In un’epoca in cui abbiamo centinaia di credenziali da ricordare, le password rappresentano il tallone d’Achille della vita digital di molte persone.
Il modo più comune in cui i malintenzionati rubano le nostre password è il social engineering. Spesso la password è l’unica cosa che separa i cybercriminali dai nostri dati personali e finanziari. Pertanto, è fondamentale fare almeno il loro stesso sforzo per proteggere i nostri account online.
Gli esperti di ESET, in questo articolo stilano i 5 modi in cui gli attori malintenzionati possono rubarci le password e danno una serie di misure da adottare per proteggere le nostre credenziali.
Cosa può fare l’hacker con la mia password?
«Le Password sono chiavi virtuali del mondo digitale – forniscono l’accesso al tuo conto bancario online, email e social media, account Netflix e Uber, e tutti i dati salvati negli archivi Cloud. Con le tue credenziali un hacker potrebbe:
Rubare le tue informazioni personali e venderle a compagnie criminali.
Vendere gli accessi stessi sui siti commerciali nel Dark web in cui c’è un commercio florido di questi accessi. Compratori non scrupolosi potrebbero usare questi accessi per acquistare di tutto, da corse in taxi gratuite e streaming video a viaggi scontati.
Usare le password per sbloccare altri account dove utilizzi le stesse password.
Come fanno a rubare le password?
Familiarizzare con queste tecniche di cybercrimine è il modo migliore per gestirle:
- Phishing e social engineering
Le persone sono creature fallibili e suggestionabili. Siamo inoltre portati a fare scelte sbagliate quando siamo di fretta. I Cybercriminali puntano su queste debolezze nell’utilizzo della social engineering, un trucco psicologico progettato per farci fare qualcosa che non dovremmo. Il phishing è sicuramente il miglior esempio. Gli hackers mascherati da entità legittime: come amici, famiglia, aziende da cui si ha acquistato etc. Le email o sms ricevuti sembrano autentici, ma includono link malevoli o allegati che, se cliccati, scaricano malware o portano a form da compilare con i propri dati personali.
Fortunatamente, ci sono molti modi per capire i segnali di pericolo degli attacchi di phishing, come spieghiamo di seguito. I truffatori stanno persino usando le telefonate per ottenere direttamente accessi e altre informazioni personali dalle loro vittime, spesso fingendo di essere ingegneri del supporto tecnico. Questo è descritto come “vishing” (phishing vocale).
- Malware
Un altro modo popolare di ottenere le password è attraverso i malware. Le email di Phishing sono i primi vettori di questo tipo di attacco, inoltre potresti cadere vittima cliccando su pubblicità malevole online (malvertising), oppure visitando siti web compromessi (drive-by-download). Come ha dimostrato molte volte Lukas Stefanko, ricercatore di ESET, i malware potrebbero nascondersi nelle app mobile che sembrano innocue, spesso trovate in app store non ufficiali.
Esistono diverse varietà di furto di informazioni tramite malware ma alcuni dei più comuni sono progettati per registrare o acquisire schermate del tuo dispositivo e inviarlo agli aggressori
- Forza bruta
La media del numero di password che mediamente una persona deve gestirle è aumentata del 25% solo nel 2020. Molti di noi utilizzano password facili da ricordare e riutilizza le stesse nei vari siti, questo può portare ad una tecnica di attacco chiamato forza bruta.
Uno dei metodi più comuni è il credential stuffing. Qui, gli aggressori alimentano grandi volumi di combinazioni di nome utente/password violate in precedenza in un software automatizzato. Lo strumento quindi li prova su un gran numero di siti, sperando di trovare una corrispondenza. In questo modo, gli hacker possono sbloccare molti degli account con una sola password. Secondo una stima, ci sono stati circa 193 miliardi di tentativi di questo tipo a livello globale l’anno scorso. Una vittima di recente è stata il governo canadese.
Un’altra tecnica di forza bruta è la “spruzzatura di password”. Qui, gli hacker utilizzano un software automatizzato per provare un elenco di password comunemente utilizzate contro il tuo account.
- Guesswork
Inoltre, gli hacker hanno tool automatici a loro disposizione per attaccare la tua password con la forza bruta, a volte questi non sono nemmeno necessari: anche semplici congetture possono fare il lavoro. La password più comune del 2020 era “123456”, seguita da “123456789”. Arrivare al numero quattro era l’unica e unica “password”.
E se sei come la maggior parte delle persone e ricicla la stessa password, o ne usi un derivato stretto, su più account, allora stai rendendo le cose ancora più facili per gli aggressori e ti esponi a un ulteriore rischio di furto di identità e frode.
- Shoulder surfing
Tutti i percorsi per la compromissione della password che abbiamo esplorato finora sono virtuali. Tuttavia, ora che molti lavoratori iniziano a tornare in ufficio, vale la pena ricordare che anche alcune tecniche di intercettazione collaudate rappresentano un rischio. Questo non è l’unico motivo per cui il Shoulder surfing è ancora un rischio e Jake Moore di ESET ha recentemente condotto un esperimento per scoprire quanto sia facile hackerare lo Snapchat di qualcuno usando questa semplice tecnica.
Una versione più hi-tech, nota come attacco “man-in-the-middle” che coinvolge le intercettazioni Wi-Fi, può consentire agli hacker, che si trovano su connessioni Wi-Fi pubbliche, di spiare la tua password mentre la inserisci. Entrambe le tecniche esistono da anni, ma ciò non significa che non siano ancora una minaccia.
Come proteggere le tue credenziali
Ci sono tante cose che puoi fare per bloccare queste tecniche – come aggiungere una seconda forma di autenticazione per mixare e gestire le tue password più efficacemente, oppure adottare misure per fermare il furto in primo luogo. Considera quanto segue:
- Usa solo password forti e uniche o frasi per ogni account online, specialmente per la banca, email e account social media.
- Evita di riutilizzare le tue credenziali di accesso su più account e di commettere altri errori di password comuni
- Passa all’autenticazione a due fattori (2FA) su tutti gli account
- Usa un password manager, che archivia le password uniche per ogni sito o account, facendo sì che i login siano semplici e sicuri.
- Cambia le password immediatamente se i provider ti avvisano che i dati potrebbero essere stati violati
- Usa solo siti HTTPS per il log-in
- Non cliccare link o aprire allegati di email indesiderate
- Scarica applicazioni solo dagli app-store ufficiali
- Investi in software di sicurezza acquistando da fornitori affidabili
- Assicurati che tutti i sistemi operativi e le applicazioni siano aggiornati all’ultima versione
- Fai attenzione al Shoulder surfing negli spazi pubblici
- Non accedere mai ad un account se sei su una rete Wi-Fi pubblica; se devi usare una rete del genere, usa una VPN
La scomparsa della password è stata prevista per oltre un decennio. Ma le alternative alle password spesso faticano ancora a sostituire la password stessa, il che significa che gli utenti devono prendere in mano la situazione. Stai attento e mantieni i tuoi dati di accesso al sicuro».