ALLERTA PERICOLI INFORMATICI Articoli in Evidenza

5 modi in cui gli hacker rubano le password (e come fermarli)

5 modi in cui gli hacker rubano le password (e come fermarli)
Scritto da gestore

Il concetto di password esiste da secoli e le password sono state introdotte nell’informatica molto prima di quanto la maggior parte di noi possa ricordare. Uno dei motivi della perdurante popolarità delle password è che le persone sanno istintivamente come funzionano. Ma c’è anche un problema. Le password sono il tallone d’Achille della vita digitale di molte persone, soprattutto perché viviamo in un’epoca in cui la persona media ha 100 credenziali di accesso da ricordare ed in aumento negli ultimi anni.

Dato che la password è spesso l’unica cosa che si frappone tra un criminale informatico e i tuoi dati personali e finanziari, i criminali sono più che ansiosi di rubare o violare questi accessi. Dobbiamo fare almeno lo stesso sforzo per proteggere i nostri account online.

Cosa può fare un hacker con la mia password?

Le password sono le chiavi virtuali del tuo mondo digitale: forniscono accesso ai tuoi servizi bancari online, e-mail e social media, ai nostri account Netflix e Uber e a tutti i dati ospitati nel nostro cloud storage. Con accessi funzionanti, un hacker potrebbe:

  • Rubare le informazioni sulla tua identità personale e vendile ad altri criminali .
  • Vendere l’accesso all’account stesso. I siti criminali del Dark Web fanno un buon affare con i tuoi accessi.
  • Usare le password per sbloccare altri account in cui utilizzi la stessa password.

In che modo gli hacker rubano le password?

Acquisisci familiarità con queste tipiche tecniche di criminalità informatica e sarai in una posizione molto migliore per gestire la minaccia:

  • Phishing e ingegneria sociale

Gli esseri umani sono creature fallibili e suggestionabili. Siamo anche inclini a prendere le decisioni sbagliate quando abbiamo fretta. I criminali informatici sfruttano queste debolezze attraverso l’ingegneria sociale, un trucco psicologico progettato per farci fare qualcosa che non dovremmo. Il phishing è forse l’esempio più famoso. Qui, gli hacker si mascherano da entità legittime: come amici, familiari e aziende con cui hai fatto affari, ecc. L’e-mail o il testo che riceverai sembrerà autentico, ma include un collegamento o un allegato dannoso che, se cliccato, scaricherà malware o porta a una pagina per inserire i tuoi dati personali.

Fortunatamente, ci sono molti modi per individuare i segnali di pericolo di un attacco di phishing. I truffatori utilizzano persino le telefonate per ottenere direttamente accessi e altre informazioni personali dalle loro vittime, spesso fingendo di essere ingegneri del supporto tecnico. Questo è descritto come ” vishing ” (phishing vocale).

  • Malware

Un altro modo popolare per ottenere le tue password è tramite malware. Le e-mail di phishing sono uno dei principali vettori di questo tipo di attacco, anche se potresti cadere vittima facendo clic su un annuncio dannoso online (malvertising) o anche visitando un sito Web compromesso (drive-by-download). Come dimostrato molte volte dal ricercatore ESET Lukas Stefanko , il malware potrebbe anche essere nascosto in un’app mobile dall’aspetto legittimo, spesso trovata su app store di terze parti.

Esistono varie varietà di malware per il furto di informazioni, ma alcuni dei più comuni sono progettati per registrare le sequenze di tasti o acquisire schermate del dispositivo e inviarlo agli aggressori.

  • Forza bruta

Il numero medio di password che la persona media deve gestire è aumentato di circa il 25% su base annua nel 2020 . Di conseguenza, molti di noi utilizzano password facili da ricordare (e indovinare) e riutilizzarle su più siti. Tuttavia, questo può aprire la porta alle cosiddette tecniche di forza bruta.

