Come vengono rubate le password (e 10 semplici passaggi per tenerle al sicuro)
Pubblicato: 2022-03-15
“RockYou2021: trapelata online la più grande raccolta di password di tutti i tempi con 8,4 miliardi di voci”
“La polizia ha trovato 225 milioni di password rubate nascoste su un server cloud hackerato”
Questi titoli purtroppo non sono una novità. I pericoli della fuga/furto della tua password sono ormai ben noti. I maghi della tecnologia hanno sviluppato e testato strumenti che alla fine sostituiranno l'uso delle password, ma la transizione non dovrebbe essere implementata completamente a breve.
La maggior parte dei siti Web e delle app non consente l'autenticazione tramite dati biometrici, il che significa che noi utenti siamo ancora limitati a utilizzare la semplice password. La realtà è che molte persone non utilizzano ancora i gestori di password e riutilizzano la stessa password su più siti Web e applicazioni, compresi quelli cruciali come l'online banking.
Ciò significa che prendere precauzioni per proteggere le tue password (di nuovo, a meno che non utilizzi un gestore di password) non è altro che un imperativo se vuoi proteggere le tue risorse.
Prima di andare lì, però, forse è meglio dare un'occhiata a come si verificano fughe/furti di dati, poiché la comprensione del processo può svolgere un ruolo importante nel prevenirlo.
Come le password vengono hackerate e rubate
Possono affermare di rappresentare aziende con cui i loro obiettivi hanno fatto affari. Spesso impersonano funzionari governativi tra cui personale delle forze dell'ordine, agenti fiscali e dipendenti dell'amministrazione della sicurezza sociale. A volte affermano di chiamare per conto dei familiari o degli amici dei loro obiettivi.
Questi criminali cercheranno di trasmettere un senso di urgenza, magari anche minacciando i loro bersagli di arresto o di perdita dell'accesso ai benefici, se non agiranno immediatamente fornendo le informazioni richieste.
Queste credenziali vengono caricate in applicazioni che le testano rapidamente rispetto a un numero enorme di siti che sperano di trovare corrispondenze e ottenere l'accesso. Ogni anno vengono registrati centinaia di milioni di questi tipi di attacchi.
Le app e le funzioni che rubano le credenziali potrebbero essere in realtà keylogger, pacchetti di malware che registrano non solo le tue password ma tutte le tue battute e poi le trasmettono al cattivo attore.
Il malware per il furto di credenziali può anche essere integrato in siti progettati per assomigliare a quelli di entità rispettabili. Ad esempio, un utente malintenzionato può inviare un messaggio di phishing sostenendo che è stata rilevata un'attività sospetta nel conto bancario del bersaglio e che il bersaglio deve accedere al proprio account per modificare immediatamente la password.
La vittima fa clic su un collegamento nel messaggio e viene indirizzata a un sito bancario dall'aspetto legittimo dove gli viene chiesto di inserire le credenziali di accesso per iniziare il processo di reimpostazione della password. In questo modo l'attaccante fornisce le credenziali del conto bancario della vittima.
Alcuni siti dannosi simili vengono creati nella speranza che individui casuali atterrino inavvertitamente su di essi e vengano truffati dai loro nomi utente e password.
La versione high-tech di questo è un attacco man-in-the-middle. Le reti Wi-Fi pubbliche sono spesso frequentate da aggressori che utilizzano strumenti prontamente disponibili per monitorare il traffico di rete e sottrarre dati sensibili, comprese le credenziali di accesso all'account, da coloro che utilizzano le reti.
A volte i criminali informatici creano le proprie reti Wi-Fi pubbliche progettate per apparire come se fossero quelle di aziende legittime, con l'unico scopo di rubare i dati degli utenti. Le reti Wi-Fi pubbliche sono intrinsecamente pericolose.
In effetti, il numero di password in uso continua ad aumentare, così come il numero di aggressori là fuori che stanno attivamente cercando di rubarle. La protezione con password dovrebbe essere presa sul serio, quindi vai avanti e implementa il maggior numero possibile di questi suggerimenti.
“La polizia ha trovato 225 milioni di password rubate nascoste su un server cloud hackerato”
Questi titoli purtroppo non sono una novità. I pericoli della fuga/furto della tua password sono ormai ben noti. I maghi della tecnologia hanno sviluppato e testato strumenti che alla fine sostituiranno l'uso delle password, ma la transizione non dovrebbe essere implementata completamente a breve.
