Come ti rubo la password e come proteggersi

Ti rubo la password

Cos’è esattamente una password?

Le passwords sono una componente fondamentale della nostra vita online. Agiscono come chiavi che garantiscono l’accesso ai nostri siti preferiti, ai nostri conti bancari, ai nostri social media e account di posta elettronica.

È estremamente importante proteggere le tue password e seguire le migliori pratiche per generarle e conservarle poiché esse proteggono la tua identità online. Se una delle tue password viene compromessa, gli aggressori possono accedere ad account online e ad informazioni sensibili, causando danni irreparabili alla tua attività e persino alla tua identità personale.

Fai attenzione a ciò che ti circonda quando inserisci una password e assicurati che nessuno ti stia guardando.

Come verificare se si è vittima di furto di password

Puoi verificare se le tue credenziali sono state rubate collegandoti al sito haveibeenpwned.com . Basta inserire il nome utente o l’indirizzo di posta elettronica utilizzato solitamente sul web per scoprire se il proprio account è stato compromesso. Se le tue password sono compromesse modificale immediatamente.

Attenzione agli attacchi di social engineering

Il social engineering o ingegneria sociale è un attacco in cui la vittima prescelta è l’essere umano.

L’idea alla base dell’ingegneria sociale è quella di sfruttare le tendenze naturali e le reazioni emotive di una potenziale vittima.

L’ingegneria sociale è una tecnica di manipolazione che sfrutta l’errore umano per ottenere informazioni private, accesso o oggetti di valore. Nella criminalità informatica queste truffe di “hacking umano” tendono ad indurre utenti ignari a esporre dati, diffondere infezioni da malware o consentire l’accesso a sistemi privati. Gli attacchi possono avvenire online, di persona e tramite altre interazioni ( Kaspersky ).

Per proteggerti, verifica l’identità di chiunque richieda informazioni sensibili o password. Non condividere mai informazioni sensibili, in particolare le tue password, con qualcuno che non conosci, di cui non ti fidi o che non puoi verificare. Se possibile, non condividere mai le tue password con nessuno, anche se ti fidi di loro.

Il phishing

L’attacco di social engineering più diffuso è il phishing.

Il phishing si verifica quando un malintenzionato crea un’e-mail in modo che sembri provenire da una fonte legittima al fine di indurre la vittima a fare clic su un collegamento o a fornire informazioni sensibili come password ed altro. Gli attacchi di questo tipo sono incredibilmente efficaci e spesso sembrano provenire da una fonte credibile come un capo o un collega.

Se ricevi un’email da qualcuno di cui ti fidi che ti chiede qualcosa di insolito, verifica che sia stata inviata realmente dalla persona che dice di essere chiamandola al telefono, parlando di persona o utilizzando un altro metodo di comunicazione.

Verifica l’origine di tutte le email che ricevi controllando le intestazioni delle email.

Evita di fornire informazioni sensibili a qualcuno di cui non ti fidi completamente. Non fare mai click sui collegamenti nelle e-mail ma verificate la validità dei link aprendo il browser e digitando direttamente l’indirizzo nel campo URL, in modo da essere sicuri di accedere al sito effettivo.

Facciamo un po’ di esempi

Esempio 1

Un truffatore potrebbe inviare e-mail che sembrano provenire da una fonte attendibile alle potenziali vittime. Tale fonte potrebbe essere una banca, ad esempio, che chiede ai destinatari di posta elettronica di fare clic su un collegamento per accedere ai propri account. Coloro che fanno clic sul collegamento, tuttavia, vengono indirizzati a un sito web falso che, come l’e-mail, sembra essere legittimo. Accedendo Se accediamo a questo sito fasullo non facciamo altro che consegnare le credenziali di accesso ai ladri e dando loro l’accesso ai nostri conti bancari. Vedi: come i phisher rubano gli account e-mail.

Esempio 2

Un truffatore chiama un dipendente dell’azienda fingendo di essere un tecnico di supporto IT. La vittima potrebbe consegnare le credenziali di accesso al proprio computer, pensando di ricevere in cambio supporto tecnico. Invece il truffatore, assumendo il controllo del computer della vittima, inserisce un virus che servirà rubare informazioni e che si diffonderà tramite la rete aziendale ad altri computer. Vedi: Come si introducono i virus nella rete aziendale

Esempio 3

Un malintenzionato ha lasciato una chiavetta USB, piena di virus, in un posto ben visibile per la vittima. Inoltre il criminale ha etichettato il dispositivo in modo convincente: “Riservato” o “Confidenziale”. La vittima che abbocca prenderà la chiave USB e la inserirà nel computer spinto dalla curiosità di vedere cosa c’è. Ed il gioco è fatto: il malware presente sulla chiavetta si inietterà automaticamente nel computer.

Esempio 4

La più famosa è la truffa alla nigeriana di cui esistono numerose varianti ma in genere funziona così: si presenta uno sconosciuto che non riesce a sbloccare un conto in banca di milioni di dollari; questi sarebbe un personaggio noto che avrebbe bisogno di un prestanome che si occupi dell’operazione al suo posto in cambio di una percentuale.

