Skip to content Skip to footer

Cena in (in)sicurezza

Quante volte hai passato dei bellissimi momenti seduto al tavolo di un delizioso ristorantino in compagnia dei tuoi amici più cari parlando del più e del meno e degustando prelibatezze di ogni tipo?

Bene adesso analizziamo una situazione abbastanza comune e cerchiamo di capire rischi e pericoli derivanti da questo scenario.

Cena con attacco

Sono le ore 20:30 siamo appena entrati al ristorante, ci sono altre persone prima di noi, il cameriere sta controllando la prenotazione sul pc con il software gestionale del locale. Dopo aver accompagnato i signori l tavolo è il nostro turno, senza particolari problemi in 2 minuti siamo seduti al nostro tavolo e stiamo consultando il menù.

Siamo tra amici ed è qui che stiamo pianificando la nostra prossima vacanza al mare, ma purtroppo (come in molti posti) nel locale lo smartphone prende poco, quindi ci colleghiamo alla rete WI-FI del locale, così effettivamente va molto meglio la rete è velocissima (forse fibra ottica) meglio così.

Tutto procede per il meglio e tra un boccone, una battuta e una risata continuiamo a parlare dell’imminente vacanza cercando sui social immagini e recensioni degli hotel fino a trovare quello che ci convince, ma purtroppo la disponibilità di camere è esaurita, ci viene in mente di provare a cercare altre disponibilità su portali turistici specifici, proviamo un noto portale del settore.

Niente. Solo dopo varie ricerche, bingo: hotel trovato, prenotazione effettuata su un portale con una disponibilità residua e ricevuta conferma via email dove è richiesto il completamento dell’ordine. Procediamo subito dal momento che sono necessari i dati dei viaggiatori per prenotare la camera, dopo 3 minuti siamo di nuovo tutti a immaginare quanto ci divertiremo.

Ormai la serata volge al termine, paghiamo il conto affidando la carta al cameriere che dopo un tentativo in cassa ci raggiunge con il POS per inserire il codice PIN (ovviamente) richiesto.

Salutiamo e andiamo via.

Cena con possibile attacco

Sono le ore 20:30 siamo appena entrati al ristorante, ci sono altre persone prima di noi, il cameriere sta controllando la prenotazione sul pc con il software gestionale del locale. Dopo aver accompagnato i signori l tavolo è il nostro turno, senza particolari problemi in 2 minuti siamo seduti al nostro tavolo e stiamo consultando il menù.

Siamo tra amici ed è qui che stiamo pianificando la nostra prossima vacanza al mare, ma purtroppo (come in molti posti) nel locale lo smartphone prende poco, quindi ci colleghiamo alla rete WI-FI del locale inserendo la password scritta sul retro del menu, così effettivamente va molto meglio la rete è velocissima (forse fibra ottica) meglio così.

Tutto procede per il meglio e tra un boccone, una battuta e una risata continuiamo a parlare dell’imminente vacanza cercando sui social immagini e recensioni degli hotel fino a trovare quello che ci convince, ma purtroppo la disponibilità di camere è esaurita, ci viene in mente di provare a cercare altre disponibilità su portali turistici specifici, proviamo un noto portale del settore.

Niente. Solo dopo varie ricerche, bingo: hotel trovato, prenotazione effettuata su un portale con una disponibilità residua e ricevuta conferma via email dove è richiesto il completamento dell’ordine…molto strano perché i dati dei viaggiatori in genere vengono richiesti al moneto del check-in.

Pazienza, domani contatteremo il servizio clienti per maggiori delucidazioni, intanto ci godiamo la cena e immaginiamo quanto ci divertiremo.

Ormai la serata volge al termine, paghiamo il conto con la carta di credito recandoci in cassa.

Salutiamo e andiamo via.

Cena con improbabile attacco

Sono le ore 20:30 siamo appena entrati al ristorante, ci sono altre persone prima di noi, il cameriere sta controllando la prenotazione sul pc con il software gestionale del locale. Dopo aver accompagnato i signori l tavolo è il nostro turno, senza particolari problemi in 2 minuti siamo seduti al nostro tavolo e stiamo consultando il menù.

Siamo tra amici ed è qui che stiamo pianificando la nostra prossima vacanza al mare, ma purtroppo (come in molti posti) nel locale lo smartphone prende poco, quindi ci colleghiamo alla rete WI-FI guest del locale compilando il form con la registrazione richiesta alla prima connessione, così effettivamente va molto meglio la rete è velocissima (forse fibra ottica) meglio così.

Tutto procede per il meglio e tra un boccone, una battuta e una risata continuiamo a parlare dell’imminente vacanza cercando sui social immagini e recensioni degli hotel utilizzando un servizio VPN sullo smartphone fino a trovare quello che ci convince, ma purtroppo la disponibilità di camere è esaurita, ci viene in mente di provare a cercare altre disponibilità su portali turistici specifici, proviamo un noto portale del settore.