La maggior parte dei siti Web e delle app non consente l'autenticazione tramite dati biometrici, il che significa che noi utenti siamo ancora limitati a utilizzare la semplice password. La realtà è che molte persone non utilizzano ancora i gestori di password e riutilizzano la stessa password su più siti Web e applicazioni, compresi quelli cruciali come l'online banking.
Ciò significa che prendere precauzioni per proteggere le tue password (di nuovo, a meno che non utilizzi un gestore di password) non è altro che un imperativo se vuoi proteggere le tue risorse.
Prima di andare lì, però, forse è meglio dare un'occhiata a come si verificano fughe/furti di dati, poiché la comprensione del processo può svolgere un ruolo importante nel prevenirlo.
Come le password vengono hackerate e rubate 
Indovinare: il metodo più semplice
Nel 2020, tre delle password più comuni in uso sono risultate essere "123456", "123456789" e "password". Quando è stata cercata utilizzando gli strumenti disponibili su HaveIBeenPwned (vale sicuramente la pena visitarla), è emerso che queste password sono state visualizzate decine di milioni di volte durante le scansioni dei dati violati. Ecco i risultati del rapporto a gennaio 2022:- 123456 - 37.359.195 presenze
- 123456789 - 16.629.796 presenze
- password - 9.545.824 presenze
Phishing e altre varianti di attacchi di ingegneria sociale
I criminali informatici spesso contattano direttamente i loro obiettivi tramite telefono (vishing), e-mail (phishing), messaggi di testo (smishing) o tramite account di social media. In questi attacchi, i truffatori in genere impersonano altri per convincere le loro vittime a fornire informazioni sensibili come le credenziali di accesso.Possono affermare di rappresentare aziende con cui i loro obiettivi hanno fatto affari. Spesso impersonano funzionari governativi tra cui personale delle forze dell'ordine, agenti fiscali e dipendenti dell'amministrazione della sicurezza sociale. A volte affermano di chiamare per conto dei familiari o degli amici dei loro obiettivi.
Questi criminali cercheranno di trasmettere un senso di urgenza, magari anche minacciando i loro bersagli di arresto o di perdita dell'accesso ai benefici, se non agiranno immediatamente fornendo le informazioni richieste.
Brute force e attacchi di riempimento
Come accennato, gli hacker hanno a disposizione strumenti in grado di generare rapidamente password casuali e testarle per determinare se forniranno l'accesso ad account mirati. Il ripieno, che è una variante della forza bruta, implica l'uso di credenziali precedentemente rubate, esposte in violazioni e disponibili ai criminali tramite il Dark Web.Queste credenziali vengono caricate in applicazioni che le testano rapidamente rispetto a un numero enorme di siti che sperano di trovare corrispondenze e ottenere l'accesso. Ogni anno vengono registrati centinaia di milioni di questi tipi di attacchi.
Malware per il furto di credenziali
I tuoi dispositivi possono essere infettati da malware per il furto di credenziali quando fai clic su collegamenti dannosi nelle e-mail di phishing, apri allegati e-mail infetti, visiti accidentalmente il sito Web di un utente malintenzionato o installi un'app che non proviene da una fonte attendibile.Le app e le funzioni che rubano le credenziali potrebbero essere in realtà keylogger, pacchetti di malware che registrano non solo le tue password ma tutte le tue battute e poi le trasmettono al cattivo attore.
Il malware per il furto di credenziali può anche essere integrato in siti progettati per assomigliare a quelli di entità rispettabili. Ad esempio, un utente malintenzionato può inviare un messaggio di phishing sostenendo che è stata rilevata un'attività sospetta nel conto bancario del bersaglio e che il bersaglio deve accedere al proprio account per modificare immediatamente la password.
La vittima fa clic su un collegamento nel messaggio e viene indirizzata a un sito bancario dall'aspetto legittimo dove gli viene chiesto di inserire le credenziali di accesso per iniziare il processo di reimpostazione della password. In questo modo l'attaccante fornisce le credenziali del conto bancario della vittima.
Alcuni siti dannosi simili vengono creati nella speranza che individui casuali atterrino inavvertitamente su di essi e vengano truffati dai loro nomi utente e password.
