19.03.2024 - Le password forti e complesse sono un elemento importante per proteggere in maniera adeguata l’accesso ai servizi online. Tuttavia, queste password hanno lo svantaggio di essere difficili da ricordare, ragion per cui molti utenti scelgono di utilizzare la stessa password per diversi servizi o di creare password sistematiche, a scapito della sicurezza. Per questo motivo si consiglia l’uso di un password manager, uno strumento che non è comunque esente da rischi, come dimostra un esempio notificato la settimana scorsa all’UFCS.
Ripristino della password tramite e-mail o mediante la stessa password
La settimana scorsa è stato notificato all’UFCS un episodio in cui una password trafugata era stata utilizzata più volte, non solo a scopo di minaccia in una finta e-mail di sextortion, ma anche per accedere abusivamente a diversi account di social media. I cibercriminali inoltre erano riusciti ad accedere a un negozio online e successivamente a inviare un malware dall’account di posta elettronica della vittima a tutti i contatti che vi erano salvati.
In casi come questo vi è il sospetto che i criminali avessero già accesso all’indirizzo e-mail e che con la funzione di ripristino della password abbiano tentato di prendere il controllo dei vari account. A tale riguardo l’UFCS ha già pubblicato una retrospettiva settimanale:
Siccome gli attacchi sopra descritti potrebbero essere ricondotti a diversi gruppi criminali, l’UFCS parte dal presupposto che in questo caso si tratti di un’altra fattispecie. La password era probabilmente già stata rubata qualche tempo fa e offerta su alcuni forum specializzati in attività hackeraggio. La verifica dell’indirizzo e-mail su «Have I Been Pwned» ha confermato questa ipotesi. «Have I been Pwned» è un servizio che permette di verificare se una password collegata a un indirizzo e-mail è stata trafugata. Nel caso in questione la password era comparsa nel 2020 in una raccolta di dati offerta su diversi forum di hacker. Si deve pertanto presumere che i dati di accesso fossero noti a diversi gruppi di criminali, che li hanno utilizzati impropriamente per i loro scopi.
Ma com’è possibile che con una password rubata siano stati compromessi diversi servizi online? La risposta è molto semplice: in questo caso la vittima ha utilizzato la stessa password per vari servizi. I diversi criminali, agendo in modo indipendente gli uni dagli altri e quasi allo stesso tempo, hanno usato la password sottratta per vari scopi. Questo caso mostra l’importanza di utilizzare una password diversa per ogni servizio online.
Utilizzo di password sistematiche
Ma non è finita qui. Occorre fare anche attenzione a non utilizzare password sistematiche. Se per esempio si utilizza una password del tipo «QuestaeunasuperPassword!01», è altamente probabile che la stessa persona usi anche la password «QuestaeunasuperPassword!02». Abbinando caratteri e numeri, andando a tentativi o facendo ipotesi, i criminali riusciranno comunque a prendere il controllo di un account.
Proteggere il password manager con una password forte
Un password manager può essere d’aiuto in questi casi: si tratta di un tool per la creazione e la gestione di password sicure che genera e salva password complesse, inserendole automaticamente quando si effettua il login su siti e app. Quando si crea un account non bisogna quindi né inventarsi una password complicata, né ricordarsela per il futuro.
Ma anche qui occorre prestare attenzione a un aspetto importante: i password manager sono protetti da una password principale, una cosiddetta master password. Se quest’ultima finisce nelle mani sbagliate, la sicurezza rimarrà solo un lontano ricordo. In questo caso, infatti, i criminali non avranno soltanto accesso a tutte le password, ma sapranno anche presso quali servizi la vittima ha un account. Ed è proprio di questo genere il caso notificato all’UFCS la settimana scorsa. Un malware è riuscito a farsi strada nel computer della vittima, sul quale era presente anche un file del password manager. Siccome il file era protetto soltanto da una password facile da indovinare, in poco tempo i criminali sarebbero riusciti a mettere mano alle password. Per questo motivo, in via preventiva la vittima ha dovuto cambiare le password presso tutti i servizi online. Fortunatamente in questo caso la vittima si è accorta per tempo dell’accesso indesiderato e ha potuto agire in modo tempestivo. Se un’infezione e la relativa fuga di dati passano inosservate, le conseguenze possono essere molto pesanti. È quindi indispensabile definire una master password sicura.
Misure precauzionali
- Utilizzare una password di almeno 12 caratteri, composta da lettere maiuscole e minuscole, numeri e, se possibile, caratteri speciali.
- Evitare di riutilizzare le password.
- Utilizzare l’autenticazione a due fattori. Oltre alla password, ad esempio, viene richiesto un codice numerico che viene generato e visualizzato in un’app («Authenticator app»). Niente paura: il processo di configurazione è semplice e deve essere svolto una volta sola. Inoltre, in molti casi il codice non deve essere inserito sistematicamente, ma solo quando si accede da un dispositivo sconosciuto. Con l’autenticazione a due fattori, ai criminali risulta molto più difficile potersi impadronire dell’account.
- La password dell’account di posta elettronica deve essere inserita solo nella webmail (controllare l’URL) o nei programmi di posta elettronica su PC e cellulare. Non accettare mai di inserire la propria password sui siti web aperti tramite i link ricevuti per e-mail.
- Se possibile, utilizzare più indirizzi e-mail a seconda dello scopo.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 19.03.2024
