Polizia di Stato: “Il tuo computer è stato bloccato, chiama subito questo numero” è una truffa, non chiamate!

Cadere nella trappola di una truffa online è fin troppo semplice, soprattutto quando i falsi avvisi applicano una notevole pressione psicologica sulle potenziali vittime. Un esempio è un avviso che sta circolando online, sul quale allerta la Polizia di Stato: “Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804XXX. Non ignorare questo avviso critico.

Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804XXX.”

L’avviso appare navigando online “su siti del tutto normali” fa sapere la Polizia di Stato, e il messaggio è camuffato per sembrare provenire da Microsoft. In realtà il produttore statunitense non c’entra nulla e l’avviso un falso. Chi lo vede sappia che non ha subito alcun furto di dati personali né infezione da virus, e che interrompendo la navigazione non ci saranno conseguenze: il computer continuerà a funzionare normalmente.
Cosa che non accadrà, invece, componendo il numero indicato nel messaggio. Anzi, digitandolo e seguendo le istruzioni telefoniche, si darà accesso al truffatore permettendogli d’installare dei virus da remoto. Non solo: per il falso “sblocco” del computer (assolutamente inutile) si finirà per pagare un centinaio di euro.

Cosa fare, quindi, se si vede il messaggio? Ignorarlo, e se proprio ci si fa prendere dall’ansia, fare una scansione antivirus per togliersi ogni dubbio. L’antivirus aggiornato peraltro dovrebbe sempre essere installato e aggiornato, al di là di questo fastidioso messaggio falso.

Un altro consiglio, in caso di avvisi di presunte minacce, è quello di informarsi prima di fare qualsiasi cosa. E comunque di non telefonare mai a numeri di dubbia provenienza o fare clic su link a siti con un indirizzo che non si conosce.

 

Fonte: IlFattoQuotidiano

Vendita online di farmaci, quando è lecita e quando è reato

L’operazione dei Nas che ha oscurato undici siti in cui si effettuava la vendita online di farmaci vietati o per cui è prevista la ricetta medica, ha posto in evidenza un tema che nell’epoca della pandemia da Covid-19 risulta di grande rilievo, ossia l’e-commerce farmaceutico.

La vendita online di farmaci con obbligo di prescrizione è vietata

Nell’ordinamento italiano la vendita online di farmaci è consentita unicamente per i farmaci senza obbligo di prescrizione (Sop) e i farmaci da banco (Otc), inseriti in un apposito elenco (si può verificare anche sul sito internet dell’Aifa).

La disciplina è prevista, infatti, dall’art. 112 quater del Decreto legislativo 219/2006, ed esclude la vendita online di farmaci con obbligo di prescrizione medica.

La vendita di farmaci online, in ogni caso, è consentita unicamente al dettaglio, mentre è esclusa la vendita all’ingrosso.

Vendita di farmaci online: il fenomeno va controllato

Come per l’utilizzo dei social network è necessaria un’educazione ai rischi che si corrono, in particolare per quanto riguarda i minori, allo stesso modo è necessario educare il consumatore a non affidarsi acriticamente alla rete per acquisti “seri” e, in particolare, per quello che riguarda il settore dei medicinali e sanitario in genere.

All’epoca della Covid-19, peraltro, non stupisce che soggetti senza scrupoli abbiano provato a basarsi sulle paure di persone, magari fragili, che cercavano cure “miracolose”, per approfittarsene.

Per questa ragione è necessario che i Nas intervengano in maniera massiccia anche sul commercio online, tradizionale campo d’azione della Polizia Postale.

Conclusioni

L’e-commerce farmaceutico, come tutto il commercio online, è destinato ad aumentare, e non è inverosimile ipotizzare, in futuro, la connessione diretta tra il sistema operativo del medico che prescrive il farmaco ed il sistema di distribuzione dei medicinali attraverso le farmacie, fisiche o virtuali.

Un simile sistema, naturalmente, dovrebbe essere impostato con un livello di tutela dei dati personali elevatissimo, ma potrebbe portare ad un risultato operativo apprezzabile, ossia confinare l’abusivismo del settore farmaceutico al Dark Web.

Una tale compressione determinerebbe, necessariamente, anche una minor diffusione del fenomeno, attese le difficoltà di accesso al Dark Web di un numero elevatissimo di utenti, come accade, necessariamente, con l’accesso ai browser ordinari.

 

Fonte: CyberSecurity360

Wikipedia: compie 20 anni il sogno della biblioteca universale

Sono tre le date importanti della storia di Internet: la nascita di Arpanet, la nonna di Internet, il 28 Ottobre 1969; il primo sito web, quello del Cern di Ginevra nel 1991; la nascita di Wikipedia il 15 gennaio 2001. Compie vent’anni la prima enciclopedia online globale, libera e gratuita. Voluta da un giovane agente di borsa, che la finanziò pare con 500 mila dollari, Jimmy Wales, Wikipedia è la vera incarnazione di Internet. Basata sul principio della collaborazione e della condivisione care alla cultura hacker delle origini, è la realizzazione di un sogno antico: la biblioteca universale.

