La rete “Wi-Fi gratis” lo paghiamo con i nostri dati personali

10 Apr 2015

La saggezza popolare ci insegna che, anche quando qualcosa è gratis, in realtà la paghiamo in qualche altro modo. Tuttavia, spesso cediamo alla tentazione e ottenere qualcosa senza aprire il portafoglio ci rende orgogliosi, anche se poi ne paghiamo le conseguenze. Prendiamo le reti Wi-Fi gratuite: all’offrirci questo servizio, spesso ci tocca condividere (e a volte neanche ce ne accorgiamo) i nostri dati privati a terze parti, come le credenziali di accesso ai social.

free-wifi (1)

Nel campo delle reti Wi-Fi gratuite gli esempi che possiamo prendere sono molti; uno degli ultimi casi ha coinvolto gli hotspot Wi-Fi gratuiti concessi a bar e ristoranti da Smart Wi-Fi, un’azienda russa con sede a San Pietroburgo. Gli utenti più coscienziosi hanno registrato molti video in cui si mostra il metodo di accesso alla rete Smart Wi-Fi e li hanno poi pubblicati su YouTube.

Se volete leggere la storia per intero, vi consigliamo l’articolo di Siliconrus.com (se parlate russo meglio, altrimenti potete farvi aiutare da un traduttore automatico per capirne almeno il senso). Qui un breve riassunto: quando si connette a una rete Smart Wi-Fi, all’utente viene chiesto di accedere mediante il suo profillo di Vkontakte,  il social network più utilizzato in Russia.

Il problema, però, è che username e password non vengono digitate sul sito vk.com, bensì nella pagina di Smart Wi-Fi, che utilizza una connessione non criptata. Insomma, la maniera meno sicura di operare in generale.

Quando l’utente entra attraverso il suo profilo VK, la password di vk.com viene passata al provider di Smart Wi-Fi e, in questo passaggio, potrebbe finire anche nelle mani di qualsiasi cybercriminale con un portatile nelle vicinanze.

Per quanto riguarda Smart Wi-Fi, un articolo (e i video che abbiamo menzionato) dimostrano che il servizio immagazzina e utilizza le credenziali d’accesso, ad esempio per pubblicare pubblicità sul profilo VK dell’utente e anche per installare un’app sul profilo che richiede tutta una serie importante di autorizzazioni (tra cui accesso a vari dati personali e la possibilità di pubblicare aggiornamenti al posto dell’utente).

Nel primo caso l’utente viene informato che verrà pubblicata della pubblicità sulla propria “bacheca”; nel secondo caso, invece, l’app viene installata senza previa notifica. Per sapere se l’applicazione è stata installata o meno, l’utente deve consultare l’elenco sul suo profilo di Vkontakte; sappiamo benissimo che davvero in pochi sono così solerti e attenti.

Sono tantissimi i siti che imitano la pagina di login di un social network, è una delle tecniche base del phishing. Mediante la creazione di siti Internet falsi, all’apparenza legittimi, gli utenti vengono ingannati e digitano le proprie credenziali di accesso che andranno a finire direttamente nelle mani dei cybercriminali , i quali potrebbero usarle per ottenere accesso ad altri dati privati.

In questo caso, però, a fare notizia è che un servizio legittimo impieghi questa tecnica, un metodo piuttosto discutibile. Non crediamo che sia stato fatto con cattive intezioni, ma in ogni caso sono i dati dell’utente a essere in pericolo.

La soluzione,  in questa situazione e in generale per il phishing, è stare sempre all’erta e usare le dovute precauzioni. Consigliamo, come sempre, di controllare l’URL del sito Internet e di non digitare username e password se l’URL non convince. Ricordiamo, inoltre, che la maggior parte dei siti di social network e dei servizi di home banking sono passati già al protocollo HTTPS che cripta tutte le comunicazioni. Vi sconsigliamo caldamente di digitare le vostre credenziali di accesso in siti Internet non accompagnati dal lucchetto, che indica la crottografia delle comunicazioni.

L’ultima versione di Kaspersky Internet Security, in ogni caso, è in grado di individuare le reti Wi-Fi non sicure e mette in guardia l’utente  prima che si connetta a un hotspot sospetto.