Questa volta siamo di fronte a una notizia bomba, sia per l’interesse nazionale (visto che si tratta di una banca nota a livello globale oltre che italiano) che per le dimensioni (oltre 3 milioni di clienti vittime del data breach). Il furto dati a Unicredit ha fatto il giro del mondo, tant’è che anche l’autorevole The Hacker News ha dedicato un articolo a questo fatto.
Ma quali dati sono stati sottratti? E soprattutto cosa fare (e cosa evitare)? In questo articolo cercheremo di dare risposte e di fornire informazioni utili ai clienti Unicredit.
Il fatto: un furto dati a 3 milioni di clienti italiani
Purtroppo, al momento non è possibile fare un’analisi approfondita del data breach: non si conosce molto delle modalità del furto (la banca non ha fornito dettagli), ciò che sappiamo è che si tratta di un database del 2015 contenente dati personali di ben 3 milioni di utenti.
Sebbene Unicredit sia una banca globale, il furto interessa solo clienti italiani.
Quali dati personali sono stati sottratti?
- nominativi dei clienti;
- numeri di telefono;
- indirizzi e-mail;
- città.
Cosa NON è stato rubato? Fortunatamente non sono stati rubati né codici di accesso né dettagli del conto corrente, che sono immagazzinati in un altro ambiente più sicuro di quello oggetto dell’attacco.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Terzo attacco in quattro anni
Non è la prima volta che Unicredit viene presa di mira e subisce un attacco di questo tipo. Era già successo nell’ottobre del 2016 e giugno 2017, coinvolgendo 400.000 clienti.
Cosa rischiano le vittime del data breach?
I dati sono stati trovati nel dark web, quel mondo sommerso di internet dove si possono acquistare informazioni illegalmente.
Il pericolo principale è essere vittime di un nuovo attacco informatico, questa volta via e-mail. Ci riferiamo al phishing: avendo a disposizione una consistente mole di informazioni, le mail truffa possono essere ancor più credibili e ancor meno distinguibili da una mail proveniente da Unicredit. Se infatti viene inviata una mail contenente informazioni quali nominativo, numero di telefono e mail, un utente poco accorto potrebbe essere portato a fornire informazioni sensibili a qualcuno che millanta di essere la banca.
Non rischiano invece la sottrazione di somme di denaro dal proprio conto, a meno di cadere nella trappola del phishing.
Cosa ha fatto Unicredit per rimediare
La prima cosa è stata notificare alle autorità il data breach non appena venuti a conoscenza del fatto (si ricorda che la normativa europea sulla privacy GDPR impone una denuncia entro le 72 ore dalla scoperta).
In seconda istanza Unicredit ha cominciato a contattare i clienti informandoli dell’attacco, dei rimedi intrapresi e fornendo consigli per aumentare la sicurezza del proprio conto personale.
Infine, ha comunicato che sono stati rafforzati i controlli di sicurezza, anche a seguito di investimenti in sicurezza informatica (va detto però che questi investimenti sarebbero stati comunque previsti, anche senza il data breach).
Cosa deve fare un cliente Unicredit?
Niente panico, non è necessario cambiare banca, anche perché tutte le banche possono essere oggetto di attacchi informatici su larga scala.
Quello che va fatto è evitare scelte imprudenti e comunicazioni di dati a cuor leggero.
Soprattutto, dubitare di mail che richiedono di cliccare su link in cui inserire dati personali e di accesso. Ora gli hacker hanno a disposizione dati per scrivere ai clienti simulando di essere Unicredit. Mai e poi mai nessuna banca vi chiederà di cliccare su un link di questo tipo.
La migliore difesa rimane quella umana, effettuando scelte prudenti e solo tramite il sito ufficiale di Unicredit o l’app, oppure controllando periodicamente i movimenti di conto e carte di credito.
In questo senso vengono in aiuto i sistemi di autenticazione e autorizzazione di pagamenti a due fattori (es. autorizzazione tramite app), grazie ai quali è davvero difficile per un criminale informatico dirottare somme su altri conti correnti.
Interessato a un’analisi del rischio informatico per la tua azienda? Chiedi consiglio a Noi Sicurezza:
CHIEDI INFORMAZIONI