La stessa Internet, infatti, nasce dall’idea di James Robbnett Licklider, psicologo e informatico statunitense, che da capo dell’ufficio che sviluppò il progetto di Arpanet, poi divenuta Internet, aveva teorizzato l’Intergalactic Computer Network come una biblioteca elettronica facilmente accessibile a tutti i ricercatori. A dispetto della vulgata che parla di Internet come progetto militare. Non lo fu mai, anche se i militari finanziarono il progetto e ci lavorarono con hacker, accademici e imprenditori.

Lo stesso vale per il web

Il World Wide Web, la “Ragnatela grande come il mondo”, pensata per facilitare l’accesso ai documenti della ricerca scientifica prodotta al Cern di Ginevra, nella mente del suo creatore, l’hacker inglese Tim Berners Lee, a questo doveva servire: permettere a tutti i ricercatori di trovare facilmente i “volumi digitali” attraverso delle parole chiave che ne mettessero in relazione i contenuti attraverso delle parole chiave strutturandoli come ipertesti. Leggenda vuole che l’idea di collegarli tramite un “link” gli fosse stata suggerita dal peculiare modo degli italiani del Cern di relazionarsi fra di loro. In realtà se l’idea di ipertesto è attribuita al visionario Ted Nelson, filosofo americano, già nel 1500 un ingegnere svizzero italiano aveva progettato un leggio a ruota per consultare pagine di libri diversi senza muoversi.

Ma questa è storia

L’attualità è che grazie alla sua intuizione, favorita da esperimenti precedenti come Nupedia e Gnupedia, Jim “Jimbo” Wales, farà di Wikipedia uno dei siti più visitati al mondo. E Wikipedia è ancora oggi il sogno della conoscenza libera e gratuita a portata di clic realizzata dai suoi utenti, l’utopia realizzata del Web 2.0, il web dinamico, dove il fruitore di un contenuto digitale può anche modificarlo diventando un prosumer (“producer plus consumer”), produttore e consumatore degli UGC (User Generated Contents), i contenuti generati dagli utenti. Per questo è ancora oggi considerato il più grande esperimento di scrittura collettiva al mondo, un grande progetto di collaborazione declinato in 300 lingue con più di 55 milioni di voci.

Il sapere di tutti

Il nome stesso dalle origini rimanda però all’idea di una conoscenza immediatamente fruibile: Il nome Wikipedia è il risultato della crasi tra la parola “Wiki” che in hawaiano vuol dire “veloce” e “Pedia”, dal greco “paideia”, cioè formazione. Wikipedia vuol dire “formazione veloce”. L’enciclopedia come base della conoscenza universale nella cultura illuministica di Diderot e D’Alambert, “fondatori” anch’essi, ma della cultura europea.

L’enciclopedia per tutti

Wikipedia viene scritta con un software che ha lo stesso nome, il “software Wiki”, che ha rivoluzionato il web publishing e consentito a chiunque di diventare editore di se stesso rivolgendosi a una platea virtualmente illimitata. Grazie a questo software gli utilizzatori di Wikipedia costruiscono ogni giorno un pezzo di web, cioè pagine modificabili all’infinito e liberamente consultabili da quasi chiunque. E diciamo quasi, perché il progetto è costantemente ostacolato da poteri commerciali e governi autoritari. Ma non è una lavagna bianca. Ognuno può proporre nuove voci di questa enciclopedia, o migliorarla, ma i suoi molti volontari sono sempre all’erta per evitare vandalismi – come spesso accade alle pagine dei personaggi storici o della politica – e per nascondere voci celebrative di starlette e aziende che di enciclopedico non hanno niente, adottando il primo comandamento di Wikipedia, il “nPoV”, un “punto di vista neutrale” nello scrivere le voci. Fino a cassare lemmi e modifiche che i patroller ritengono inappropriati e non derivanti da fonti terze come deve essere per ogni enciclopedia. Ma chi sono i patroller? Vengono così chiamati coloro che vigilano sulla qualità dell’enciclopedia. E che con passione, spesso incompresi, si azzuffano pacificamente per far capire le regole di scrittura di un’enciclopedia letta e copiata da tutti il più delle volte senza riconoscergli credito.

