Passa al contenuto principale

Conferenze e chiamate video: come mettersi al sicuro dagli hacker

Dallo scoppio della pandemia di COVID-19, molte attività che prima venivano svolte di persona sono migrate online. Dalla didattica a distanza per i bambini, allo smart working su larga scala, fino ai rapporti con gli amici e i parenti: tutti noi ci affidiamo sempre di più a Internet per restare in contatto e questa tendenza non accenna a diminuire.

Le videoconferenze sono un elemento chiave di questa infrastruttura. Nell'aprile 2020, Zoom ha annunciato di registrare 300 milioni di partecipanti al giorno a conferenze sulla sua piattaforma, trenta volte più dei 10 milioni registrati nel dicembre 2019. Un bell'incremento, in soli quattro mesi. La pandemia ha incoronato Zoom come applicazione più scaricata degli ultimi mesi. Studenti, insegnanti, famiglie, aziende e gruppi di ogni tipo e di ogni dimensione si affidano a videoconferenze per svolgere compiti e attività, non fanno eccezione utenti di alto profilo come Alan Greenspan, ex presidente della Federal Reserve americana, e Boris Johnson, primo ministro britannico. Ma quanto sono sicuri questi servizi e come potete proteggervi?

Analizziamo insieme i principali rischi di sicurezza collegati alle videoconferenze e cosa si possa fare per mettersi al sicuro.

Quanto sono sicure le chiamate e le conferenze online?

Il governo americano considera la tendenza al lavoro in remoto una questione di sicurezza nazionale, considerato il potenziale di violazione informatica. L'agenzia per la sicurezza nazionale americana (NSA) ha recentemente pubblicato una valutazione dei 13 strumenti per videoconferenze più utilizzati.

I criteri di valutazione includono:

  • Il servizio utilizza crittografia end-to-end, che limita la possibilità di terzi di intercettare la chiamata?
  • Utilizza un'autenticazione a due fattori, ovvero l'opzione che permette all'utente di verificare ogni accesso ai suoi account?
  • È una tecnologia fondata su un codice pubblico, open-source e considerato più sicuro di software proprietari non trasparenti?
  • Lo strumento condivide dati con terze parti o affiliati?
  • Se necessario, gli utenti possono eliminare dati in tutta sicurezza dal servizio e dai suoi spazi di archiviazione (sia da lato client che server)?

Potete leggere qui il rapporto completo, ma possiamo riassumere la conclusione dell'agenzia: ognuno dei servizi di videoconferenze ha almeno una falla di sicurezza. Ad esempio:

  • Google G Suite e Microsoft Teams non hanno una crittografia end-to-end e non sfruttano un codice open-source
  • Cisco WebEx, Zoom, Slack e Skype for Business presentano protocolli per la cancellazione dei dati non ottimali
  • GoToMeeting non offre un'opzione di autenticazione a due fattori

La NSA ha dato il punteggio più alto a WhatsApp di Facebook, Signal (il codice sfruttato da WhatsApp) e all'app di chat Wickr. Sebbene il rapporto della NSA non sia conclusivo, è un'utile panoramica sui problemi chiave della sicurezza delle videoconferenze e sottolinea il fatto che nessuno dei prodotti attualmente disponibili sul mercato soddisfa tutti i requisiti di sicurezza.


Le domande da porsi sulla sicurezza degli strumenti per videoconferenze

Le prime domande da porsi riguardo a uno strumento per videoconferenze sono:

Dispone di una crittografia end-to-end?

Si tratta di un tipo di crittografia che mette al sicuro le comunicazioni in modo che possano essere viste solo dagli utenti coinvolti, e che nessuno possa intercettarle, nemmeno l'app stessa. Per scoprire di più sulla crittografia dei dati e su come funzioni, leggete il nostro articolo "Cos'è la crittografia dei dati?"

Le videochiamate possono essere intercettate e registrate da terzi?

Qualcuno può spiare la chiamata e potenzialmente registrarla? Chi può unirsi alla chiamata e come? Nel momento in cui le scuole si appoggiano a Zoom per le lezioni online, il problema della violazione della privacy solleva dei dubbi sulla salvaguardia dei bambini. Le riunioni su Zoom sono accessibili attraverso un URL breve composto da numeri, facilmente generabile e indovinabile dagli hacker.