Spalla surf e attacchi man-in-the-middle
Il termine "navigazione a spalla" descrive la tattica di guardarsi alle spalle di qualcuno per osservare cosa c'è sul display del suo computer o dispositivo e cercare di scoprire password o altre informazioni sensibili.La versione high-tech di questo è un attacco man-in-the-middle. Le reti Wi-Fi pubbliche sono spesso frequentate da aggressori che utilizzano strumenti prontamente disponibili per monitorare il traffico di rete e sottrarre dati sensibili, comprese le credenziali di accesso all'account, da coloro che utilizzano le reti.
A volte i criminali informatici creano le proprie reti Wi-Fi pubbliche progettate per apparire come se fossero quelle di aziende legittime, con l'unico scopo di rubare i dati degli utenti. Le reti Wi-Fi pubbliche sono intrinsecamente pericolose.
Come proteggere le mie password dall'hacking in 10 semplici passaggi
Di seguito sono elencate le strategie che puoi facilmente implementare per proteggere le tue password, i tuoi account e le tue informazioni sensibili:- Una regola pratica di base: procurati un gestore di password/un deposito. Si tratta di applicazioni appositamente progettate per mantenere la tua password al sicuro. Con loro, tutto ciò che dovrai fare è solo ricordare una password principale (sempre seguendo le regole seguenti!)
- Non includere parole vere. Se possibile, inventa le tue parole che difficilmente verranno "indovinate" (ad es. "Radamabla")
- Non utilizzare compleanni e altri dati facilmente identificabili su di te (es. cognome)
- Non utilizzare password deboli (semplicistiche). Le password devono essere lunghe, complesse e includere lettere maiuscole e minuscole, numeri e caratteri speciali.
- Usa una password diversa per ciascuno dei tuoi account. Se un account viene compromesso, gli altri account non saranno in pericolo a causa dell'utilizzo delle stesse credenziali (soprattutto non ripetere le password sugli account di posta elettronica e sugli account finanziari)
- Utilizzare un 2FA (autenticazione a due fattori) ovunque sia disponibile. Questo aggiunge un altro componente al processo di accesso. Nella maggior parte dei casi, è un PIN che viene inviato al tuo dispositivo tramite SMS o e-mail. Se un utente malintenzionato è in grado di rubare le tue credenziali di accesso, non sarà comunque in grado di completare l'accesso senza questo fattore aggiuntivo.
- A meno che tu non sia sicuro di poterti fidare della fonte di un messaggio di posta elettronica, di testo o di social media e soprattutto se c'è qualcosa di insolito o sospetto nel messaggio, dovresti evitare di aprire gli allegati o di fare clic sui collegamenti inclusi.
- Quando visiti i siti web, assicurati che utilizzino HTTPS. Un lucchetto bloccato dovrebbe essere visualizzato a sinistra dell'URL del sito nella parte superiore del browser indicando l'uso di questo protocollo di sicurezza. Alcuni criminali hanno ora iniziato a utilizzare HTTPS sui loro siti, quindi questo metodo non è efficace al 100% nel proteggere le tue informazioni dai truffatori, ma seguire questa raccomandazione ti aiuterà a evitare siti dannosi.
- Assicurati che i sistemi operativi sui tuoi dispositivi siano aggiornati e impostati per scaricare e installare gli aggiornamenti automaticamente. Inoltre, assicurati che tutti i tuoi dispositivi eseguano applicazioni anti-malware/antivirus.
- Evita di utilizzare il Wi-Fi pubblico a meno che il tuo dispositivo non sia dotato anche di un'app di rete privata virtuale (VPN) e tale app sia in uso. Le VPN crittografano i dati che viaggiano da e verso il tuo dispositivo. Anche se viene intercettato da un cattivo attore, i dati non possono essere decodificati e letti. Se non disponi di una VPN e devi utilizzare il Wi-Fi pubblico, evita di accedere a qualsiasi account o di inviare informazioni sensibili tramite i servizi di messaggistica.
Pensieri finali
Per più di dieci anni, le pubblicazioni tecnologiche hanno previsto la fine della password, ma è ancora qui.In effetti, il numero di password in uso continua ad aumentare, così come il numero di aggressori là fuori che stanno attivamente cercando di rubarle. La protezione con password dovrebbe essere presa sul serio, quindi vai avanti e implementa il maggior numero possibile di questi suggerimenti.