delle loro configurazioni, effettuate da system administrator decisamente incapaci e molto naive.
Non avevamo intenti criminali: per noi era un mix tra sfida e puro divertimento e ci sentivamo “grandi” e potenti. Non esisteva il cosiddetto ‘Cyber-crime’, è molto importante dirlo, ma allo stesso modo, non esistevano neanche le leggi sul computer crime, che tra l’altro in Italia sono state create tra il 1993 ed il 1995, proprio ‘a causa’ o grazie al sottoscritto ed ai miei compagni di innocenti scorribande telematiche”.
Quali sono stati i casi più noti?
“Sicuramente la mia intrusione in una delle aziende di telecomunicazioni più importanti americane: la General Telephone and Electronics (GTE), MCI e Sprint Telecomunication, a cui poi seguì quello che ritengo il mio maggior “successo da hacker”: avere ottenuto il pieno accesso root, in tutto il mondo, ai sistemi server custodi dei segreti più intimi della AT&T, la principale e più grande azienda di telecomunicazioni al mondo.
In Italia invece divenni ‘famoso’ quando entrai, anche in quel caso solo per osservare, nel server di posta elettronica della Banca d’Italia, nell’ottobre del 1995. Fu un gioco da ragazzi in tutti i sensi, perché con un semplice comando con il mio misero computer casalingo, un Commodore Amiga 2000, riuscii ad entrare nel sistema della nostra banca nazionale che non aveva assolutamente, a quei tempi, protezioni adeguate.
E cosa successe?
“All’epoca avevo 22 anni, ma mi trovai di fronte la SCO (Sezione Centrale Operativa della Polizia di Stato) e mi rintanarono a casa per un bel po’, mentre dagli Stati Uniti d’America l’FBI chiese la mia estradizione, per fortuna rifiutata dal governo italiano. Così mi raccontarono la dottoressa Maria Cristina Ascenzi ed il PM, dottor Pietro Saviotti in persona, con i quali tra l’altro si creò immediatamente un bellissimo rapporto, quasi fossero la prima una sorta di seconda mamma, ed il secondo un papà adottivo.
Ero frastornato e molto spaventato per la mia bravata, davvero non credevo di essere così speciale: per me chattare ogni notte con persone del calibro di Kevin “The Condor” Mitnick, Kevin Poulsen, Venix (la futura Trinity di Matrix) e così via era una cosa assolutamente normale, capisci?
Ma a quell’età non sai bene come tutelarti o tanto meno difenderti: le leggi in materia erano talmente scarse che mi presi la mia bell’accusa di “associazione a delinquere”, quando con la maggior parte degli hacker presi durante l’operazione che mi vide protagonista assoluto, neanche ci conoscevamo di persona”.
Questa vicenda ha cambiato la tua vita? In che modo?
“Avevo ‘bucato’ sistemi che avrebbero dovuto essere protetti. Sebbene non avessi compiuto un atto criminale con lo scopo di recare danno, tanto meno non avevo fatto male a nessuno, ero stato punito perché qualcuno non aveva fatto bene il suo mestiere all’interno delle aziende e delle istituzioni.
Dopo un po’ di tempo il mio nome, ormai noto all’opinione pubblica, inizia a farsi strada nel campo delle aziende e delle organizzazioni e nel lontano 1996 decido di dedicarmi alla Sicurezza Informatica, in modo professionale ed etico. Ora sono in questo settore, il meraviglioso mondo della sicurezza delle informazioni e dei dati, da più di 22 anni…. che nel mio lavoro potrebbero bene o male corrispondere a quasi ad un’era geologica!
Tornando alla mia storia ed a quel bruttissimo inverno alla fine del 1995, spinto dalla bomba mediatica che, da quel momento in poi, divenne per me una vera e propria azione di marketing inconsapevole, iniziarono le apparizioni televisive – dal Costanzo Show ai diversi speciali sulla RAI – e le prime interviste, de La Stampa a Panorama Web, appena ideato proprio in quel periodo dall’amica Anna Masera, oggi ufficio stampa al Parlamento italiano.