Il problema dei diritti d’autore

Ma per far funzionare un progetto così gigantesco non bastano i volontari e un’organizzazione amatoriale, per questo Jim Wales, che si dichiara co-fondatore dell’enciclopedia pur essendone in realtà il creatore principale, ha voluto la realizzazione di Wikimedia, una fondazione internazionale no-profit che è l’interfaccia tenico-legale di Wikipedia. La fondazione si occupa di gestire e promuovere tanti altri progetti che stimolano la diffusione di contenuti liberi collaborando con musei, università, archivi storici, anche per facilitare la pubblicazione di foto, video, documenti, opere protette dal copyright. E proprio su questo terreno che la scelta di Wales si è rivelata vincente fin dagli inizi di Wikipedia.

Il software libero

Per rispettare i diritti di autori e collaboratori sin dalla nascita i suoi contenuti sono stati distribuiti con una licenza di libero utilizzo inventata da Eben Moglen e Richard Stallman, la Gnu Free Documentation Licence (Gfdl), che ne permetteva la redistribuzione e modifica come fosse un software libero impedendo che qualcuno ci mettesse il proprio copyright sopra; in seguito Wikipedia adotterà la Creative Commons License, la licenza di utilizzo e modifica dei contenuti creata dal giurista ed ex candidato alla presidenza americana il professore Lawrence Lessig, per riconoscere la paternità delle opere creative dell’enciclopedia ma al contempo favorirne fruizione e diffusione cosa che il copyright di “Tutti i diritti riservati” non consentiva.

Un giardino aperto

Fu proprio lui, il professore di Harvard, incontrato in una biblioteca a dirci: “Wikipedia è come un giardino pubblico e aperto a chiunque, ben tenuto da quelli che lo visitano”. Un bene pubblico senza pubblicità invasiva e trucchi psicologici per trasformarti in un consumatore infelice. Ma Wikipedia è anche qualcosa di più, un vero esempio di economia circolare, l’economia della conoscenza. La conoscenza infatti più circola, più si valorizza. Tutto il contrario di quello che fanno Google, Facebook e simili coi loro “giardini recintati”.

 

Fonte: Repubblica.it

Attacchi phishing allo SPID: i consigli per proteggere la propria identità digitale pubblica

Nelle ultime settimane l’utilizzo dello SPID (Sistema Pubblico di Identità Digitale) è divenuto sempre più popolare tra gli italiani anche perché l’autenticazione mediante questo sistema di identificazione è semplice e versatile ed è possibile utilizzarla attraverso molteplici dispositivi: purtroppo, però, la popolarità del sistema SPID ha inevitabilmente attratto l’attenzione del crimine informatico e infatti si assiste ad un aumento delle campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.

Le campagne ai danni di Poste Italiane

Già in novembre, l’Agenzia per l’Italia Digitale (AGID) ha messo in guardia i cittadini circa i preparativi per una campagna di malware via SMS che prendeva di mira i cittadini che avevano già attivo lo SPID con Poste Italiane.

Al tempo, gli attaccanti avevano registrato il dominio “aggiornamento-spid.com” raggiungibile solo attraverso dispositivi mobili, che riproduceva la pagina di login di Poste Italiane. L’intento era quello di collezionare le credenziali degli utenti mobili di Poste attraverso una campagna di phishing via SMS.

Fortunatamente la campagna fu stroncata sul nascere grazie agli esperti dell’azienda D3Lab che avevano individuato il dominio sospetto prima che gli attori malevoli lo rendessero operativo.
Poco più di due mesi dopo, il CERT-AGID ha diramato un nuovo alert circa una nuova campagna di phishing che prende di mira gli utenti di Poste Italiane ed utilizza lo SPID come esca.

I messaggi utilizzano come oggetto:
Poste Italiane – PosteID abilitato a SPID – Data: 11/12/2020

mentre il corpo dell’e-mail recita:
Ti comunichiamo la modifica delle Condizioni Generali del Servizio di Identità Digitale “PosteID abilitato a SPID” nella nuova versione.

L’email notifica alle potenziali vittime una modifica delle condizioni generali del servizio SPID e le invita ad accedere ad un link riportato nel testo minacciando il blocco della carta PostePay.
Una volta cliccato sul link, l’utente è indirizzato, dopo alcune ridirezioni, ad una pagina che appare come una copia esatta di una pagina di login del sito di Poste.

“Si invita pertanto a non seguire il link e soprattutto a non inserire credenziali all’interno di form ospitati su domini non ufficiali”, raccomanda l’avviso pubblicato dal CERT AGID.