Come vengono utilizzati i dati dei vostri account?

 Fino a che punto vengono rispettati quadri normativi come il GDPR europeo o il Consumer Privacy Act californiano? Quanto sono trasparenti le app con i loro utenti, riguardo ai dati che vengono raccolti e alle terze parti che vi hanno accesso?

Dove sono conservati, all'interno del computer o del telefono, i dati associati all'app?

Questo è particolarmente importante nel caso si maneggino informazioni e documenti privati.

Ad esempio:

  • Su Skype, le foto ricevute vengono salvate sul dispositivo a meno che questa impostazione non venga modificata (accedere a "Messaggistica" in "Impostazioni" su Android o iOS per configurare l'opzione.)
  • In Zoom, scaricando il registro di chat associato a una videoconferenza, questo conterrà anche tutte le chat private fra i partecipanti alla chiamata. Questo potrebbe rappresentare un problema per le chiamate di lavoro in cui si desidera avere una conversazione privata e non accessibile ad altri.

Esistono misure di sorveglianza in-app?

As esempio, Zoom è stato criticato per la sua funzionalità di "tracciamento dell'attenzione", che permette a chi organizza la chiamata di vedere se un partecipante fa clic al di fuori della finestra di Zoom per oltre 30 secondi. Queste funzionalità può permettere a datori di lavoro di controllare se i dipendenti stanno veramente seguendo una riunione di lavoro, oppure se gli studenti stanno davvero assistendo a una presentazione di classe in remoto.

È possibile scaricare inavvertitamente dei malware che possono portare a violazioni? 

Ad esempio, gli utenti possono scaricare inavvertitamente app che ottengono accesso a telecamera e microfono? L'app o il malware potrebbero poi rivelare informazioni personali a un hacker, che potrebbe quindi rivenderle.

In particolare per quanto riguarda Zoom: in passato sono state segnalate molte vulnerabilità di sicurezza per questa app. Ad esempio, nel 2019 è stato rivelato che Zoom aveva installato un server Web nascosto sui dispositivi degli utenti, che permetteva all'utente di venire aggiunto a una chiamata senza il suo permesso. Un altro bug permette agli hacker di prendere il controllo del Mac di un utente Zoom, oltre a poter intercettare la webcam e il microfono. In risposta, Zoom si è impegnato a risolvere questi problemi di sicurezza e fornisce aggiornamenti regolari sul blog aziendale.

Esempi di violazioni video

Una delle violazioni video di cui si è molto parlato di recente è lo “Zoom bombing”. Questo avviene quando degli hacker entrano in una chat room, invadendola con linguaggio razzista o minacce violente. Sebbene il termine "Zoom bombing" faccia riferimento specificamente a Zoom, incidenti simili si sono verificati anche su altre piattaforme di videoconferenze, incluse WebEx e Skype. Il 30 marzo 2020, l'FBI ha annunciato di stare indagando sull'aumento dei casi di violazioni video.

In forum come Reddit o Discord, si sono verificati tentativi coordinati di disturbare sessioni Zoom. Su Twitter, molti account hanno pubblicato password per videoconferenze alle quali era possibile accedere senza permesso. In alcune scuole, degli studenti hanno fatto il tifo per le violazioni video, come modo per interrompere le lezioni online.

Le sessioni Zoom compromesse, invase da utenti non invitati che hanno detto cose oscene, razziste o antisemite, obbligando l'organizzatore a chiudere a sessione, sono state poi pubblicate dagli hacker su piattaforme di condivisione video come TikTok e YouTube.

In passato, semplici ricerche di URL su Google che includevano "Zoom.us" potevano dare come risultato conferenze prive di protezione password, rendendo molto facile per gli hacker invaderle.

Certo, l'invasione delle riunioni è un fenomeno molto fastidioso per i partecipanti, ma una minaccia ancor più preoccupante sono intrusi che spiano le riunioni senza far notare la loro presenza: questo sì che è un rischio molto serio, sia per la sicurezza aziendale che per la privacy degli utenti.

Forbes ha recentemente segnalato un hacker che ha messo in vendita oltre 500.000 credenziali Zoom rubate, inclusi URL e chiavi d'accesso per le conferenze. Molto probabilmente una grossa fetta di queste credenziali erano password riutilizzate, che gli hacker avevano ottenuto da qualche altra parte.

Per tutta risposta, Zoom ha dichiarato che:

 “Ci siamo già rivolti a svariate aziende di intelligence per individuare questi archivi di password e gli strumenti usati per crearli, oltre a una ditta che ha chiuso migliaia di siti Web che convincevano gli utenti a scaricare malware o a rivelare le proprie credenziali. Stiamo continuando a indagare, stiamo chiudendo gli account compromessi e stiamo chiedendo agli utenti di modificare le loro password e di renderle più sicure. Infine, stiamo cercando di implementare soluzioni tecnologiche aggiuntive a sostegno dei nostri sforzi.”

Zoom call online risks and dangers”

Come proteggere le vostre chiamate Zoom

Sebbene Skype sia molto conosciuto ed esista ormai da parecchio tempo, e sebbene la gente sia abituata a usare FaceTime per le chiamate con gli amici, l'app di videoconferenze che è diventata in assoluto più popolare dallo scoppio della pandemia è Zoom.

Con il rapido incremento degli utenti, Zoom ha subito molte critiche di non aver preso sul serio i rischi di sicurezza per gli utenti. In particolare, la mancanza di una crittografia end-to-end, un problema ora risolto, era causa di preoccupazioni. Zoom ha pubblicato delle guide per mettere in sicurezza le riunioni in un post su blog e in un video, ma questo non è altro che un modo per scaricare la responsabilità della protezione sugli utenti.

7 consigli per proteggere le vostre chiamate Zoom

  1. Proteggente le chiamate usando delle password e richiedendo l'autenticazione. In questo modo, solo ospiti con invito potranno partecipare. Eliminate partecipanti indesiderati o che causano disturbo.
  2. Disabilitate la condivisione degli schermi. In questo modo, solo chi è autorizzato potrà condividere il proprio schermo.
  3. Fate attenzione quando cliccate su link o aprite documenti che vi sono stati inviati. Verificate, usando un altro canale di comunicazione, che il mittente vi abbia davvero mandato quel link o documento.
  4. Fate attenzione a ciò che mostrate sullo sfondo. Ad esempio, spostate gli oggetti personali o le foto dei vostri figli, se non volete che vengano visti. Zoom vi offre anche la possibilità di impostare uno sfondo dietro di voi (altre app di conferenze, come Skype, vi danno l'opzione di sfocare ciò che si trova dietro di voi).
  5. Fate attenzione a ciò che è visualizzato sul vostro schermo prima di usare la funzione di condivisione dello schermo. Ad esempio, qualsiasi altra scheda o finestra di chat privata aperta, o documenti che potrebbero mostrare informazioni finanziarie o personali. Fate attenzione a non mostrare qualcosa che contenga il vostro indirizzo, né l'immagine di un vostro documento identificativo, di una carta di credito o qualsiasi altra cosa non vogliate rivelare a sconosciuti.
  6. Controllate le vostre impostazioni. Ci sono alcune impostazioni di sicurezza che non sono abilitate in modo predefinito. Zoom presenta varie impostazioni per desktop e mobile, le impostazioni desktop sono più dettagliate e offrono più controllo di quelle della versione per smartphone. Ad esempio, gli organizzatori dispongono di più strumenti gestionali e gli utenti possono gestire gli account bloccati solo su desktop. 
  7. Tenete d'occhio i nuovi aggiornamenti per l'app in arrivo. In questo modo, sarete sempre al passo con le impostazioni di privacy e sicurezza disponibili.

Come mantenere le chiamate video al sicuro dagli hacker

I dettagli di sicurezza variano da piattaforma a piattaforma, per questo è molto importante familiarizzarsi con la piattaforma selezionata. Detto questo, i principi di base sono gli stessi.

Ecco alcuni consigli per la sicurezza delle chiamate video:

Occhio a quello che condividete


Fate attenzione a quello che condividete online, incluso ciò che dite o fate durante le chiamate video. Il rischio che qualcuno possa ottenere una registrazione della chiamata o che possa ascoltarla di nascosto è sempre presente, fate attenzione a ciò che rivelate. Tenete per voi le informazioni personali, a meno che non sia strettamente necessario esporle.