Oggi collaboro con i più importanti progetti di Security nazionali ed internazionali, sono stato il primo esperto italiano a essere selezionato come membro del PSG (Permanent Stakeholders Group) dalla agenzia ENISA, la European Union Network & Information Security Agency, dove sono rimasto per ben due mandati: successivamente altri mi hanno seguito, ma essere stato il primo ha un senso molto, molto particolare, come dice anche il proverbio.
Inoltre, dal 2002 sono consulente esterno sul Cybercrime e l’Hackers Profiling presso l’UNICRI (United Nations Interregional Crime and Justice Research Institute) e dell’ITU (International Telecomunication Union, un’altra agenzia dell’ONU) e soprattutto l’ideatore del progetto “HPP”, l’Hackers Profiling Project, ovverosia l’aver applicato per primo al mondo la scienza del Criminal Profiling al mondo dell’Hacking. Uno dei libri che ho scritto su questo argomento è presente nella libreria dell’FBI a Quantico, in Virginia, e la materia è oggetto di studio degli Special Agent che si occupano di Cybercrime”.
Insomma, una bella soddisfazione per un ragazzino italiano molto curioso e partito da Torino… Ma come è avvenuta la tua trasformazione?
“Trasformare la propria reputazione, attraverso un’evoluzione sia professionale che personale, è stata la mia mission, e oggi posso dire di essermi guadagnato il rispetto sul campo a tutti i livelli. Amo leggere tantissimo ed informarmi costantemente, consapevole che il mondo dove opero muta alla velocità della luce e solo appassionati come me possono reggere tali ritmi.
Parlando di viaggi… nel momento in cui ti scrivo sono in volo da Hong Kong a Kota Bharu, via Kuala Lumpur, e poi Tok Bali. Più della metà dei miei 40 chili di valigia sono a causa di libri, dato che girerò moltissime isole insieme alla mia compagna di vita, dalle Perenthian a Pulau Kapas, passando per Pulau Gemia, Pulau Redang e Pulau Tengah. Farò tutto questo in un mix di voli low-cost Air Asia, traghetti, barche tipiche locali, barchette di pescatori e tanti chilometri su strada (con la mitica Proton malesiana!) scendendo da Kota Bharu giu’ fino a Mersing, passando per Merang e Marang.
Tornando a noi, forte della mia vicenda personale, mi dedico costantemente a fare cultura sul tema, ad educare i più giovani e ad insegnare, sempre e costantemente, quando il “tempo libero” me lo permettono dalle scuole elementari ai licei e gli ITIS, passando per corsi di laurea e master universitari, in Italia ed all’estero.
Hai parlato di libri: quali sono?
“I miei libri: I sistemi di controllo globale: un’analisi approfondita dei casi Echelon ed Enfopol”, “La storia di Otto Sync e White Knight” (Apogeo, 2000) e “Profilo Hacker” (Apogeo, 2007), Linux Hacking Exposed: ISECOM Edition, “Profiling Hackers (CRC Press/Wiley, 2009), “11 Settembre 2021” (Franco Angeli, 2012). Questo solo per citarne alcuni: sono testi che spesso vengono utilizzati anche in ambito scolastico, ma anche letture fantastiche come “Kingpin” (Hoepli, 2014), o i due libri di Kevin Mitnick per Feltrinelli (“L’arte dell’Hacking” e L’Arte dell’inganno”), dove fui chiamato per curare l’edizione italiana”.
Quanto sei attivo sulla formazione per i più piccoli?
“Da un po’ di tempo collaboro con dei Campus per la realizzazione di percorsi di formazione e conoscenza anche per i più piccoli. Questa è la parte che mi appassiona di più: proteggere i ragazzi dai gravi rischi che la rete può provocare.. Inoltre, punto a dare una mano concreta alla sconfitta del cyber bullismo: evitare che i bulletti cyber di oggi diventino i cyber stalker di domani che, come purtroppo leggiamo sempre più spesso nelle cronache nere, sovente arrivano ad ammazzare la propria compagna o il proprio compagno. Sono argomenti davvero importantissimi, e bisogna quindi fermare con ogni mezzo possibile l’Hate Speech e la violenza in Rete: ritengo ce ne sia già abbastanza nella vita (Reale) di ogni giorno, non credi?”.