I domini fraudolenti utilizzati in questa campagna di phishing individuati dagli esperti del CERT AGID sono:
• “http://mundpdeportivo.for-our[.]info/”
• “http://default-page-poste.is-certified[.]com/serv-cliente/a1b2c3/30edaf01b08cb9fdd9d1171efec2e3e7/login/”,
• “http://default-page-poste.is-certified[.]com/”
• “http://ftr-postepay-cl-fcc.is-certified[.]com/”

I rischi

Con l’incremento del numero di servizi che offrono la possibilità di autenticazione SPID aumenteranno le campagne di phishing mirate agli utenti in possesso dell’identità digitale pubblica.
Questi attacchi possono avere diverse finalità, dalla collezione di informazioni sugli ignari utenti alla distribuzione di codici malevoli sviluppati per rubare dati sensibili come credenziali di accesso ai servizi di home banking.

Gli attacchi potrebbero anche consentire ai criminali informatici di rubare le credenziali SPID previste dal primo livello di sicurezza e di impersonare le vittime. Si ricordi infatti che lo SPID offre tre livelli di sicurezza per l’accesso, ovvero:
• il primo livello attraverso un nome utente e una password scelti dall’utente;
• il secondo livello attraverso nome utente e password più un codice temporaneo di accesso fornito tramite SMS o app;
• il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l’identificazione, come una smart card.

Nei prossimi mesi, le campagne potrebbero avere carattere interazionale: ricordiamo, infatti, che il sistema SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014. I cittadini europei in possesso dell’identità SPID potranno utilizzarla per autenticarsi verso i servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea. Non solo, anche servizi gestiti da soggetti privati potranno implementare un meccanismo di autenticazione attraverso SPID.

I consigli per difendersi

Per proteggere lo SPID dagli attacchi phishing ed evitare di rimanere vittima di queste campagne malevoli è raccomandato di non cliccare su link contenuti in messaggi non sollecitati che invitano l’utente ad una azione, come premere su un link o aprire un allegato, con carattere d’urgenza.

Fare attenzione all’indirizzo delle pagine sulle quali si inseriscono le proprie credenziali, verificare che i domini siano quelli legittimi non facendosi ingannare dalla eventuale presenza del lucchetto nella barra degli indirizzi.

Sono infatti in aumento campagne di phishing che utilizzano siti HTTPs per mostrare alle vittime pagine disegnate per collezionare le loro credenziali.

 

Fonte: CyberSecurity360

Whatsapp, cosa dice la nuova informativa sulla privacy

Whatsapp aggiorna i Termini di servizio e l’informativa privacy, sollevando i timori collettivi di perdere il controllo sui propri dati. Pesa anche, come una pistola puntata, l’obbligo per gli utenti di accettarli entro l’8 febbraio 2021 pena l’impossibilità di usare il social. Un’iniziativa che spinge verso una maggiore integrazione tra le diverse realtà legate a Facebook.

L’invio delle notifiche per segnalare l’iniziativa ha suscitato preoccupazioni dal punto di vista della privacy, in particolare per quanto riguarda il data sharing con Facebook e le sue aziende.

Whatsapp ha comunicato che per gli utenti europei e del regno Unito non ci saranno modifiche alle modalità di condivisione dei dati, ciononostante – o forse proprio per questo – la novità è interessante per noi europei.

Cosa dice la nuova informativa privacy di Whatsapp?

Gli aggiornamenti principali fatti ai termini di servizio approfondiscono i modi in cui vengono trattati i dati e come le aziende che si servono di Whatsapp Business possono usare i servizi di Facebook per la gestione della chat. L’aggiornamento delle informazioni, controllando sul sito di Whatsapp, è stato fatto il 4 gennaio. Compare un banner giallo in cui vengono annunciate le modifiche.

Cliccando sul link “questa pagina”, si apre una schermata con quattro link che conducono agli aggiornamenti sulle condizioni d’uso del social:
• Aggiornamenti chiave, dove brevemente vengono illustrati gli highlight dell’iniziativa
• Termini di servizio
• Informativa privacy
• Codice europeo delle comunicazioni elettroniche

I termini di servizio e la privacy policy sono differenti a seconda che l’utente risieda o no nella regione europea. Whatsapp lo comunica indicando i link ai rispettivi documenti. Tra le differenze, per esempio, l’età che rende possibile l’iscrizione: in Europa sedici anni, in altre regioni tredici anni. Un’importante differenza è la nota sulle attività globali di data sharing, assente nell’informativa europea.

Questa informazione riguarda gli utenti che non risiedono nella regione europea. Riguardo alla gestione dei dati con le altre aziende legate a Facebook, l’informativa europea precisa che le informazioni condivise da Whatsapp con le altre imprese non possono essere utilizzate da queste per finalità proprie.

 

Fonte: CyberSecurity360

Scoperto malware che raccoglie dalle immagini le indicazioni su azioni da eseguire

Un gruppo di ricercatori ha scoperto una nuova minaccia che sembra collegabile ad alcuni famosi gruppi APT (advanced persistent threat) ovvero criminali informatici che solitamente bersagliano vittime e aziende di elevato profilo sferrando attacchi mirati.

