ALLERTA PERICOLI INFORMATICI Password Sicurezza informatica

Come la tua password può finire nelle mani sbagliate

Come la tua password può finire nelle mani sbagliate
Scritto da gestore

In questo articolo vedremo come impedire che le tue password vengano utilizzate dai criminali informatici.

Per la maggior parte di noi, una password è semplicemente il metodo più comune per l’autenticazione per innumerevoli servizi online. Ma per i criminali informatici è molto di più: una scorciatoia nella vita di qualcun altro, uno strumento di lavoro di fondamentale importanza e merce che può essere venduta. Conoscendo una password, i truffatori non solo possono entrare in possesso dei tuoi account, dati, denaro e persino identità; possono anche usarti come anello debole per attaccare i tuoi amici online, parenti o persino l’azienda per cui lavori o gestisci/possiedi. Per evitare ciò, devi innanzitutto capire come gli estranei possono impossessarsi della tua password.

Intermezzo promozionale ... continua la lettura dopo il box:

Come può la tua password cadere nelle mani dei criminali informatici?

C’è un malinteso diffuso secondo cui per dare la tua password ai criminali informatici, devi fare un errore: scaricare ed eseguire un file non verificato da Internet, aprire un documento da un mittente sconosciuto o inserire le tue credenziali su un sito Web sospetto. È vero, tutti questi modelli di comportamento possono rendere la vita degli aggressori molto più semplice, ma ci sono anche altri scenari. Ecco i metodi più comuni dei criminali informatici per ottenere l’accesso ai tuoi account.

Phishing

Questo è davvero uno dei metodi di raccolta delle credenziali che si basa principalmente sull’errore umano. Centinaia di siti di phishing, aiutati da migliaia di mailout che portano a loro, appaiono ogni giorno. Tuttavia, se per qualche motivo pensi che non cadrai mai nel trucco del phishing, ti sbagli. Il metodo è vecchio quasi quanto Internet stesso, quindi i criminali informatici hanno avuto tutto il tempo per sviluppare numerosi trucchi di ingegneria sociale e tattiche di mascheramento. Anche i professionisti a volte non riescono a distinguere a colpo d’occhio un’e-mail di phishing da una vera.

Malware

Un altro modo comune per rubare le tue credenziali è con il malware. Secondo le nostre statistiche, una parte significativa del malware attivo è costituita da Trojan stealer, il cui scopo principale è attendere che un utente acceda a qualche sito o servizio, copiarne le password e rispedirle agli autori. Se non utilizzi soluzioni protettive, i trojan possono nascondersi sul tuo computer senza essere rilevati per anni: non saprai che qualcosa non va, perché non causano alcun danno visibile, fanno solo silenziosamente il loro lavoro.

E i trojan stealer non sono l’unico malware che va a caccia di password. A volte i criminali informatici iniettano web skimmer sui siti e rubano tutto ciò che gli utenti immettono, incluse credenziali, nomi, dettagli della carta e così via.

Perdite di terze parti

Tuttavia, non devi commettere lo stesso errore da solo. È sufficiente essere un utente di un servizio Internet non sicuro o un cliente di un’azienda che ha fatto trapelare un database con i dati dei propri clienti. Naturalmente, le aziende che prendono sul serio la loro sicurezza informatica non memorizzano affatto le tue password, o almeno lo fanno in forma crittografata. Ma non si può mai essere sicuri che fossero in atto misure sufficienti. Ad esempio, la fuga di quest’anno da SuperVPN conteneva i dati personali e le credenziali di accesso di 21 milioni di utenti.

Inoltre, alcune aziende non possono assolutamente evitare di memorizzare le password. Sì, sto parlando del famigerato hack dell’utilità di gestione delle password di LastPass. Secondo le ultime informazioni, un autore di minacce sconosciute ha avuto accesso all’archiviazione basata su cloud con alcuni dati dei clienti, inclusi i backup dei depositi dei clienti. Sì, quei depositi erano correttamente crittografati e LastPass non ha mai archiviato né conosceva le chiavi di decrittazione. Ma cosa succederebbe se i clienti LastPass bloccassero i loro depositi con una password che era già trapelata da qualche altra fonte? Se riutilizzassero una password non sicura, ora i criminali informatici sarebbero in grado di accedere a tutti i loro account contemporaneamente.

Broker di accesso iniziale

E qui arriviamo a un’altra fonte di password rubate: il mercato nero. I criminali informatici moderni preferiscono specializzarsi in determinati campi. Potrebbero rubare le tue password ma non necessariamente usarle: è più redditizio venderle all’ingrosso. L’acquisto di tali database di password è particolarmente allettante per i criminali informatici, perché offre loro un all-in-one: gli utenti tendono a utilizzare le stesse password su una serie di piattaforme e account, spesso collegandoli tutti alla stessa e-mail. Pertanto, avendo la password di una piattaforma, i criminali informatici possono accedere a molti altri account della vittima, dai loro account di gioco alla loro e-mail personale o persino account privati ​​su siti Web per adulti.

Intermezzo promozionale ... continua la lettura dopo il box:

Un annuncio dal forum di un hacker: qualcuno offre 280 migliaia di nomi utente e password per varie piattaforme di gioco per soli $ 4.000

Anche i database aziendali trapelati che possono contenere o meno credenziali vengono venduti sullo stesso mercato nero. Il prezzo di tali database varia a seconda della quantità di dati e del settore dell’organizzazione: alcuni database di password possono essere venduti per centinaia di dollari.

Esistono alcuni servizi su darknet che aggregano password e database trapelati e quindi abilitano l’accesso singolo o basato su abbonamento a pagamento alle loro raccolte. Nell’ottobre 2022, il famigerato gruppo di ransomware LockBit ha violato un’azienda sanitaria e ha rubato i database degli utenti con informazioni mediche. Non solo hanno venduto abbonamenti a queste informazioni sulla rete oscura, ma presumibilmente hanno acquistato l’accesso iniziale sullo stesso mercato nero.