Oggi ci sono tante serie televisive dedicate ai crimini più comuni. Hai mai pensato di collaborare alla creazione di una serie televisiva dedicata ai crimini informatici?
“Sino a poco tempo fa pensavo ‘Sarebbe bello, chissà che non si possa mettere in cantiere’. Oggi invece posso dire, a te ed ai tuoi lettori che… ci sto lavorando su! Essendo un iperattivo, in realtà sto lavorando parallelamente a tre progetti differenti: due serie TV di taglio e respiro internazionale, sulle quali non posso dire o accennare in alcun modo (ma avrete belle sorprese, credetemi 😉 ed una trasmissione TV (per l’Italia). D’altronde anche la televisione nasce come un mezzo per fare cultura, a tutti i livelli e per tutte le età, e le serie TV odierne, così come le piattaforme di video streaming, aiutano ed amplificano di molto il messaggio.
La ‘signora Maria’ a casa potrebbe conoscere meglio le insidie di un semplice telefonino o della sua Smart TV, ma anche dei sistemi domotici che usa per controllare i figli piccoli, e magari sapere come proteggersi da quelli che sono i nuovi criminali… i quali, purtroppo, utilizzano sempre di più modelli di frode massivi, che quindi colpiscono indistintamente qualunque classe sociale ed economica”.
Torniamo a noi, Raoul. Hai più volte parlato dei rischi informatici nel settore del turismo. Ci hai rilasciato delle interviste esclusive (vedi il caso di Dubai) o dato i tuoi preziosi suggerimenti e tips per un viaggio d’affari in totale sicurezza.
Oggi vorremmo chiederti qualcosa di più sul tema delle carte di credito come sistema di pagamento dei viaggi acquistati in rete o in agenzia viaggi.
“Bisogna subito dire che oggi è cambiato totalmente il modo di attaccare il settore Finance. Mentre in passato le organizzazioni criminali di hacker si concentravano sui sistemi mainframe o con violazioni che aggiravano i sistemi di difesa perimetrale come Firewall, xIDS, ecc., oggi il rischio maggiore si concentra sulle violazioni dei TTP (third-trusted party) come ad esempio i Card Processing Center. Dall’altro lato, i cattivi hanno capito che, se lo stesso istituto bancario mette “al centro” l’utente – inteso come correntista e cliente della banca – allora anche loro mettono l’ignara vittima al centro del loro modello criminoso, utilizzando qualunque tecnica possibile e non mancano mai di una “creatività criminosa” che rasenta l’impossibile.
Quindi, a rischiare di più è l’utente finale, poiché i dispositivi quali POS e Totem di pagamento sono sempre più compromessi e le carte di credito davvero poco sicure.
Proprio qualche mese fa, verso la fine di del mese di luglio, un ethical hacker italiano ha segnalato una gravissima vulnerabilità al Gruppo Poste Italiane, causata da falle di sicurezza nei totem informativi presenti negli uffici postali. Grazie alla logica del “Responsable Disclosure”, ed alla proattivita’ e pronta risposta del CERT di Poste, il security team è intervenuto subito.
Diversamente, le conseguenze avrebbero potuto essere alquanto devastanti.
Restando sull’argomento “Totem”, mi spiace ripeterlo ma iniziai a lanciare l’allarme sui Totem multimediali/informativi già nel lontano (lontanissimo!) 2012… a distanza di sei anni non è successo NULLA in quel settore (intendo da parte dei produttori e costruttori di Totem) e nuovamente ci vanno Hacker etici per far si’ che ci si accorga dei problemi!