Solitamente la mail è di questo tipo: “In questo paese povero c’è una persona molto ricca che avrebbe bisogno di spostare all’estero del denaro con la massima discrezione, sarebbe possibile utilizzare il suo conto?”. Le somme coinvolte sono normalmente nell’ordine dei milioni di dollari, e all’investitore viene promessa una forte percentuale, spesso del 40%.

Ultra-quarantenni attenzione

Rispetto alle generazioni più giovani, che sono più tecnologiche, gli utenti di Internet over quaranta sono più esposti a questi tipi di truffe. In un documento pubblicato dalla FEDERAL TRADE COMMISSION  risulta che gli ultra-quarantenni corrono maggiori rischi di restare vittime del fishing rispetto ai più giovani.

Ti rubo la password

Consigli per non diventare vittima dell’ingegneria sociale

Considera la fonte. Una chiavetta USB trovata non è necessariamente una buona scoperta. Potrebbe essere piena di malware che aspetta solo di infettare un computer. E un messaggio di testo o e-mail dalla tua banca non sempre proviene dalla tua banca e soprattutto, la tua banca non ti chiederà mai le tue credenziali. Non fare clic su collegamenti o aprire allegati da fonti sospette e, al giorno d’oggi, potresti voler considerare tutte le fonti come sospette. Non importa quanto sia legittima l’email, è più sicuro digitare un URL nel browser invece di fare clic su un collegamento.

Calma. Guarda bene la mail, chiediti se ha senso o se sembra un po’ sospetta, non andare di fretta per non agire nell’interesse del truffatore. Fai molta attenzione se avverti una certa urgenza da parte del tuo interlocutore. È tipico dei truffatori informatici mettere fretta alla vittima per impedirle di pensare e riflettere sulla situazione.

Troppo strano per essere vero. Seriamente, quante probabilità ci sono che un principe nigeriano ti contatti per chiedere il tuo aiuto? Indagare su eventuali richieste di denaro, informazioni personali o qualsiasi oggetto di valore prima di consegnarli. C’è una buona probabilità che sia una truffa e, anche se non lo è, è meglio prevenire che curare.

Installa un software antivirus o una suite di sicurezza  e mantienilo sempre aggiornato. Inoltre, assicurati che il tuo computer e altri dispositivi eseguano le versioni più recenti del software. Se possibile, imposta il sistema operativo per l’aggiornamento automatico. Avere le versioni più recenti delle applicazioni software sui tuoi dispositivi ti aiuterà a garantire che siano pronti per combattere le minacce alla sicurezza più recenti.

Il tuo software di posta elettronica può aiutarti. La maggior parte dei programmi di posta elettronica può aiutare a filtrare la posta indesiderata, comprese le truffe, basta impostare i filtri antispam su un livello elevato per eliminare il più possibile la posta indesiderata.

Curiosità: le 5 password più usate

123456
123456789
qwerty
password
111111

Come scegliere una password corretta.

  • Evita le password basate su soprannomi, compleanni, citazioni, animali domestici e roba simile. E non dimenticare che le password facili non diventano più difficili se tutto ciò che fai è aggiungere alcune cifre alla fine.
  • Usa password più lunghe e complesse. Otto caratteri sono un ottimo punto di partenza ma le combinazioni più lunghe sono le migliori. Una passphrase è ancora meglio: è una password composta da un insieme di parole o di stringhe alfanumeriche (di solito separate da caratteri non alfabetici, come numeri, caratteri speciali o il carattere Spazio).
  • Quindi mescola maiuscole, minuscole, cifre e punteggiatura e punta a 14 caratteri o anche di più. Può sembrare terribilmente complicato, ma puoi frasi conosciute, fai comunque attenzione a non utilizzare parole che si riferiscono alla tua sfera sociale.

Travolti1da2un3insolito4destin@ (“nell’azzurro mare d’agosto” famoso film con Giannini e la Melato) può essere una buona password.

  • Non condividere le tue password con altre persone.
  • Non lasciare le password in giro nei taccuini o su foglietti adesivi vicino a sul tuo computer o in file sul tuo computer dove possono essere lette facilmente.
  • Prima di inserire una password in un sito web, assicurati che il sito utilizzi un connessione sicura: in pratica l’indirizzo del sito a cui ti stai collegando deve iniziare con https:// e mostrare un piccolo lucchetto chiuso sulla barra degli indirizzi.
  • Modifica la password predefinita su dispositivi come il tuo router perché quella di default è davvero blanda.
  • Se hai problemi a ricordare le password, prova un gestore di password .
  • Dove è possibile usa l’autenticazione a due fattori,  chiamata anche verifica in due passaggi.

Vedi anche: Azioni utili per contrastare l’esecuzione e la diffusione di malware

Se vuoi sapere se la tua password è sicura collegati a questo sito https://password.kaspersky.com/it/ per verificarlo.

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments