Condividiamo questo importante articolo dal blog di kaspersky.it : “I codici monouso e lโautenticazione a due fattori proteggono i tuoi account dai furti. Se ricevi un codice di questo tipo, o la richiesta di inserirlo, ma non stai effettuando lโaccesso, potrebbe trattarsi di un tentativo di violazione del tuo account.
Negli ultimi anni ci siamo abituati ad accedere ai sistemi di online banking, e ad altri siti Web e app importanti, utilizzando sia una password che un ulteriore metodo di verifica: puรฒ trattarsi di una password monouso (OTP) ricevuta tramite SMS, e-mail o notifica push, di un codice generato da unโapp di autenticazioneย o anche di uno speciale dispositivo USB (il cosiddetto โtokenโ). Questo metodo di accesso รจ denominatoย autenticazione a due fattoriย (2FA) ed รจ stato pensato per complicare la vita agli hacker, perchรฉ ora non รจ piรน sufficiente rubare o indovinare una password per poter violare un account. Ma cosa รจ meglio fare se inaspettatamente riceviamo un codice monouso, o la richiesta di inserirlo, senza aver nemmeno tentato di accedere a uno dei nostri account?
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Questa situazione potrebbe verificarsi per tre motivi:
- Hai subito un tentativo di violazione.ย Un hacker ha in qualche modo scoperto, indovinato o rubato la password e ora sta cercando di utilizzarla per accedere al tuo account. Il messaggio che hai ricevuto รจ legittimo e ti รจ stato inviato dal servizio a cui il criminale sta tentando di accedere.
- Qualcuno sta preparando una violazione.ย Un hacker รจ venuto a conoscenza della tua password o sta cercando di indurti a rivelarla. In questo caso, lโinvio del codice OTP รจ una tecnica di phishing. Il messaggio che hai ricevuto รจ falso, anche se sembra molto simile a quelli autentici.
- Un possibile errore.ย A volte i servizi online sono impostati per richiedere lโimmissione prima di un codice di conferma ricevuto tramite SMS e poi lโinserimento di una password oppure per eseguire lโautenticazione con un solo codice. Il codice potrebbe essere stato inviato al tuo dispositivo perchรฉ a causa di un errore di battitura, anzichรฉ il proprio numero di telefono (o indirizzo e-mail) un altro utente potrebbe aver inserito il tuo.
In sostanza, se รจ vero che il messaggio che hai ricevuto potrebbe nascondere un intento dannoso, รจ altrettanto vero che in questa fase agendo in modo corretto puoi ancora evitare qualsiasi problema.
Cosa fare quando si riceve una richiesta di codice
La cosa piรน importante รจย evitare di fare clicย sul pulsante di conferma (nel caso dei messaggi che presentano due opzioni per approvare o negare lโaccesso),ย evitare di eseguire lโaccesso a qualsiasi accountย eย evitare di condividere con chiunque i codici ricevuti.
Se il messaggio di richiesta del codice contiene uno o piรน collegamenti, non fare clic.
Queste sono le regole fondamentali. Finchรฉ non confermi lโaccesso, il tuo account รจ al sicuro. Poichรฉ, tuttavia, รจ molto probabile che gli autori dellโattacco siano a conoscenza della password dellโaccount in questione, la seconda cosa da fare รจ cambiare immediatamente la password di quellโaccount. Accedi al relativo servizio immettendo lโindirizzo Web manualmente, anzichรฉ seguendo un collegamento. Immetti la password e (importante!) ottieni un nuovo codice di conferma, quindi inseriscilo. Vai alle impostazioni relative alla password e imposta una nuovaย password complessa e sicura. Se utilizzi la stessa password per piรน account, ricordati di cambiarla anche in tutti gli altri. Ancora meglio, assicurati di creare una password univoca per ogni account. Poichรฉ ricordare a memoria cosรฌ tante password รจ difficile, il nostro consiglio รจ di utilizzare uno specificoย strumento di gestione delle passwordย per conservarle.
La modifica delle password, non รจ cosรฌ urgente: non รจ necessario farlo immediatamente, ma รจ meglio rimandare troppo. Per gli account piรน importanti (come quelli bancari), i criminali possono tentare di intercettare lโOTP, se questo viene inviato tramite SMS. Questa operazione in genere richiede unoย scambio della SIMย (ovvero la registrazione di una nuova scheda SIM sul numero della vittima) o il lancio di un attacco tramite laย rete di servizi dellโoperatoreย sfruttando un difetto del protocollo di comunicazione SS7. ร quindi importante modificare la password prima che i malintenzionati provino a sferrare un attacco di questo tipo. In generale, i codici monouso inviati tramite SMS sono meno affidabili delle app di autenticazione e dei token USB. ร consigliabile utilizzare sempre il piรน sicuro metodo 2FA disponibile. A questo proposito, leggi questaย recensione dei diversi tipi di autenticazione a due fattori.