La stessa cosa, purtroppo, continua a succedere con i Bancomat (magari ve ne parlerò in una prossima intervista), con le carte di credito NFC, con i badge “di prossimità (RFID), con gli ascensori – negli hotel, e non solo -, con le chiavi di accesso alle stanze degli alberghi, con le automobili di ultima generazione… insomma, è davvero ora che ci diamo una svegliata, o andremo a farci molo, molto male”.
Quanto questo impatta il settore del turismo?
“Questo è ancor più vero proprio nel settore del turismo, perché ovunque troviamo delle casse automatiche per fare il biglietto: in stazione, nei parcheggi, in metropolitana, ma anche in alberghi o molti centri congresso ed ovviamente i centri commerciali. MI risulta che a tutt’oggi, agli arrivi di un aeroporto in Sardegna, vi sia un totem-cassa con malware a bordo, il che molto semplicemente significa che chiunque inserisca una carta di credito in quel totem, prima o poi se la troverà clonata e, probabilmente, svuotata.
Se pensiamo che per gestire questi sistemi si utilizza alla fin fine la rete Internet (ma qualcuno vi dirà che “è sotto MPLS, quindi è sicuro, non preoccupatevi”) è facile comprendere come questi sistemi siano facilmente attaccabili, abusabili, e quindi intercettabili. E non solo: è molto debole il design e l’approccio di sicurezza che, invece, dovrebbe garantire la massima protezione all’utente finale.
Un tema che però non riguarda solo le “macchinette” erogatrici di biglietti ma anche, come detto poc’anzi, i centri commerciali, piuttosto che i POS delle agenzie di viaggio o degli stessi tour operator, che sono decisamente a rischio”.
Esistono delle garanzie minime?
“I terminali, come detto, sono tutti a gestione remota e gli stessi addetti del servizio, a volte, pongono scarsa attenzione agli aspetti della sicurezza. A questo si deve aggiungere il modo dinamico in cui si sono evoluti i sistemi di pagamento on-line e che oggi riguardano anche le modalità di pagamento tramite cellulare.
Tuttavia, ci sono dei requisiti minimi di gestione on-line delle carte di credito. In primis si fa riferimento allo standard internazionale ISO 27001, che stabilisce i requisiti per la creazione di un sistema di gestione della sicurezza delle informazioni. L’unico neo è che è una norma non obbligatoria e spesso solo le grandi organizzazioni riescono ad applicarla.
L’altro requisito di sicurezza è invece il PCI-DSS che è uno standard obbligatorio per tutte quelle società che elaborano, archiviano o trasmettono i dati delle carte di credito. Il limite di sicurezza sta nel fatto che a seconda delle dimensioni dell’azienda o del volume “transato”, i requisiti possono essere diversi.
Il problema sta comunque sempre sul livello di protezione. Si legga ad esempio i risultati del Rapporto sulla sicurezza dei pagamenti di Verizon 2017 che mostra un legame tra le organizzazioni che rispettano lo standard e la loro capacità di difendersi dagli attacchi informatici. Secondo il rapporto, la metà dei dettaglianti, dei ristoranti, degli alberghi e di altre aziende che accettano i pagamenti con carta hanno difficoltà a mantenere le conformità per garantire la sicurezza agli utenti. L’industria dell’ospitalità cuba al 15 % e quindi, ancora una volta, il tema del turismo diventa un obiettivo da tenere sotto controllo”.
Ma chi deve difendere l’utente e la sua carta di credito?
“L’utente va tutelato soprattutto fuori dalle mura di un istituto bancario o finanziario. E questo si può fare solo se l’azienda si dota di servizi di Cyber Intelligence. Ad esempio, la mia società può mettere a disposizione uno strumento molto semplice dove veniamo avvisati in tempo reale nel caso ci sia un reboot (riavvio) del POS, o un cambio del firmware.
Possiamo così avvisare subito l’hotel e fare i controlli del caso o recuperare l’eventuale danno. Ma questo lo possiamo fare quando l’hotel è dotato anch’esso di un IT Manager o di un Security Manager: purtroppo solo poche grandi catene alberghiere in Italia dispongono di questa figura professionale. E i rischi per gli utenti sono elevati…e anche salati”.