Di solito viene preso di mira il sistema utilizzato da un soggetto che lavora all’interno dell’impresa: sfruttando il fatto che tale sistema è collegato alla rete locale dell’azienda da aggredire, esso viene utilizzato per attaccare l’intera infrastruttura, monitorare le attività svolte, sottrarre dati sensibili e danneggiare i dati altrui.

La presenza di macro all’interno di documenti Office dovrebbe fare immediatamente drizzare le antenne: i vari componenti della suite per l’ufficio Microsoft attivano la cosiddetta Visualizzazione protetta per i file che provengono dalla rete Internet (Allegati pericolosi e malware nei documenti Office: come inizia l’infezione) e segnalano l’eventuale presenza di macro.

Le macro possono essere potenzialmente molto pericolose perché utilizzando una serie di istruzioni integrate all’interno del documento si può richiedere l’effettuazione in automatico di una serie di attività, compresi il download e l’esecuzione di codice pubblicato altrove.

Nonostante la loro pericolosità, ancora oggi sono in tanti a cadere nel tranello e ad acconsentire all’esecuzione di macro potenzialmente pericolose inserite ad esempio in un documento Word o in un foglio elettronico Excel. Gli aggressori sono infatti soliti porre in essere campagne spear phishing presentando il file dannoso come qualcosa che non è ovvero un elemento che la vittima potrebbe aspettarsi di ricevere.

Uno dei ricercatori che hanno scoperto la nuova minaccia spiega su Twitter che la macro nociva si collega con GitHub e scarica ulteriore codice.
Con il preciso scopo di eludere le verifiche condotte dalle principali soluzioni antimalware, lo script PowerShell si collega con il noto servizio per la condivisione di immagini Imgur e scarica un file in formato PNG.

Utilizzando la tecnica della steganografia, all’interno del file PNG gli aggressori inseriscono il payload del malware vero e proprio. ll codice PowerShell non fa altro che leggere in sequenza i byte aggiunti in varie parti dell’immagine PNG e ricostruiscono i comandi da eseguire.

A questo punto l’attacco vero e proprio può iniziare con un approccio fileless che in molti casi resta quasi invisibile ai “radar” di molte soluzioni per la sicurezza.

 

Fonte: IlSoftware

Fra social network e motori di ricerca, ecco le parole d’ordine del 2020

Per i veri bilanci di questo 2020 che volge al termine servirà tempo. Nell’attesa arrivano dai colossi del Web la lista dei contenuti più cercati e condivisi su social network e motori di ricerca. Il polso della situazione lo hanno avuto più di tanti altri, con il trasloco online a tappe forzate di centinaia di milioni di persone a causa della pandemia. È cambiato il modo di vivere il digitale, sono esplosi i consumi dello streaming e delle piattaforme per lavorare, è aumentato di oltre il 100 per cento la pubblicazione di video e di fotografie.

“Durante il primo lockdown le persone hanno combattuto il distanziamento sociale sfruttando la messaggistica e raddoppiando i normali flussi di chiamate per potersi tenere in contatto” fa ad esempio sapere Facebook. “Ma sono cambiate anche le modalità di interazione, ad esempio le chiamate di gruppo – quelle con tre o più partecipanti – aumentate di oltre il mille per cento solo a marzo. E ad aprile, oltre tre milioni di italiani erano parte di gruppi locali impegnati a offrire supporto durante l’emergenza Covid-19”.

“Andrà tutto bene” lo ricorderemo a lungo. Un messaggio che ha unito quattro milioni di persone quando il nostro Paese venne colpito duramente dalla prima ondata. E poi ovviamente “Io resto a casa”. Google fra le parole più cercate mette al primo posto “Coronavirus”, seguito da “Elezioni Usa”, “Nuovo Dpcm” e Diego Armando Maradona. Il 2020 infatti è stato l’anno di lutti eccellenti che vanno dall’ex campione argentino a quello del basket “Kobe Bryant fino a Paolo Rossi. E poi i musicisti Ezio Bosso e Ennio Morricone, l’attore Sean Connery, i comuni cittadini come George Floyd che negli Usa ha innestato la protesta di “Black Lives Matter”.

La rivolta in America seguita dall’uccisone di Floyd è stata fra i temi più discussi su Facebook, anche se in cima alla lista in Italia c’è il concerto di Andrea Bocelli da Piazza del Duomo a Milano. Seguono l’esplosione nel porto di Beirut e le proteste ad Hong Kong. Proteste delle quali il social network cinese TikTok, grande protagonista del 2020 sia per la crescita di utenti sia per essere stato al centro dello scontro fra Washington e Pechino, non fa menzione. Cita invece fra le parole d’ordine più usate gli hashtag #IoRestoaCasa, #ActivePlank, #UsoLaMiaVoce: #AmoIlMioCorpo e #MuseoaCasa.

