Pronti per le vacanze? Come proteggersi dai Criminal Hacker

Tutti pronti per le vacanze?

Secondo le stime circa il novanta per cento degli italiani si sta preparando a partire per una destinazione italiana o estera. Il Touring Club Italiano ha confermato che agosto sarà il mese più gettonato, con oltre il 38 per cento delle partenze, mentre a luglio partirà circa il 31 per cento.

Le mete italiane rimangono le preferite con, in testa, Sicilia, Puglia, Trentino Alto-Adige e Sardegna. Quest’anno diminuiranno le vacanze brevi, toccata e fuga. E avremo una media di 12 giorni di vacanza.

Di fatto stiamo tutti aspettando il fatidico giorno della partenza per avere finalmente un po’ di relax.

I Criminal Hacker non sono però fortunati come noi. Questo periodo dell’anno è molto intenso, pieno di attività e soprattutto carico di opportunità che non possono lasciarsi sfuggire.

Loro andranno in vacanza più tardi e, molto probabilmente, con i nostri soldi.

Hotel Hacking: in vacanza con il Criminal Hacker

Dal 2015 le minacce Cybercrime relative al mondo “vacanze” sono in continua crescita.

Uno studio dell’FBI aveva indicato che il numero di attacchi informatici nel 2015 era di circa 4.000 al giorno, praticamente 4 volte in più rispetto al 2014. Con il passare degli anni i casi che riguardano la sicurezza informatica degli Hotel sono aumentati costantemente.

Il motivo?

I Criminal Hacker prendono di mira il mondo hotel e i portali di prenotazione perché dispongono delle nostre informazioni e anche dei numeri delle nostre carte di credito.

Gli hotel di fatto rappresentano un luogo ideale per qualsiasi criminale: tante informazioni di dati, tante transazioni con le carte di credito e pagamento e livelli di sicurezza informatica sicuramente più abbordabili (a volte anche assenti) rispetto ad una banca.

È di qualche settimana fa la notizia che la catena giapponese Prince Hotels è stata hackerata subendo un Data Breach che ha visto coinvolti i dati di oltre 124.000 clienti.

Il mese scorso la notizia più clamorosa è stata l’attacco informatico subito da Fastbooking, una azienda che fornisce la piattaforma di servizi di prenotazioni (cioè fornisce/gestisce il software e il portale che ci permette di effettuare le prenotazioni online direttamente su alcuni siti web degli hotel) e gestisce oltre 1.000 strutture ricettive distribuite su oltre 100 paesi.

Nel 2017, la stessa InterContinental Hotels Group, che gestisce oltre 5.000 hotel in tutto il mondo, tra cui Holiday Inn, ha subito un Data Breach che ha compromesso un numero non precisato di ospiti.

L’InterContinental è purtroppo in buona compagnia:

- Kimpton Hotels & Restaurants,

- Starwood Hotels & Resorts Worldwide (Marriott International),

- Hyatt Hotels Corporation,

- Hilton,

- Trump Hotels,

- Mandarin Oriental Hotel Group e

- White Lodging Services.

Sono solo alcuni degli hotel o delle catene di hotel che hanno subito cyberattacchi. Che non sempre sono “invisibili”. In Austria, ad esempio, in un albergo lussuoso e ultra tecnologico, 180 ospiti sono stati letteralmente chiusi fuori dalle rispettive stanze. I Criminal Hacker erano riusciti a prendere il completo possesso del sistema informatico dell’Hotel.

Hotel Hacking: Come proteggerci?

I Criminal Hacker in “vacanza” operano in due modi:

- Possono attaccare direttamente la struttura

- Possono attaccare direttamente gli ospiti della struttura

In caso di attacco diretto alla struttura, la speranza è che l’impianto Hotel CyberSecurity sia efficace e possa proteggere i nostri dati. Da parte nostra non abbiamo strumenti diretti per tutelarci. L’unica cosa che possiamo fare è rivalerci sull’hotel in caso di Data Breach.

Con la nuova legge Europea sulla Privacy, la GDPR, in caso di Data Breach la struttura deve avvisare gli utenti della violazione. Gli interessati coinvolti possono richiedere un risarcimento danni. Sempre meglio di niente.

Spesso, però, l'obiettivo dell'attacco siamo noi stessi.

Scopriamo come e cosa possiamo fare per difenderci.