Cosa fare se si ricevono molte richieste OTP
Nel tentativo di farti approvare una richiesta di accesso, gli hacker potrebbero bombardarti di codici. Nella speranza di approfittare di un tuo momento di distrazione che ti porti a confermare lโaccesso, o a disabilitare la verifica 2FA del servizio per evitare fastidi, continuano ripetutamente a tentare di accedere. ร importante mantenere la calma ed evitare di commettere lโerrore di fare proprio quello che i criminali si augurano che tu faccia. La cosa migliore รจ accedere al sito del servizio come descritto sopra (cioรจ aprendo il sito manualmente, non tramite un collegamento) e modificare velocemente la password. A questo scopo, ovviamente, dovrai ricevere e inserire un codice OTP legittimo. Alcune richieste di autenticazione (ad esempio gli avvisi relativi allโaccesso ai servizi Google) presentano un pulsante del tipo โNo, non ho richiesto io il codiceโ. In genere, se si seleziona questo pulsante i sistemi automatici del servizio bloccano automaticamente lโautore dellโattacco e qualsiasi nuova richiesta di verifica 2FA. In alternativa, anche se non si tratta di un sistema molto pratico, potresti impostare il telefono in modalitร silenziosa o addirittura in modalitร aereo per una mezzโora, in attesa che lโondata di codici si plachi.
Intermezzo promozionale ... continua la lettura dopo il box:
Cosa fare se involontariamente si autorizza una richiesta di accesso indesiderata
Questo รจ lo scenario peggiore, poichรฉ probabilmente hai consentito a un criminale di accedere al tuo account. Gli autori degli attacchi sono agiscono rapidamente: in men che non si dica modificheranno le tue impostazioni e le password. Dovrai pertanto cercare di recuperare e affrontare le conseguenze della violazione. Leggi questo articolo per sapereย cosa fare se uno dei tuoi account รจ stato violato.
Come proteggersi
La miglior difesa in questo caso รจ cercare di stare un passo avanti ai criminali:ย si vis pacem, para bellum. ร qui cheย la nostra soluzione di sicurezzaย torna utile. Monitora le fughe di dati in cui possono essere stati coinvolti i tuoi account collegati sia agli indirizzi e-mail che ai numeri di telefono, anche nel Dark Web.ย Kaspersky Premiumย consente di aggiungere i numeri di telefono e gli indirizzi e-mail di tutti i membri della famiglia. Inoltre, avvisa immediatamente e offre consigli su come procedere se i dati di un account risultano pubblicamente disponibili o sono presenti nei database delle fughe di dati.
Incluso nellโabbonamento,ย Kaspersky Password Managerย segnala le password compromesse e suggersice come modificarle, generando nuove password inviolabili. ร anche possibile aggiungere i token per lโautenticazione a due fattori o trasferirli facilmente da Google Authenticator con pochi clic. Lโarchiviazione sicura per i documenti personali assicura la protezione dei documenti e file piรน importanti (ad esempio, scansioni del passaporto e foto personali) in formato criptato, consentendo solo a te di accedervi.
Inoltre, potrai accedere a credenziali, password, codici di autenticazione e documenti salvati da qualsiasi dispositivo: computer, smartphone o tablet. Anche se smarrisci il telefono, non perderai nรฉ i dati nรฉ lโaccesso e sarai in grado di ripristinarli facilmente su un altro dispositivo. Per accedere a tutti i tuoi dati, dovrai ricordare una sola password: quella principale. La password principale non viene salvata da nessuna parte e viene utilizzata per il sistema di criptaggio dei dati di livello bancario AES.
Secondo il โprincipio di divulgazione zeroโ, nessuno puรฒ accedere alle tue password o ai tuoi dati, nemmeno i dipendenti di Kaspersky. Lโaffidabilitร e lโefficacia delle nostre soluzioni di sicurezza sono state confermate nel corso di numerosiย test indipendenti. Ad esempio, di recente le nostre soluzioni per la protezione degli utenti privati hanno conseguito il massimo riconoscimento diย Prodotto dellโanno 2023ย nei test condotti dal laboratorio europeo indipendenteย AV-Comparatives.”
Fonte : https://www.kaspersky.it/blog/unexpected-login-codes-otp-2fa/28527/