C’è anche #ImparaConTikTok, dato che il filone dedicato all’apprendere come fare una certa cosa è stato di gran moda. Google ad esempio classifica i primi in questo ordine: come imparare a fare il pane, come costruire le mascherine antivirus, come fare il liveito di birra, la pizza, il lievito madre, gli gnocchi.

Di tutto ciò non esistono numeri a sostegno. La lista dei temi, parole, contenuti non è accompagnata da cifre se non per poche eccezioni. Ma è certo che il 2020, fra le tante cose, sia stato un anno d’oro per il digitale entrato definitivamente nella vita di tutti, anche di coloro che fino a ieri lo frequentavano solo di sfuggita.

 

Fonte: Repubblica

Il Parlamento europeo approva il diritto alla riparazione: diventerà legge

Troppo spesso si preferisce accantonare definitivamente un dispositivo elettronico piuttosto che provare a ripararlo. Così i vecchi dispositivi vanno ad accrescere pericolosamente la montagna enorme di rifiuti RAEE in continua crescita ogni anno e i consumatori, complice anche l’atteggiamento che accomuna molti produttori, preferiscono acquistare un nuovo dispositivo.

Il Parlamento europeo si è espresso con favore per l’approvazione di una nuova regolamentazione che imporrà una serie di obblighi ai produttori di dispositivi elettronici.

L’adempimento più importante è certamente l’utilizzo di un’etichetta che i produttori dovranno esporre su tutti i dispositivi immessi sul mercato: tale indicazione riporterà il “grado di riparabilità” di un prodotto specificando quanto gli utenti potranno risolvere eventuali problemi hardware in proprio oppure rivolgendosi a centri specializzati.

L’etichetta dovrà anche chiarire la durata stimata del dispositivo al momento dell’acquisto da parte del consumatore finale. Una misura che secondo il legislatore dovrebbe mettere fine ai comportamenti di alcuni produttori che usano l’obsolescenza programmata per stabilire una “scadenza artificiosa” delle loro apparecchiature, non motivata da un’effettiva usura dei componenti hardware.

A gennaio la Francia aveva istituito un meccanismo per la valutazione della riparabilità di smartphone, notebook e altri prodotti. L’Austria, da parte sua, ha iniziato a ridurre le tasse sui servizi di riparazione e fornisce sussidi per le riparazioni da parte dei consumatori.

Con questa risoluzione, l’Unione Europea stabilisce uno storico precedente e fissa una pietra miliare che sarà certamente ricordata negli anni a venire.
Si tratta infatti di una presa di posizione forte che mira anche a cambiare l’atteggiamento degli utenti finali, talvolta esageratamente propensi ad accantonare dispositivi elettronici che ancora potrebbero funzionare.

Il 79% dei cittadini europei intervistati nel corso di un sondaggio ha dichiarato di essere favorevole all’introduzione del diritto di riparazione ritenendo che i produttori dovrebbero essere legalmente obbligati a facilitare le riparazioni dei dispositivi o comunque a sostituire singole parti.

 

Fonte: IlSoftware

Digital workplace: dal luogo di lavoro fisico a quello digitale

Fa un certo effetto, oggi, guardare ai dati del 2019 o persino a quelli dell’inizio del 2020, appena prima dello scoppio della pandemia, relativi al mercato delle soluzioni di Digital Workplace.

Prima di marzo, il lavoro agile era utilizzato da un numero ridotto di imprese italiane, le quali proprio per questo impegno si distinguevano in mezzo alle altre quanto a innovazione. Fino a una decina di mesi fa non erano tante, in fondo, le persone che potevano capire quali fossero realmente le necessità di un’azienda di creare un efficace spazio di lavoro digitale.

Oggi le peculiarità, i vantaggi e le esigenze del digital workplace sono aspetti noti ai più, per il semplice fatto che durante il 2020, tantissimi hanno sperimentato lo smart working e lo stanno ancora portando avanti a causa della situazione sanitaria generale.

Cos’è il digital workplace?

Ci sono diversi modi per definire il digital workplace. La traduzione letterale è “spazio di lavoro digitale”, a indicare il fatto che, in un mondo connesso, la prestazione lavorativa non deve essere più vincolata alla presenza fisica in ufficio, potendo invece esplicarsi in una presenza virtuale.

Gli analisti di Gartner hanno definito il digital workplace come “un nuovo modo di interpretare il posto di lavoro, attraverso soluzioni tecnologiche innovative e modelli organizzativi ideati per favorire una migliore produttività”. Questa definizione ci aiuta a ricordare che, prima dello scoppiare dell’emergenza sanitaria, la creazione di un digital workplace non era dettata primariamente dalla necessità di ridurre i contagi, quanto invece dalla volontà di aumentare la produttività.