Hotel Cybersecurity: Wi-Fi

Ormai il Wi-Fi, a meno di clamorose eccezioni, è sempre disponibile in hotel o nei luoghi di villeggiatura. Puoi navigare a costo zero, senza spendere un centesimo e sei sempre connesso. Bello! Fantastico! Certamente, anche per i Criminal Hacker. Di fatto connettendosi a una rete Wi-Fi c’è il rischio concreto di inviare tutte le nostre informazioni a tutti, Criminal Hacker compresi.

Scopriamo i possibili Rischi di Cybercrime

Wi-Fi senza Password

Non usare Wi-Fi che non richiedono una password WPA o WPA2- è una rete non sicura perché non usa un sistema crittografato. Un Wi-FI sicuro prevede sempre l'accesso con password. 

Configurazione del Wi-Fi

Troppo spesso la configurazione e le relative chiavi di accesso dei dispositivi non vengono modificate. Per intenderci, username e password rimangono quelli rilasciati dalla ditta produttrice. È quindi evidente la semplicità per una terza parte di prendere il possesso del dispositivo a cui noi vacanzieri, ignari ma rilassati, ci connettiamo.

Attacchi MitM

MitM o anche Man in the Middle è un attacco di prossimità. Il malintenzionato è vicino a noi. Se il nostro pc o smartphone ha un accesso Hotspot o la rete Wi-Fi è vulnerabile, permette ad una terza parte di mettersi in ascolto sulla nostra comunicazione e rubare le informazioni sui dispositivi collegati. L’attacco può essere condotto inserendo virus o attraverso attività di sniffing. Questa tecnica abilita gli hacker a spiare quello che fai online, le pagine web visitate e permette di rubare le informazioni che hai digitato. In questo modo, di fatto, sottraggono la tua identità virtuale

Punti di accesso rogue

È una delle tecniche più diffuse. Sono falsi Wi-Fi. In realtà sono dispositivi posizionati appositamente dal Criminal Hacker. Ti colleghi convinto che sia il Wi-Fi dell’hotel ma in realtà è un’esca.

Evil twin

Un evil twin è l’evoluzione degli accessi Rogue. Di fatto l’hacker clona l’Access Point ufficiale creandone un altro identico.

Ad hoc

Stiamo parlando delle reti P2P. È sufficiente essere connessi alla rete Wi-Fi per consentire attacchi ad hoc che permettono agli hacker il pieno accesso ai dispositivi pc e smartphone dell’intera rete.

Worm

Se il dispositivo Wi-Fi è compromesso, c’è il rischio che possa infettare il tuo dispositivo con un worm, che è un tipo di virus.

Hotel Cybersecurity: Phishing     

Massima attenzione alle mail di phishing. Sono le email truffa, una vera e propria frode che sfrutta le tecniche denominate di Social Engineering.

Si utilizzano mail con un mittente credibile e si invita l’utente a compiere un’azione. Il più delle volte si è invitati ad accedere ad un sito relativo ad un servizio conosciuto. Il sito a cui si accede è identico all’originale ma in realtà è una copia costruita ad hoc. Le informazioni che verranno immesse (spesso anche la carta di credito) verranno inviate al Criminal Hacker.

Un altro caso è l’utilizzo delle mail di phishing per scaricare software o documenti che in realtà contengono un virus. Avevamo già descritto le modalità dei virus nell’articolo Mobile Trojan Banking.

Hotel Web Security

In questo elenco di possibili rischi dobbiamo anche aggiungere le criticità relative ai portali di prenotazione o siti web degli Hotel stessi. Se questi portali non hanno garantito una corretta protezione in termini di web security ed e-commerce security possono essere violati. In caso di violazione tutte le informazioni che immettiamo possono essere sottratte e utilizzate da terze parti.

Una vacanza senza Criminal Hacker: Come?

Alcuni accorgimenti:

-       Disabilitiamo il Bluetooth dei dispositivi;
-       Settiamo gli hotspot dei nostri dispositivi con password robuste;
-       Aggiorniamo le versioni dei software installati sui nostri dispositivi;
-       Provvediamo a mantenere aggiornato e lanciare scansioni del nostro antivirus;
-       Chiediamo alla Reception il nome preciso dell’Access Point Wi-Fi;
-       Non fidiamoci di Wi-Fi che non hanno le password;
-       Non lasciamo incustoditi i nostri dispositivi

Grazie alla GDPR, si può anche chiedere all’Hotel in cui alloggiamo se hanno effettuato una analisi del rischio previsto dalla GDPR e se hanno adottato le misure adeguate di tutela.

La sensibilizzazione e la formazione sono il primo strumento di tutela!

Stanno iniziando le vacanze. Trascorriamole in relax e sicurezza.