Verificate bene chi ha accesso al link di invito


Non pubblicatelo in post pubblici sui social, in e-mail di gruppo, in profili online, né in qualsiasi posto dove possa essere visto da altri. Invitate i partecipanti direttamente dal software per conferenze e dite loro di non condividere il link.

Impostate degli avvisi quando le riunioni vengono inoltrate


In questo modo riceverete un avviso quando l'invito per la riunione viene inoltrato via e-mail a qualcun altro. Saprete così se ci sono invitati aggiuntivi e potrete intervenire in caso l'inoltro dell'invito non sia legittimo. Se necessario, pianificate una nuova riunione con nuove credenziali di accesso.

Scegliete una password complessa


La maggior parte delle app per chiamate video vi permette di proteggere le chiamate con una password. Scegliete una password complessa e non una facilmente indovinabile. Usate password solide e diverse per ogni app e servizio.

Scegliete la crittografia end-to-end per i vostri strumenti per videoconferenze


Assicurandovi così che nessuno possa avere accesso alle vostre comunicazioni. Le principali app per videochiamate con crittografia end-to-end sono:

  • Google Duo
  • FaceTime di Apple
  • WebEx di Cisco
  • GoToMeeting
  • WhatsApp
  • Signal

Mantenete aggiornato il vostro software


Aggiornate regolarmente le app. Quando vengono scoperte nuove vulnerabilità o exploit della privacy, si tratta solitamente di versioni più vecchie delle app. Gli aggiornamenti spesso includono risoluzioni di bug e patch di sicurezza che risolvono problemi e vulnerabilità. Mantenere aggiornata la vostra app per videoconferenze è uno dei migliori modi per restare al sicuro dagli hacker, perché disporrete sempre di tutte le patch e le risoluzioni di errori più recenti per proteggersi dalle falle nella sicurezza. Si tratta inoltre di una precauzione generale, che dovreste applicare a qualsiasi app e non solo a quelle per videochiamate e videoconferenze. Aggiornare app e dispositivi è molto semplice, su tutte le principali piattaforme. Solitamente, non dovrete far altro che confermare l'aggiornamento. Verificate che tutti i partecipanti alla conferenza dispongano dell'ultima versione disponibile.

Bloccate l'accesso alla riunione una volta che tutti i partecipanti si sono uniti

Tuttavia, nel caso in cui un partecipante si disconnetta, ricordatevi di riaprire l'accesso per permettergli di rientrare, quindi chiudetelo nuovamente.

Utilizzate l'opzione stanza di attesa nel software per videoconferenze


Questa funzionalità mette i partecipanti in una stanza d'attesa virtuale, in attesa che il meeting inizi, permettendo all'amministratore di ammettere solo le persone che realmente devono partecipare. Questo controllo dovrebbe venire effettuato dal presidente o organizzatore della riunione. Invitate tutti i partecipanti a identificarsi a voce all'inizio della riunione, per rilevare eventuali persone non invitate.

Informatevi


È molto importante informarsi sul funzionamento di un software prima di utilizzarlo, fate le vostre ricerche. Prendetevi il tempo necessario per esplorare tutte le impostazioni, controllate il vostro profilo utente e tutto quello a cui avete accesso, per capire se è necessario modificare qualcosa. Se c'è qualcosa che vi confonde e non sapete cosa fare, fatevi un appunto e ricontrollate più tardi per capire se dovete agire in qualche modo.

how to protect video calls online

Attivate le funzionalità extra di protezione della privacy

Vale sempre la pena verificare le impostazioni video per scopire se c'è qualche funzionalità aggiuntiva da abilitare.

Ad esempio:

  • Su Skype, potete scegliere se altri utenti possono trovarvi attraverso il numero di telefono o l'indirizzo e-mail.
  • Su FaceTime, potete controllare se altre persone possono trovarvi attraverso un numero di telefono o un indirizzo e-mail. Se non desiderate che vecchi compagni di scuola o lontani parenti vi trovino, disattivate questa opzione.
  • Su Google Duo c'è la funzione Knock Knock, che mostra il vostro video ai contatti quando li chiamate, prima che rispondano. Se questo non vi piace, toccate i tre puntini nell'angolo in alto a destra dell'interfaccia principale, quindi "Impostazioni" e "Knock Knock" per disattivarla.