Da anni si è infatti capito che per dare il meglio è d’obbligo abbattere le barriere tra luoghi di lavoro, persone e tecnologie, di modo che i collaboratori possano essere sempre produttivi, in qualsiasi luogo e in qualunque momento. La pandemia, da questo punto di vista, ha imposto un’importante accelerazione a un processo già in corso, seppur con obiettivi differenti.

Gli strumenti per creare uno spazio di lavoro virtuale efficace

Come gestire in modo davvero efficace l’attività da remoto? Come anticipato, l’idea di digital workplace è nata e si è sviluppata negli anni per garantire una maggiore produttività alle imprese: il modo giusto per affrontare questa evoluzione è quindi quello di mirare a creare un’organizzazione tale da migliorare le performance dei dipendenti.

A questo scopo le imprese possono fare affidamento su un’ampia gamma di strumenti per la gestione virtuale del lavoro: si parla per esempio delle più innovative soluzioni per le videoconferenze, delle app per la comunicazione interna, degli strumenti di collaborazione, dei sistemi per la gestione delle presenze da remoto, delle app per il monitoraggio delle ore e via dicendo.

Affinché si possa parlare effettivamente di un digital workplace efficiente, quindi, è necessario poter contare su tutta una serie di strumenti atti a superare i limiti posti dalla distanza fisica, per creare degli ecosistemi virtuali in cui tutti i collaboratori possano dare il meglio di sé.

 

Fonte: AziendaDigitale

Phishing a tema bonus bici contro lo SPID di Poste Italiane, la truffa del finto sms per rubare dati

È in atto una truffa di tipo phishing contro lo SPID di Poste Italiane: le esche utilizzate sono un’e-mail o un SMS che invitano le ignare vittime a collegarsi al proprio account per aggiornare l’app PosteID necessaria alla gestione della propria identità elettronica. L’obiettivo dei criminal hacker è, ovviamente, quello di rubare informazioni riservate e denaro.

Phishing contro lo SPID di Poste Italiane: l’esca del bonus bici

Come sempre accade nei casi di intenso traffico Internet degli utenti verso siti di particolare interesse, i malintenzionati digitali tendono a sfruttarli per trarne profitto: è questo il caso del Click Day per il bonus bici che ha polarizzato l’attenzione dei potenziali interessati ad accaparrarsi il bonus di 500 euro per l’acquisto di biciclette e monopattini.

Poiché l’accesso alla procedura di rilascio del bonus avveniva anche mediante identità SPID ottenuta dal sito di Poste Italiane, i criminal hacker hanno registrato a partire dal 6 ottobre scorso un dominio malevolo appositamente denominato aggiornamento-spid[.]com.

Attualmente il dominio fake è stato segnalato come malevolo e inserito fra gli Indicatori di compromissione (IoC) affinché sia prontamente inserito in blacklist nei sistemi che tutelano la sicurezza informatica. Se si cerca di raggiungere questo sito, i browser Chrome, Edge e Firefox lo segnalano già come sito ingannevole mediante un chiaro avviso su sfondo rosso visibile nella figura sottostante. Invece, i browser da mobile non lo riconoscono e dunque gli utenti che lo dovessero accedere da dispositivo mobile, si troverebbero davanti una pagina perfettamente similare a quella lecita. Quest’ultimo elemento ha fornito l’indicazione di come sia probabile l’organizzazione di una vasta campagna phishing via e-mail che utilizzerà il mezzo dell’SMS per invitare gli utenti ad aggiornare le credenziali SPID mediante il link malevolo verso il sito fake tentando di mietere vittime.

In questi giorni, inoltre, circola anche una e-mail inviata dai sistemi automatici di Poste Italiane dall’indirizzo info@posteid.poste.it che invita ad aggiornare l’app di PosteID fornendo i link per Android ed Apple, fornendo come motivazione la dismissione della vecchia versione dell’app al 22 ottobre. La contemporaneità con la campagna fake su SPID deve destare sospetto in chiunque riceva la mail, perché sebbene i link appaiano come leciti rimandando all’app Play Store, si consiglia di effettuare gli aggiornamenti sempre e solo direttamente dagli store ufficiali di Android e Apple direttamente dal cellulare senza seguire link ricevuti, perché per quanto appaiano ben formati, possono nascondere chiamate a malware e contenere codice malevolo. Un’altra verifica da fare è controllare l’ultimo aggiornamento effettuato dal device mobile direttamente dall’app Play Store in corrispondenza dell’app PosteID verificando la data effettiva dell’ultimo aggiornamento. In caso di necessità, si consiglia di procedere solo dallo store per scaricare l’ultima versione.

