SICUREZZA: security (≠ safety), prevenzione e difesa non solo da PHISHING
<wikipedia>: La scienza della sicurezza è la disciplina che studia i rischi diretti ed indiretti di accadimento di eventi indesiderati, mirando ad indicare norme e best practices rispettando le quali si possa minimizzare la frequenza e la gravità di tali accadimenti operando in termini di rischio accettabile. La materia è multidisciplinare: sicurezza alimentare, sanitaria, stradale, sportiva, informatica, finanziaria, nucleare, ... da considerarsi distinguendo tra
- safety: prevenire danni all'incolumità della persona ad esempio l'antinfortunistica (D.Lgs. 81/2008, ex L626)
- security: prevenire danni all’incolumità delle informazioni, ad esempio prevenire perdita di dati con duplicazione degli stessi tramite backup, o prevenire trafugamento di informazioni riservate o segrete (privacy) tramite crittografie, passwords; come difendersi da email phishing o SMS phishing (smishing);
- emergency (soccorso), che riguarda il contenimento delle conseguenze o dell’aggravamento di un danno occorso, il che si ottiene ad esempio con interventi di pronto soccorso, protezione civile, vigili del fuoco, polizia, ...
- forme miste come un impianto di allarme, che mi parrebbe visibile sia come safety sia come security
- differenza tra security e safety, convergenza tra security e safety
Il ciclo della sicurezza si articola in ... CONTINUA IN SEGUITO DEL SOMMARIO
[Pagina senza pretese di esaustività o imparzialità, modificata 29/10/2024; col colore grigio distinguo i miei commenti rispetto al testo attinto da altri]
Pagine correlate: bene comune, dignità della persona, privacy, causa-effetto, what if, obiettivi, efficacia ed efficienza, rischio≠pericolo, responsabilità, RemedySicurezzaAllarmi, SpidLepida
↑2024.10.02 da qualche sconosciuto che non è nella mia lista contatti mi son trovato inserito nel fantomatico gruppo whatsapp YouTube-XL(02069) che promette facili guadagni e pagamenti in criptovalute: di quella community sono indicati amministratori vari, con numeri di telefono che risultano non raggiungibili con whatsapp. Mi son ben guardato dal cliccare sui link che proponevano. Il giorno dopo ho cominciato a ricevere messaggi anche da singole persone, che presunsi legate a quel gruppo; ad uno/a di loro ho risposto ordinando di rimuovere il mio numero di cellulare dai suoi contati e l’ho bloccato/a. Poco dopo, guarda caso, il fantomatico gruppo non mi risultava più disponibile, ed è cessato il disturbo. Continua qui con key sicurezza e pelosi inganni.
↑2024.07.27 L’autenticazione della carta d’identità elettronica può avvenire attraverso 3 livelli di autenticazione a sicurezza crescente:
- livello 1: accesso mediante una coppia di credenziali (username e password),
- livello 2: l’accesso prevede, in aggiunta alle credenziali di livello 1, l’impiego di un secondo fattore o meccanismo di autenticazione che certifichi il possesso di un dispositivo (es. codice temporaneo OTP, scansione QR code),
- livello 3: è richiesto l’utilizzo di lettore o uno smartphone dotato di tecnologia NFC per la lettura della CIE.
Scopri di più sui livelli 1 e 2 e sul livello 3.
↑2024.07.18 Con la legge 1° ottobre 2018, n.117, in Italia è diventato obbligatorio dal 2020 dotarsi di un dispositivo anti abbandono se si trasportano in auto bambini di età inferiore ai 4 anni. Nella tragedia di Marcon non ha funzionato o non c'era? [CzzC: scontato l’invito a non giudicare considerando l’accaduto come se potesse accadere solo agli altri, è con la prevenzione degli infortuni, anche imposta, che si può ridurre la frequenza degli inevitabili errori umani]
↑2023.12.18 ieri ricevetti una email che mi chiedeva di indicare la mia età, altrimenti sarei stato disabilitato dall’usare uno strumento di utilità (ChatGpt) di cui mi avvalgo anche per implementare un’app che uso per volontariato. Non cliccai sul link indicatomi dalla email, perché la sospettai fraudolenta (phishing); per curiosità provai a vedere cosa mi avrebbe detto al riguardo ChatGpt: annoto qui l’interlocuzione per segnalare la contraddizione di chi dice «non ho bisogno di informazioni personali come la tua età» ma in seguito mi ha disabilitato proprio per assenza di quel dato; successivamente ancora ho fatto accessoa ChatGpt con un altro indirizzo email, ma per continuare a lavorare ho dovuto accettare un riconoscimento facciale/webcam in base al quale il sistema ha potuto appurare che sono un adulto.
↑2023.11.07 <avvenire> Cripto, dark web e frodi online: per il neo procuratore di Napoli Nicola Gratteri è allarme mafie digitali (in anticipo alcuni contenuti del suo ultimo libro, "Il Grifone"). Diverse immagini mostrano come 'ndrine calabresi, per esempio, abbiano "assunto hacker tedeschi, scesi in Calabria per agire insieme ai boss" e altri della Romania, impegnati nel "phishing".
↑2022.01.08 da NC ricevo un messaggio su messenger di Facebook; allerto NC di probabile inganno, vista anche la stranezza dell'indirizzo. NC mi risponde: «vedo il messaggio come inviato da me a te e ad un sacco di amici ... tutti mi chiedono cosa sia successo ... mi trovo con più profili».
↑2021.12.22 h18:33 ricevo una chiamata telefonica da 06 9******4 a nome ENEL che mi pare sospettabile di phishing. In merito alle tentate truffe leggo dal sito ENEL «Invitiamo i clienti che dovessero ricevere e-mail sospette a segnalare l'accaduto attraverso i consueti canali di contatto: negozi Enel presenti sul territorio o i numeri verdi 800 900 800 per Enel Servizio Elettrico e 800 900 860 per Enel Energia», ma invano ho provato a chiamare entrambi i suddetti numeri il cui risponditore automatico non offre alcuna voce di menu relativa alla segnalazione di tentate truffe. Quindi segnalo via facebook: spett. ENEL, scusate se Vi disturbo pur non essendo un Vostro cliente, ma mi attivo in eventuale difesa di altre persone potenzialmente ingannabili da telefonate come quella che ho ricevuto sul mio telefono fisso 04**4****2 alle ore 18:33 di oggi 22Dic2021 dal numero che sul mio Chi è appare 069******4: riassumo appresso l’interlocuzione con la chiamante (indicherò lei con “NN”, me con “CzzC”) che con accento dell’Est iniziò così:
- NN: chiamo da ENEL: lei è il signor C... C...?
- CzzC: che ENEL sarebbe?
- NN: quello del servizio energia elettrica, ovviamente
- CzzC: non sono cliente ENEL e il numero che lei ha chiamato è nel registro delle opposizioni: ha controllato prima di chiamare?
- NN: ma Lei ha il nostro contatore in via G*** 12
- CzzC: le ripeto che non sono cliente ENEL
- NN: e chi sarebbe il suo fornitore di energia elettrica?
- CzzC: non sono tenuto a dirglielo e lei sta abusando della mia disponibilità, pur sapendo adesso che ha chiamato indebitamente un numero presente nel registro delle opposizioni.
Ho quindi abbattuto la telefonata perché non credo che la serietà di ENEL si permetta di affidare il marketing a impertinenti della specie, e, dunque, mi permetto di sospettare che si tratti di ingannatori. In via più riservata potrei fornirvi completo il numero chiamante e chiamato qui mascherati.
Colgo l’occasione per augurare buone festività natalizie.
Il 23Dic Enel mi ringrazia per la segnalazione precisando che il suddetto numero chiamante non fa parte dei recapiti Enel Energia autorizzati; a me TIM dice "numero inesistente". Annoto in pagina riservata l'interlocuzione con Enel.
↑2021.11.19 Msg Whatsapp sospetto da +34.6**.*****7, numero sconosciuto al destinatario +39.3**.******8; sospetto sia di phishing sia di malintenzione.
↑2021.10.19 il 14 u.s. avevo ricevuto un SMS «A*N sta crescendo del 49% nel 2021! Investi ...... rispondi SI per scoprire di più» al quale avevo risposto «sì» per la curiosità di vedere gli sviluppi. Ieri mi chiamò sul cellulare una lei da +39 339*52 con accento dell'Est in relazione al mio interessamento; dopo alcune domande esplorative mi disse che mi sarei dovuto collegare col computer ad una piattaforma dove lei mi avrebbe spiegato come operare, mi insospettii e le chiesi di mandarmi una email dove io potessi verificare chi sia la società che mi sta interloquendo; si innervosì, fino ad imbufalirsi perché sarei io che avevo bisogno di informazioni ed invece impongo i miei criteri di comunicazione. Quando mi offese dicendomi che forse mi ero già dimenticato il suo nome e il nome della società per la quale mi aveva chiamato le dissi: «Lei si sta comportando male con un potenziale cliente» e riagganciai. Oggi 19 Ott. mi ha chiamato un lui da +39 333*03: ha nominato una società di investiment che se ho capito bene era quella di ieri; riferii che la sua collega mi aveva dato quasi del cretino; disse di non saperne; chiesi se si trattava di trading online e rimase un po' sorpreso quando gli dissi che avevo lavorato in b.; cercava di tergiversare, lo portai al dunque: senza una email come suddetto io non avrei proseguito la comunicazione con loro; prese nota del mio indirizzo @alice; lo salutai dicendo che era stato più corretto della sua collega. Il 22/10 annoto che non mi è arrivata alcuna email; annoto ricezione di telefonate strane ad esempio su cellulare h12:50 da +39 081*98, h14:15 da +39 377*31, su fisso h20:44 da 06*54 che resta muto: provo a richiamarlo ma mi risponde TIM dicendomi che «il numero chiamato è inesistente». Si stuferanno.
↑2021.10.14 SMS sospetto «Il tuo pacco e stato trattenuto presso il nostro centro di spedizione. Si prega di seguire le istruzioni qui: http://ice*/x*» [CzzC: fornirei l'originale alle FFO]
↑2021.10.05 invio messaggio pec a una ditta che vende apparecchi acustici: se l'allegato SMS fosse un caso di phishing, vogliate ignorare il seguito della presente e scusarmi. Se invece si trattasse di missiva originata dalla Vostra Società o da altra Società da Voi incaricata allo scopo, permettetemi di chiedervi quanto segue:
1) vogliate usare i miei dati che avete registrato nei Vostri archivi solo per rispondere in merito al presente reclamo e non per altre comunicazioni, almeno finché io non Vi fornisca direttamente una liberatoria privacy come sarebbe nell'eventualità che divenissi Vostro cliente;
2) vogliate far cancellare i miei dati dagli archivi di eventuali Società cui li aveste forniti;
3) se possibile, vogliate indicarmi da quale Società abbiate ricevuto il mio numero di cellulare +39 3** ******4 cui è arrivato l'allegato SMS.
↑2021.09.09 pro remedy sicurezza ICT accludo esempio di email non destinate a me ma arrivate alla mia casella di posta @gmail, che per privacy sovrascrivo con acronimo.
↑2021.07.30 ho ricevuto da ebay@ebay.com questa email contenente un link rover.ebay.com laddove mi sarei aspettato link ebay.it o ebay.com e mi sono attivato per sgamare eventuale phishing: ho fatto login ad ebay partendo dalla mia lista providers ed ho trovato il medesimo messaggio nell'elenco dei messaggi inviati, dal che mi sono tranquillizzato, ma mi piacerebbe sapere perché ebay usi un link prefissato rover, disturbandomi.
↑2021.07.12 ho ricevuto <SMS> phishing PosteInfo apparentemente dal numero +393504996, che ho bloccato.
↑2021.01.30 <google money bufale affit> Corrado Augias critica "inefficienza" Enel ma è vittima di phishing [CzzC: questa volta C.Augias ha bufalato in buona fede, ma che dire quando perfino Vito Mancuso dovette smarcarsi dall'amico co-autore beccato copione? Chi di copia-incolla ferisce ... Nel 2009 il povero Mancuso al riguardo si lagnò così "amareggiato, completamente sbalordito ... Non c'è possibilità di negare l'evidenza. Sono le stesse parole, con gli stessi verbi, la stessa successione delle frasi. È impressionante. Io però non ho responsabilità. Anzi, se in tutto questo c'è una vittima, sono io"»]
↑2021.01.29 il 2021.01.28 h17:40 spedii all'estero un pacco raccomandato tramite Poste Italiane; ESATTAMENTE 24 ore dopo ricevetti questa email che sospettai truffaldina perché notai (senza cliccare) lo strano url linkato al campo "invia il mio pacco". Mi chiedo quali informazioni possa aver trafugato il mittente per riuscire a mandarmi una tale email esattamente 24 ore dopo la data-ora stampata dalle Poste sulla ricevuta della mia spedizione: fatico a pensare che si tratti di coincidenza temporale del tutto casuale, senza alcuna fuga di informazioni dalla filiera del trasporto. Segnalo a CommissariatoDiPS.
↑2020.03.02 apprendo da <assoutenti> l'indirizzo email cui segnalare uno smishing (SMS phishing) arrivato sul mio cellulare, ma ottengo come risposta «Il messaggio non può essere recapitato perché il recapito a questo indirizzo è limitato»
↑2017.12.27 bitcoin: <s24h>: società di cybersicurezza come Eset e Kaspersky Lab hanno individuato un'impennata di JS/CoinMiner, un trojan che fa mining pro generazione di valuta digitale (criptovaluta), inserito molto spesso in banner presenti su siti “affidabili”; gli effetti dell'infezione sono poco evidenti (computer rallentato).
↑2017.05.23 <fb>: come configurare opportunamente il proprio account su facebook per tutelarne meglio la sicurezza. [CzzC: mi piacerebbe, peraltro, che fb sapesse rinunciare a pelosi (3fig) guadagni, piuttosto che introdurre, pro certi regimi illiberali, configuazioni, trappole e filtri che li facilitino nello spionaggio e framing dei propri sudditi]
↑2017.02.23 Partecipo alla riunione all’Urban Center “come proteggere la propria casa da intrusioni“ dove apprendo che dal 2012 al 2015 i furti nelle abitazioni sono aumentati del 200%: tra le cause la quasi certezza di farla franca e la legislazione garantista. Particolarmente colpiti i piani bassi. Resistenza all’effrazione RC1 RC2 ... RC5 RC6.
↑2016.10.06 <donnamoderna.p32>: dopo il caso Yahoo come difendersi dal furto dei dati: su smartphone Android scarica la app gratuita Mp-Shield realizzata da Adiconsum con l’UniTorVerg e con la Gdf; su PC abbi un antivirus e firewall.
↑2016.09.05 Riguardo alla salute girano su web bufale (false cure) e notizie errate: <ansa>: si chiamerà Attenti alle bufale il sito al quale sta lavorando la Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri (Fnomceo) e che avrà l'obiettivo di metterci in guardia dai ciarlatani pullulanti in Rete.
↑2015.08.24 Caro Andrea, ti chiedo per favore se questo messaggio.nw è roba autenticamente tua o phishing.
↑2013.09.30 Dal segretario della Difesa britannico: «La guerra moderna sarà combattuta davanti ai computer». Crescente dipendenza dai sistemi di It e maggior precisione degli attacchi cibernetici. «Perché bombardare un campo di aviazione se fosse possibile paralizzarlo con un attacco informatico?».
↑2010.12.13 <sdiremigio>: Campi elettromagnetici, cellulari, reti di TLC, la sicurezza in ambito ICT
------------------------------------
Il ciclo della sicurezza si articola in
- L'analisi normativo-ambientale delle attività e dei processi (studio e prescrizioni).
- Le misure relative alla prevenzione e quelle relative alla protezione (attive, passive, strutturali, impiantistiche, amministrative o disciplinari)
- La gestione continuativa della sicurezza con formazione, informazione, manutenzione dei dispositivi, esercitazioni, piani di sicurezza, adeguamento delle norme, controlli
[CzzC: ci piacerebbe che gli investimenti in sicurezza e la relativa responsabilità operativa derivassero principalmente da una persuasione in premura per il bene comune e per il rispetto della dignità della persona: così è comunque dichiarato, ma ho l’impressione che la spinta a legiferare e a sanzionare il mancato rispetto delle norme derivi principalmente dalla dissuasione esercitata da un rapporto di forza economico (il che non è male, visto che l’economia muove energie più della idealità), cioè il rapporto tra i costi di prevenzione o assicurazione e il costo medio di riparazione dei danni occorsi. Ad esempio?
- Assai precisa è la normativa - e salate le multe ai trasgressori - nell’ambito della sicurezza stradale, dove i danni vengono normalmente pagati dalle assicurazioni;
- assai più carente è il rispetto della normativa sulla sicurezza a fronte di abitabilità concessa in presenza di altri rischi (ad esempio idrogeologico, vulcanico, sismico), dove i danni vengono normalmente pagati dallo stato;
- che significa? Rispondo esemplificando:
- Se imponessimo anche agli edifici, come hanno le Banche contro le rapine, una copertura assicurativa contro i danni dai suddetti rischi, magari iniziando con una polizza che coprisse solo il 10% del valore dell’immobile, molto probabilmente scemerebbe l’edificabilità e l’abitabilità sulle pendici del Vesuvio e nelle aree che si trovano sotto il livello di attigui fiumi ben prima di quando si potesse ottenere dai piani urbanistici, mentre la mala costruzione di edifici nelle zone affette dai suddetti rischi sarebbe sgamata dai tecnici delle assicurazioni forse prima e meglio che dai tecnici del Comune.
- C’è chi detesterebbe la suddetta copertura assicurativa se obbligatoria, ad esempio il prof Luciano Pilotti di ESP/UniMI, che su MondoNuovo appoggia il Presidente di Confindustria Orsini nel sostenere che le assicurazioni della specie sono inefficaci e inefficienti per “effetti spiazzamento” ed “effetti farfalla”: eccepirei su quel sostenere, argomentando come leggeresti qui.