Quali sono i casi più eclatanti nel settore turismo di frodi di questo tipo?
“Casi, purtroppo, ce ne sono tutti i giorni, più o meno gravi. Mi ricordo quello della catena dell’Hayatt dove gli ospiti si sono visti addebitare “film hard” al termine del loro soggiorno, oppure quello del gruppo InterContinental Hotels, che comprende i marchi Holiday Inn e Crowne Plaza, dove più di 1.200 hotel sono stati infettati da un malware che ha rubato dati di addebito e carta di credito tra il 29 settembre 2016 e il 29 dicembre 2016 (riportato anche da USAtoday).
Ma ci sono casi ancora più recenti come quello del sito di prenotazione viaggi Orbitz (società affiliata ad Expedia) che il primo di marzo di quest’anno si è accorta di aver subito una violazione dei dati che ha interessato 880.000 carte di pagamento. Il problema ha avuto un particolare eco poiché oltre a questi dati sono stati sottratti anche informazioni personali degli utenti come date di nascita, numeri di telefono, indirizzi e-mail, e altri dati personali.
In Italia il cosiddetto “Caso Alpitour” è stato il primo in assoluto nel nostro Belpaese, e purtroppo ha messo alla luce un approccio totalmente errato, addirittura superficiale, all’argomento Cybersecurity nel settore dei Tour Operator nazionali.
I Social Manager di oggi che operano nel settore del Turismo (ma non solo loro!) dovrebbero studiare ed aggiornarsi verso argomenti quali la Gestione Cyber-Crisi, la Business Continuity ed il Disaster Recovery (in Italia abbiamo l’onore la fortuna di avere una Gianna Detoni, una dei maggiori esperti a livello mondiale su questi due temi), i modelli di business ed operativi propri del Cybercrime.
Ma dovrebbero anche comprendere, una volta per tutte, che i vari “Vulnerability Assessment” con cui vengono rassicurati dai colleghi dell’IT e della Security Aziendale perdono il tempo che trovano, ed anzi spesso non solo sono soldi buttati via, ma arrivano ad essere una sorta di falsa panacea.
Meglio investire quelle due volte l’anno, con un budget certo più alto, ma che porta immediati ritorni ed una chiara visione delle proprie falle informatiche, in servizi professionali di Penetration Testing, come per altro anche la recente norma europea sul GDPR dice chiaramente”.
Oggi si sente parlare sempre più di pagamenti in modalità contactless. Cosa puoi dirci a riguardo e quali sono le nuove minacce?
“Una vera e propria beffa all’avanguardia! La fretta di introdurre i sistemi NFC, che permettono di pagare con lo smartphone nei negozi e negli hotel o nei vari servizi per il turismo, ha aperto una enorme falla di sicurezza: i dati non vengono crittografati e, quindi, si possono rubare.
In Italia il fenomeno sembra ancora non esploso o forse c’è ancora una sottovalutazione del problema. In realtà, proprio grazie alla spinta data dal marketing e dalle promozioni per invogliare l’utente a pagare con la carta NFC, si possono disegnare scenari criminosi di «Mass-Carding» e conseguente industrializzazione del cash-out.
D’altronde, basta leggere un libro come «Kingpin» (Kevin Poulsen, Hoepli editore) per rendersi conto di come i modelli «classici» di cash-out si applichino perfettamente anche ai «dump» di carte NFC-based, senza dover compromettere il lettore NFC (POS, etc.)”.
Ma come funziona questa truffa informatica sulle carte di credito contactless?
“Questo video va vedere in breve il funzionamento criminoso di questa pratica: l’hacker ha in dotazione un set up di mini -PC con batteria a lunga durata e/o alimentazione diretta, celato nelle vicinanze dei target NFC.