Intermezzo promozionale ... continua la lettura dopo il box:

Uno dei più comuni è il credential stuffing. Qui, gli aggressori alimentano grandi volumi di combinazioni di nome utente/password violate in precedenza in un software automatizzato. Lo strumento quindi li prova su un gran numero di siti, sperando di trovare una corrispondenza. In questo modo, gli hacker possono sbloccare molti dei tuoi account con una sola password. Ci sono stati circa 193 miliardi di tentativi di questo tipo a livello globale l’anno scorso, secondo una stima . Una delle vittime degne di nota di recente è stata il governo canadese .

Un’altra tecnica di forza bruta è la spruzzatura di password. Qui, gli hacker utilizzano un software automatizzato per provare un elenco di password comunemente utilizzate contro il tuo account.

  • Indovina

Sebbene gli hacker dispongano di strumenti automatizzati per forzare la tua password, a volte questi non sono nemmeno necessari: anche semplici congetture, al contrario dell’approccio più sistematico utilizzato negli attacchi di forza bruta, possono fare il lavoro. La password più comune del 2020 era “123456”, seguita da “123456789”. Arrivare al numero quattro era l’unica e unica “password”.

E se sei come la maggior parte delle persone e ricicli la stessa password o ne usi un derivato stretto su più account, allora stai rendendo le cose ancora più facili per gli aggressori e ti esponi a un ulteriore rischio di furto di identità e frode.

  • “Surf sulle spalle”

Tutti i percorsi per la compromissione della password che abbiamo esplorato finora sono stati virtuali. Tuttavia, poiché i blocchi si allentano e molti lavoratori iniziano a tornare in ufficio, vale la pena ricordare che anche alcune tecniche di intercettazione collaudate rappresentano un rischio. Questo non è l’unico motivo per cui il “surf sulle spalle” è ancora un rischio e Jake Moore di ESET ha recentemente condotto un esperimento per scoprire quanto sia facile hackerare lo Snapchat di qualcuno usando questa semplice tecnica.

Una versione più hi-tech, nota come attacco “man-in-the-middle” che coinvolge le intercettazioni Wi-Fi, può consentire agli hacker che si trovano su connessioni Wi-Fi pubbliche di spiare la tua password mentre la inserisci mentre sei connesso al stesso mozzo. Entrambe le tecniche esistono da anni , ma ciò non significa che non rappresentino ancora una minaccia.

Come proteggere le tue credenziali di accesso

C’è molto che puoi fare per bloccare queste tecniche: aggiungendo una seconda forma di autenticazione al mix, gestendo le tue password in modo più efficace o adottando misure per fermare il furto in primo luogo. Considera quanto segue:

  • Usa solo password o passphrase forti e univoche su tutti i tuoi account online, in particolare i tuoi account bancari, e-mail e social media
  • Evita di riutilizzare le tue credenziali di accesso su più account e di commettere altri errori di password comuni
  • Attiva l’ autenticazione a due fattori (2FA) su tutti i tuoi account
  • Utilizza un gestore di password , che memorizzerà password complesse e univoche per ogni sito e account, rendendo gli accessi semplici e sicuri
  • Cambia immediatamente la tua password se un provider ti dice che i tuoi dati potrebbero essere stati violati
  • Utilizzare solo siti HTTPS per l’accesso
  • Non fare clic su collegamenti o aprire allegati in e-mail non richieste
  • Scarica app solo dagli app store ufficiali
  • Investi in software di sicurezza di un fornitore affidabile per tutti i tuoi dispositivi
  • Assicurati che tutti i sistemi operativi e le applicazioni siano sulla versione più recente
  • Fai attenzione ai surfisti sulle spalle negli spazi pubblici
  • Non accedere mai a un account se sei su una rete Wi-Fi pubblica; se devi usare una rete del genere, usa una VPN

La scomparsa della password è stata prevista per oltre un decennio. Ma le alternative alle password spesso faticano ancora a sostituire la password stessa, il che significa che gli utenti devono prendere in mano la situazione. Stai attento e mantieni i tuoi dati di accesso al sicuro.

Fonte : https://www.welivesecurity.com/