Meno di 50 modi per perdere le proprie credenziali

Poco importa che si tratti della massiccia violazione di dati degli hotel Marriott o dell’hackeraggio di proporzioni molto inferiori del vostro account Facebook, la domanda è la stessa: come hanno fatto questi tizi a entrare negli account?

Anche se saranno 50 i modi in cui gli hacker possono violare i vostri account, probabilmente non li usano tutti. In realtà, è più facile che ne utilizzino solo alcuni. Se conoscete ogni strategia vi sarà più facile difendere voi stessi e l’integrità delle varie credenziali e password di accesso dei vostri account. Ecco 7 modi in cui i malintenzionati possono impadronirsi delle vostre password e credenziali, e altrettanti per proteggervi.

1. Forza bruta

Un attacco forza bruta non è altro che una tecnica con cui un hacker prova varie combinazioni di password per scoprire, semplicemente tentando e sbagliando, quale funziona. Col tempo questo sistema è diventato più intelligente per due motivi: innanzitutto, i pirati informatici possono generare dal computer enormi elenchi di potenziali credenziali. In secondo luogo, grazie ai ricchissimi database di password rubate da fonti come Yahoo e LinkedIn, gli hacker possono disporre di una buona analisi statistica sull’uso reale delle password.

Lasciate perdere le password inefficaci: utilizzare password semplici come “1234” o “qwerty” è il modo più semplice per cadere vittime degli attacchi. Utilizzate combinazioni complesse di 12 caratteri, che includano lettere maiuscole e minuscole, numeri e simboli.

2. Credential stuffing

Il credential stuffing è un tipo di attacco in cui i criminali cercano di accedere agli account con un elenco di credenziali rubate. Agiscono su larga scala con richieste di login automatizzate e lo fanno in modo intelligente con credenziali vere (anche se trafugate), come nomi utente e password.

Non riciclate le password: questa tecnica funziona perché esistono enormi database di credenziali e password rubate disponibili sul mercato nero e molte persone riutilizzano le stesse credenziali sui vari account che possiedono.

3. Il vostro sito di e-commerce o ISP preferito

Non è solo una questione di come voi proteggete i vostri dati privati, ma riguarda anche il modo in cui gli altri proteggono i loro dati su di voi. Può essere una catena alberghiera, un grande magazzino o il vostro medico di famiglia: tutti hanno dati su di voi. A prescindere che sia a causa della loro scarsa disciplina nell’applicazione delle patch, dell’archiviazione di dati non crittografati o della mancanza di autenticazione a due fattori, per voi i risultati sono gli stessi: le vostre credenziali private sono state violate e sono finite sul mercato nero.

Cambiate regolarmente le password. Guardate i notiziari. Se si è verificata una violazione dei server in cui avete un account, cambiate quella password. Grazie a nuove leggi come il GDPR, è anche più probabile che l’azienda violata vi contatti direttamente.

4. Phishing

Il phishing implica l’utilizzo di email e siti web falsi progettati per sembrare reali, con tutti i testi, i colori e i loghi giusti. Lo scopo degli hacker è indurvi a fare clic su un link o a inserire le vostre password. Così facendo avrete appena servito le vostre credenziali di accesso ai criminali su un piatto d’argento. I tentativi di phishing di PayPal, generalmente distribuiti via email, di solito sono diretti a persone fisiche con fatture false spesso indirizzate ad account aziendali.

Agite con cautela: non importa se siete a casa o in ufficio, fate sempre attenzione a tutto ciò su cui fate clic.

5. Wi-Fi pubblico

Per definizione, il Wi-Fi pubblico non è privato. Mentre è chiaro che i contenuti online non sono sicuri, un rischio meno noto è che le credenziali del vostro account possono essere risucchiate dagli hacker che stanno osservando il traffico di rete.

Sigillate tutto: utilizzate una VPN completa per conservare tutte le successive comunicazioni e i dati di accesso in una busta crittografata e sicura.

6. Malware per il furto di dati

I cyber-criminali hanno a disposizione un’ampia gamma di malware per rubare di tutto: dai file sul vostro dispositivo in cui sono memorizzate le password fino ai keylogger che tracciano l’attività della vostra tastiera.

Usate un’app antivirus: installate sul vostro dispositivo un’applicazione antivirus aggiornata e testata.

7. Facile come raccogliere un foglio di carta

Quel pezzo di carta nascosto sotto il dispositivo con un elenco di nomi di account e password potrebbe andare perso o essere preso da qualcuno. È successo l’anno scorso a un membro dello staff della Casa Bianca: ha lasciato il suo elenco alla fermata dell’autobus.

Procuratevi un password manager. Davvero.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.