I Target NFC sono le famose biglietteria automatiche NFC/contactless, POS NFC presenti in luoghi ad alta frequentazione tipo Centri Commerciali, i grandi servizi di ristorazione nelle autostrade, i luoghi più frequentati come le grandi catene di fast food o librerie e così via.
Il malvivente effettua una pratica che si chiama “Exploitation” che consiste nel collecting automatico e massivo di PAN da carte di credito/debito NFC, anche se non utilizzate per il pagamento dei servizi.
A questo punto l’organizzazione criminale, ottenendo i codici PAN (il numero della carta di credito, per capirci) ed il Nome e Cognome dell’utente, effettua acquisti on-line di beni e servizi (spesso per acquisti di questo tipo non è neanche richiesto il codice CVV) e rivende anche i dati sul mercato nero, che e’ molto piu’ grande di quanto possa pensare la gente”.
Quanto costano sul mercato nero questi dati?
“Solitamente per una sola carta di credito il costo si aggira intorno ai 10 euro. Cosa diversa se vengono venduti pacchetti di dati, all’ingrosso diciamo: il costo non supera i 2-3 euro, ma più sale il volume delle carte, più scende il prezzo della singola carta (“plastica”, in gergo), che può arrivare anche a 50 centesimo di euro. Sembrano cifre ridicole…ma considerate sui grandi numeri stiamo parlando di un giro di milioni di euro all’anno”.
Raoul, per i pagamenti fuori sede, quali sono le best practice che i viaggiatori d’affari dovrebbero seguire quando si spostano per lavoro?
“Guarda, in questo mese e mezzo in Asia-Pacifico, girando tra hotel, resort, guest house e così via, ne ho davvero viste di tutti i colori!
Il primo consiglio, spassionato, non riguarda tanto la sicurezza, quanto i costi di roaming, specialmente quando si viaggia extra-Europa: compratevi una “saponetta” (un hotspot portatile) e una scheda SIM locale. Questa può essere sia voce (così quando vi serve la spostate dalla saponetta al cellulare, magari uno di scorta, tipo “muletto”: va benissimo il vecchio cellulare che non usate più da qualche anno) che dati, oppure “solo dati” se vi serve usarci esclusivamente Internet e fare chiamate con WhatsApp, Telegram ecc.
In questo modo otterrete un secondo valore aggiunto, oltre ad evitare brutte sorprese sulla bolletta del vostro operatore mobile: non vi esporrete a quei tipici rischi propri del collegarsi agli hotspot pubblici o gratuiti (tipo McDonald’s o Starbucks, per capirci), né tantomeno ai “finti” free hotspot, che è poi una delle tecniche più utilizzate dai cyber criminali per rubarvi dati ed informazioni.
Inoltre, così facendo evitate anche di collegarvi a reti Wi-Fi di hotel che sono stati bucati – e che certamente neanche lo sanno – o di trovarvi inconsapevolmente obiettivi di campagne mirate di spionaggio industriale e di Cyber Espionage, che è molto più diffuso di quanto si possa credere.
Infine, le carte di credito. Portate con voi la vostra Visa, MasterCard o American Express (quest’ultima ha il miglior servizio antifrode del mondo, ve lo garantisco!), però acquistate anche, prima di partire, una carta ricaricabile, e caricateci sopra il minimo, tipo 100 o 200 euro, così da limitare il danno nel caso siate vittime di carding“.
E per quanto riguarda gli ATM?
“Ah, già che parliamo di “plastiche”, occhio ai prelievi negli ATM (i Bancomat, come li chiamiamo in Italia): verificate sempre che l’ATM sia uno vero e non finto (sì… succede anche questo, l’ho visto con i miei occhi), e soprattutto toccate sempre e fate un po’ di forza sul lettore del bancomat, per capirci quel pezzo di plastica, a volte colorato (verde, blu, rosso, a seconda della banca e del Paese dove vi trovate) dove inserite la scheda bancomat”.
Ti è piaciuta questa intervista? Vuoi leggerne altre? Fuarda il nostro speciale Travel Risk Management.