Niente. Solo dopo varie ricerche, bingo: hotel trovato, ma notiamo che la connessione al portale non è criptata (http://), anche se le sue recensioni online sono ottime, decidiamo quindi di non effettuare la registrazione sul portale ma di contattare l’indomani il servizio clienti per prenotare telefonicamente e così, contenti di aver trovato la soluzione, ci godiamo la cena e immaginiamo quanto ci divertiremo.

Ormai la serata volge al termine, paghiamo il conto con la carta di credito recandoci in cassa e riceviamo puntuale la notifica con l’importo speso dall’app della società di credito.

Salutiamo e andiamo via.

Hai notato le differenze?

Vediamo dove sono i problemi:

  • Al momento dell’entrata nel locale non dovrebbe essere il cameriere di servizio a verificare la nostra prenotazione, il software utilizzato infatti dovrebbe disporre di ruoli diversi con diversi privilegi, il personale di accettazione deve vedere le prenotazioni (e solo quelle), il cameriere di servizio solo i tavoli e le comande, mentre il cassiere deve gestire solo il conto del tavolo, dare a tutto il personale l’accesso a tutti i dati è infatti una pratica molto pericolosa in fatto di sicurezza e sicuramente scorretta in fatto di privacy.
  • Il WI-FI dei locali pubblici è sempre pericoloso, nel primo caso era completamente aperto consentendo anche a utenti fuori dal locale di connettersi alla rete, è relativamente pericoloso anche il secondo caso in cui era sufficiente disporre della password per connettersi, infatti anche in questo caso non è possibile avere un controllo capillare di chi è connesso in quale momento (come tra l’altro è previsto dalla legge).
    In questi due casi un malintenzionato potrebbe eseguire un attacco Man in The Middle per intercettare tutti il traffico della rete e quindi anche cosa cerchiamo dal nostro smartphone…
  • Utilizzare reti pubbliche e sconosciute è rischioso per definizione: nel terzo caso la connessione viene protetta attraverso l’impiego di un sistema VPN che crea un tunnel criptato con il nostro traffico di rete, in questo modo un eventuale attacco Man In The Middle sarebbe completamente inefficace, in ogni caso va sempre evitato quando possibile di utilizzare reti pubbliche o di effettuare login, registrazioni o acquisti utilizzando quest’ultime.
  • Verificare quello che troviamo su internet è alla base del suo corretto utilizzo, nei primi due casi il nostro gruppo effettua registrazione e prenotazione su un portale che non conosceva prima, questo potrebbe essere una piattaforma ad hoc per raccogliere furtivamente dati degli utenti ed utilizzarli illegalmente.
    In questi casi è bene ricercate recensioni e informazioni indipendenti sul portale e solo dopo, eventualmente, eseguire la registrazione.
  • Attenzione al Phishing, in particolare non cliccare mai su link presenti in mail, soprattutto se non attese, poiché potrebbero scaricare malware o veicolare l’utente in pagine create ad hoc per eseguire vere e proprie truffe.
  • Carta di credito sempre sott’occhio, non accettate mai che la vostra carta di credito venga portata dove non potete vederla, neanche per 1 secondo, utilizzando appositi dispositivi ci vogliono infatti poche decine di secondi per clonare una carta di credito, dopodiché al malfattore non resta che sbirciare il vostro codice pin è il gioco è fatto.

Pericoli ed effetti

Il nostro gruppo potrebbe essere quindi stato esposto, attraverso tecniche di sniffing, tramite attacco Man In The Middle, all’intercettazione di tutte le loro ricerche su internet, attraverso queste potrebbero essere stati dirottati tramite l’invio di email preparata ad hoc su un portale dove hanno subito il furto dei dati inseriti, oltretutto il portale dove hanno prenotato non disponeva di un certificato SSL, quindi tutti i dati di registrazione e prenotazione potrebbero essere stati intercettati dal malfattore che disporrà di un ulteriore arma per creare truffe verso il nostro gruppo.

Infine nel momento del pagamento il nostro gruppo potrebbe aver subito la clonazione della carta di credito con tutte le conseguenze del caso.

In sintesi: siamo noi stessi il primo grado di sicurezza e protezione!

Hai bisogno di una consulenza o di un intervento per mettere in sicurezza il tuo sito web, il tuo computer o il tuo intero ufficio?

Contatta il nostro esperto di sicurezza informatica compilando questo modulo

Saprà guidarti e consigliarti i servizi giusti per te e aiutarti a mettere in sicurezza le tue reti e i tuoi dispositivi, dall’installazione alla gestione.

merake lab monterotondo
È partner certificato Kaspersky

Realizziamo insieme
nuovi progetti

merake lab eco web agency a roma
Meraké Lab

Eco Digital Agency a Monterotondo e Roma

Social
Legals
Privacy Policy - Cookie Policy

Copyright © 2021 Meraké Lab

Go To Top