Questa tattica ormai datata consente agli hacker di eludere i tradizionali strumenti di sicurezza della posta elettronica per far sì che gli utenti clicchino su un link dannoso e inseriscano le proprie credenziali.

I consigli per difendersi dalla truffa

Chiunque riceva un SMS o un’e-mail acceduta da mobile, che inviti a cliccare la pagina SPID al fine di autenticarsi per accedere al bonus bici dovrebbe cestinare immediatamente il messaggio. Il sito di Poste Italiane non menziona la specifica occorrenza di una probabile campagna di phishing: tuttavia, nella sua pagina dedicata al contrasto delle truffe digitali, unitamente ad una serie di indicazioni per la difesa, chiede di segnalare i tentativi di phishing che possono riguardare l’azienda Poste Italiane al sito antiphishing@posteitaliane.it.

In Italia il phishing viene fatto ancora prevalentemente tramite e-mail con link che puntano a siti falsi, simili a quello originale, con un URL simile oppure che differisce per comuni errori di battitura nell’indirizzo, per poter raccogliere anche chi digita l’indirizzo errato direttamente nel browser. Anche nel caso dell’attuale truffa phishing ai danni dello SPID di Poste Italiane, “aggiornamento-spid[.]com” rappresenta una variante rispetto allo standard, un sito creato simile a quello di Poste Italiane ma con un URL che risponde a un preciso bisogno del momento, legato a chi effettua ricerche per il malfunzionamento dello SPID di Poste Italiane durante il click day per il bonus mobilità oppure come dichiarato dal ministero per essere veicolato tramite e-mail ed SMS, un fenomeno che in Italia non è ancora usato frequentemente, ma che sicuramente appare in crescita.

Fortunatamente le banche hanno fatto passi enormi in termini di awareness comunicando con ogni mezzo ai propri clienti che mai un link o una richiesta di cambio dati o password sarà inviata via e-mail o SMS, ma molti si rifiutano di leggere con attenzione tali raccomandazioni con le conseguenze che conosciamo, ovvero di essere tratti in inganno, infettati e spesso derubati.

Si suggerisce di adottare strumenti appositi per il contrasto delle minacce su mobile device e contro il phishing via SMS, il cosiddetto smishing. In generale, tuttavia, alcune buone norme di comportamento per proteggersi dal phishing via e-mail ed SMS consistono in:

1. Conoscere i campanelli d’allarme. Ci sono alcune caratteristiche che possono indicare di essere vittima di un attacco attraverso un’e-mail. Alcuni campanelli d’allarme sono: scarsa formattazione, errori di ortografia e grammatica e saluti generici, come “caro utente” o “caro cliente”. È necessario assicurarsi che i link partano da https:// e non da http://. Non ci si deve fidare mai dei messaggi urgenti o allarmanti. Per gli SMS, di solito le banche e altre organizzazioni non inseriscono link direttamente nel messaggio, ma lo usano solo come notifica.

2. Non rivelare troppe informazioni. Come regola generale, bisogna condividere il minimo indispensabile, indipendentemente dal sito in cui ci si trova. Le aziende non hanno mai bisogno del codice fiscale o della data di nascita dei clienti per fare affari con loro. Quindi non si devono fornire mai le proprie credenziali a terzi.

3. Cancellare le e-mail sospette. È buona norma cancellare le e-mail sospette senza aprirle e senza cliccare su alcun link, oppure inoltrarle al reparto IT per le indagini.

4. Non cliccare sugli allegati. Non è consigliabile aprire gli allegati di queste e-mail sospette o strane ed in particolare gli allegati Word, Excel, PowerPoint o PDF.

5. Verificare il mittente. Per ogni e-mail che si riceve, è buona norma verificare chi la stia inviando. Chi o cosa è la fonte dell’e-mail? Ci sono errori di ortografia nel dominio e-mail? Controllare se ci sono errori di ortografia o alterazioni negli indirizzi e-mail del mittente. Non si deve esitare a bloccare i mittenti sospetti tramite il proprio client di posta elettronica. Per gli SMS si deve prestare più attenzione perché far apparire che un SMS sia stato inviato da una banca o altra organizzazione è veramente molto semplice. Quindi se non ci si aspetta l’SMS e se ne riceve uno con un link, è opportuno non cliccare.

6. Mantenere aggiornati i propri dispositivi. Come regola d’oro ci si deve assicurare che tutte le proprie applicazioni, sul proprio telefono cellulare e sul computer desktop, siano aggiornate alle ultime versioni del software. Queste versioni hanno le ultime patch di vulnerabilità e le ultime difese per mantenere il device al sicuro. L’utilizzo di software obsoleti può lasciare delle porte aperte agli hacker per accedere alle informazioni personali.

 

Fonte: AziendaDigitale