Un servizio darknet che fornisce accesso a pagamento a database con dati rubati

Attacchi di forza bruta

In alcuni casi, i criminali informatici non hanno nemmeno bisogno di un database rubato per scoprire la tua password e hackerare il tuo account. Possono utilizzare attacchi di forza bruta, in altre parole provare migliaia di varianti di password tipiche finché una di esse non funziona. Sì, non sembra troppo affidabile. Ma non hanno bisogno di iterare su tutte le possibili combinazioni: ci sono alcuni strumenti (Wordlist Generators) che possono generare un elenco di possibili password comuni (i cosiddetti dizionari a forza bruta) in base alle informazioni personali della vittima.

Tali programmi sembrano un mini questionario sulla vittima. Chiedono nome, cognome, data di nascita, informazioni personali su partner, figli e persino animali domestici. Gli aggressori possono anche aggiungere ulteriori parole chiave che conoscono sul bersaglio che possono essere gettate nel mix. Utilizzando questo mix di parole, nomi, date e altri dati correlati, i generatori di elenchi di parole creano migliaia di varianti di password, che gli aggressori successivamente provano durante la registrazione.

Un servizio in grado di generare un dizionario per gli attacchi di forza bruta in base alle informazioni note sulla vittima designata.

Per utilizzare tale metodo, i criminali informatici devono prima condurre delle ricerche, e questo è il momento in cui i database trapelati possono tornare utili. Possono contenere informazioni come date di nascita, indirizzi o risposte a “domande segrete”. Un’altra fonte dei dati è l’eccessiva condivisione nei social network. Qualcosa che sembra assolutamente insignificante, come una foto del 6 dicembre con la didascalia “oggi è il compleanno del mio amato cagnolino”.

Possibili conseguenze di una password trapelata o forzata

Ci sono alcune ovvie conseguenze: i criminali informatici possono impossessarsi del tuo account e trattenerlo per ottenere un riscatto, usarlo per truffare i tuoi contatti e amici online o, se riescono a ottenere la password del tuo sito bancario o della tua app, svuotare il tuo account. Tuttavia, a volte il loro intento non è così semplice.

Ad esempio, con più giochi che introducono valuta di gioco e microtransazioni, più utenti hanno i propri metodi di pagamento collegati ai propri account. Questo rende i giocatori un obiettivo interessante per gli hacker. Ottenendo l’accesso all’account di gioco, possono rubare oggetti di valore all’interno del gioco come skin, oggetti rari o valuta di gioco interna o utilizzare in modo improprio i dati della carta di credito della vittima.

I database trapelati e le informazioni che possono essere ottenute durante la ricerca nei tuoi account possono essere utilizzati non solo per guadagni finanziari ma anche per danni alla reputazione e altri tipi di danni sociali, incluso il doxing . Se sei una celebrità, puoi essere ricattato e affrontare una scelta: divulgazione di informazioni personali (che potrebbero influire sulla tua reputazione) o perdita di denaro.

Anche se non sei una celebrità, puoi diventare una vittima del doxing – l’atto di rivelare informazioni identificative su qualcuno online – come il loro vero nome, indirizzo di casa, luogo di lavoro, telefono, informazioni finanziarie e altre informazioni personali. Gli attacchi di doxing possono variare da quelli relativamente innocui, come le iscrizioni a innumerevoli mailing list o falsi ordini di consegna di pizze a tuo nome, a quelli molto più pericolosi, come varie forme di cyberbullismo, furto di identità o persino stalking di persona .

Infine, se si utilizza la stessa password per account personali e di lavoro, i criminali informatici possono impossessarsi della posta elettronica aziendale e utilizzarla per schemi di compromissione della posta elettronica aziendale o persino per attacchi mirati.

Come proteggere i tuoi account da accessi indesiderati

Prima di tutto, tieni sempre a mente l’igiene delle password:

  • non riutilizzare la stessa password per più account;
  • rendere le tue password lunghe e forti;
  • conservarli in modo sicuro;
  • modificarle immediatamente non appena si ricevono notizie su una violazione dei dati nel servizio o nel sito Web che questa password viene utilizzata per proteggere.

Il nostro software di gestione delle password può aiutarti in tutte queste attività. È disponibile come parte delle nostre soluzioni di sicurezza per le PMI e per i clienti domestici .

Inoltre, l’ applicazione Kaspersky monitora la sicurezza di tutte le tue password in tempo reale. Dispone persino di un servizio per verificare se si è effettivamente verificata una perdita o meno. Chiamato Data Leak Checker, si trova nella scheda Privacy. Ti consente di verificare se la tua email è stata individuata in un database rubato da qualche parte. In tal caso, riceverai un elenco di siti che perdono, il tipo di dati resi pubblici (personali, bancari, cronologia delle attività online e così via), nonché consigli su cosa fare al riguardo.

Ed ecco alcuni consigli aggiuntivi:

  1. Abilita l’autenticazione a due fattori ove possibile. Fornisce un ulteriore livello di sicurezza e impedisce agli hacker di accedere al tuo account, anche se qualcuno riesce a ottenere il tuo login e la tua password.
  2. Imposta i tuoi social network per una migliore privacy. Ciò renderà più difficile trovare informazioni su di te e quindi complicherà l’uso di un dizionario di forza bruta per attaccare i tuoi account.
  3. Interrompi la condivisione eccessiva delle informazioni personali, anche se sono visibili solo agli amici. L’amico di oggi può diventare il nemico di domani.

Fonte : https://www.kaspersky.com/