Scaricate sempre le app dagli app store ufficiali

Imparate come identificare le app fasulle. Controllate le valutazioni e le recensioni degli utenti e fate attenzione alle app che provengono da siti Web non autorizzati.

Comunicate solo con persone che conoscete davvero

Assicuratevi che le persone partecipanti alla videoconferenza siano affidabili, prima di condividere qualsiasi informazione privata. Non accettate richieste di chat o chiamate da persone sconosciute. Non rispondete a chiamate di sconosciuti.

Impostate l'autenticazione multifattore

In questo modo sarà più difficile per gli hacker ottenere accesso ai vostri dispositivi o ai vostri account online, poiché la password da sola non basta e viene richiesto un codice PIN aggiuntivo.

Quando non siete in una chiamata, assicuratevi che l'app non sia attiva

Le aziende tenteranno di spiarvi appena possibile, non date loro una mano. Coprite la vostra webcam quando non è in uso e assicuratevi di chiudere completamente l'app o il programma quando avete finito la chiamata.

Impedite la registrazione delle chiamate

Bloccate la possibilità di registrare la riunione per tutti i partecipanti tranne l'organizzatore, oppure attivate degli avvisi nel caso qualcuno dei partecipanti inizi a registrare.

Disattivate qualsiasi cosa conceda troppi permessi all'app

Ad esempio, qualsiasi cosa possa permettere la condivisione di informazioni a terzi e qualsiasi cosa sostenga di migliorare la vostra esperienza dando accesso ai vostri dati a inserzionisti partner. Disattivate le impostazioni che permettono a sconosciuti di trovarvi, chiedervi l'amicizia, inviarvi messaggi o unirsi al vostro gruppo o alla vostra stanza. Disattivate la possibilità di farvi registrare. Usate una password per tutto.

Non fate una videochiamata se non ce n'è bisogno

Disattivando la webcam e ascoltando semplicemente l'audio impedirete agli altri di scoprire più informazioni su di voi studiando gli oggetti sullo sfondo. Usando solo l'audio, occuperete meno banda Internet e migliorerete la qualità audio e video dell'intera riunione.

Se partecipate a chiamate con molte persone, considerate l'uso di webcast invece di una videoconferenza 

Il webcast è una conferenza o una presentazione online. I partecipanti possono guardare la presentazione e inviare domande a chi la presenta, oppure comunicare con altri delegati. Nei webcast il controllo è nelle mani dell'organizzatore e dei presentatori selezionati, permettendo di gestire meglio le riunioni con molti partecipanti.

Fate attenzione quando usate reti Wi-Fi pubbliche

Le stesse caratteristiche che rendono gli hotspot Wi-Fi gratuiti appetibili ai consumatori li rendono desiderabili anche agli hacker: si tratta della possibilità di stabilire una connessione di rete senza effettuare alcuna autenticazione. Questo offre agli hacker un'incredibile opportunità di accedere liberamente ai dispositivi non protetti connessi alla stessa rete. Prendete precauzioni quando lo fate.

Non date il vostro telefono a persone di cui non vi fidate

Chiunque abbia accesso fisico al vostro telefono potrà facilmente installarvi app dannose e causare problemi.

Ricordate: gli hacker e i cybercriminali sono sempre alla ricerca della giusta occasione. Le videoconferenze, visto l'enorme incremento nel loro uso, sono diventate un bersaglio. Via via che la tecnologia correlata si evolve, i principali attori dovranno aumentare gli sforzi per garantire la sicurezza degli utenti.

Nel frattempo, un modo per restare al sicuro è con la protezione di Kaspersky Antivirus, che tiene alla larga i virus su PC e Android, archivia in tutta sicurezza le vostre password e i vostri documenti privati, e cifra i dati inviati e ricevuti con una VPN.

Articoli correlati:

Conferenze e chiamate video: come mettersi al sicuro dagli hacker

L'utilizzo di strumenti per videoconferenze è aumentato in modo esponenziale a causa del Coronavirus. In questo articolo, imparate i rischi connessi e come mettere al sicuro le vostre videoconferenze.
Kaspersky logo