Come i truffatori possono rubare le tue password
Ecco 5 tecniche ingannevoli che gli hacker usano per accedere ai tuoi dati sensibili in tutta semplicità.
7' di lettura
Ecco alcuni dati che potrebbero spaventarti: il 18% di tutta la merce scambiata nel dark web consiste in account web, dati di accesso alle email e password. L’aumento delle credenziali rubate è aumentato quasi del 30% dal 2017, e l’81% di tutti gli atti di pirateria informatica è dovuto a password poco sicure o compromesse. Queste statistiche sono piuttosto inquietanti.Tuttavia, considerando che la maggior parte delle violazioni (74%) è attribuita a errori umani, la soluzione a questo problema non risiede solo in tecnologie avanzate, ma è anche nelle nostre mani. In questo articolo, analizziamo le strategie che gli hacker utilizzano per cercare di ottenere accesso alle password, e in che modo puoi proteggerti.Una persona comune ha in media più di 100 password e ogni password è come una chiave. La gestione di questa cospicua collezione di chiavi spinge molti a prendere delle scorciatoie, come scegliere password facili da ricordare o riciclare la stessa password per siti diversi. Il metodo di hacking a forza bruta è uno dei preferiti tra i criminali informatici per la sua semplicità ed efficacia, ed è l’equivalente digitale di provare tutte le chiavi presenti in un mazzo sperando di trovare quella che apre la porta. Una tecnica di forza bruta particolarmente popolare si chiama credential stuffing. Gli hacker la utilizzano quando riescono a mettere le mani su un mucchio di combinazioni di nome utente-password precedentemente rubate. Attivano quindi un sistema automatizzato che prova a inserire tali credenziali in una moltitudine di siti web. Fondamentalmente è un po’ come tentare la fortuna alla lotteria, e con una stima di 193 miliardi di tentativi in tutto il mondo in un solo anno, le probabilità sono pericolosamente a favore dei cybercriminali.Il nostro consiglio è quindi quello di abbandonare l’approccio “una chiave per tutte le porte” e considerare l’idea di investire in un password manager. La migliore difesa contro un attacco di forza bruta è infatti un set di password univoche e sicure.Gli attacchi di phishing sfruttano la natura umana, ovvero la tendenza innata a dare fiducia e la mancanza di giudizio che ci coglie quando siamo sotto pressione. Esistono diversi tipi di phishing, ma un approccio molto diffuso consiste nell’impersonare un contatto fidato della vittima, come amici, parenti o un’azienda familiare. Dietro un messaggio o un’email apparentemente autentica, inviata da una persona cara o da un collega, si nasconde però un intento malevolo: un link o un allegato pronto a scatenare un malware o a indirizzarti su un sito web contraffatto, con l’obiettivo di accedere ai tuoi dati personali.Questo tipo di inganno non si limita a email e messaggi. Esiste anche il cosiddetto “vishing”, o phishing vocale. Il vishing è un tipo di truffa in cui i criminali usano le telefonate per indurre le persone a fornire dati personali come dettagli del conto corrente, password e codici di previdenza sociale. Diversamente dal phishing tradizionale, che avviene tipicamente via email, con il vishing i truffatori usano il telefono per creare un senso di urgenza o di autorità, fingendo di chiamare da un’azienda affidabile, un ente pubblico o un team di assistenza tecnica.Fortunatamente, non è difficile individuare tentativi di phishing o vishing: il nostro consiglio è quello di fare sempre molta attenzione alle richieste di informazioni improvvise. Controlla accuratamente l’indirizzo email del mittente e ricorda: se la questione sembra troppo urgente o un’offerta sembra troppo bella per essere vera, probabilmente si tratta di una truffa.Pensi che tutti gli attacchi richiedano tecnologie e algoritmi? Ti sbagli. Nella sua forma più semplice, lo shoulder surfing è l’atto di spiare una persona stando alle sue spalle per ottenere l’accesso a informazioni sensibili, in particolare password o altri dati protetti. Può avvenire in qualunque luogo o momento: dallo sbirciare oltre le spalle di qualcuno in un bar affollato, fino a osservarlo mentre inserisce il codice PIN in uno sportello ATM. Ad ogni modo, lo shoulder surfing si è evoluto: ora non è più limitato alla vicinanza fisica. I criminali informatici possono ora impiegare anche strumenti digitali come fotocamere o software di registrazione dello schermo per acquisire dati sensibili da remoto. Nonostante la sua natura poco tecnologica, lo shoulder surfing rimane un metodo semplice ed efficace per ottenere l’accesso non autorizzato a informazioni personali o riservate, il che evidenzia la necessità di mantenere alta l’attenzione anche in contesti apparentemente sicuri.Etichettare lo shoulder surfing come obsoleto sarebbe un errore: il semplice fatto che non necessita di trucchi altamente tecnologici non significa che non rappresenti una minaccia. Per questo, ti consigliamo di fare sempre molta attenzione quando digiti codici in pubblico: ricorda che occhi indiscreti potrebbero osservarti e che non tutti gli hacker hanno bisogno di un computer per accedere alla tua password.In un mask attack, gli hacker hanno scoperto una parte della tua password grazie a una violazione di dati o un incidente di sicurezza informatica. Questo attacco può non aver consegnato agli hacker la password intera, ma ha fornito loro indizi sufficienti per provare a indovinarla. Invece di provare qualsiasi combinazione di caratteri possibile (come in un attacco brute force), applicano una “maschera” compatibile con gli elementi conosciuti. Ad esempio, se un hacker sa che la password inizia con “Il” ed è lunga 8 caratteri, proverà solo le combinazioni compatibili con questo schema. Questo riduce notevolmente il numero di tentativi di cui l’hacker ha bisogno per indovinare la password corretta. La buona notizia è che se la tua password è l’equivalente digitale di un lucchetto ad alta sicurezza, ovvero è lunga, complessa e non prevedibile, neanche un’anteprima permetterà loro di ottenere il quadro completo. Per questo, ti consigliamo di creare delle password composte da lunghe sequenze di numeri, lettere e simboli, in uno schema che comprendi solo tu. Le rainbow table possono essere viste come bigliettini di appunti che gli hacker usano per decifrare le password. Quando crei una password su un’app o un sito, normalmente essa viene convertita in un formato crittografato e non riconoscibile usando una funzione di hash, un processo noto come “hashing”. In sostanza, una rainbow table è una lista di valori di hash precalcolati per un numero infinito di password potenziali. Gli hacker usano le rainbow table per abbinare la password crittografata (hash) alla sua forma originale nella loro tabella, rendendo molto più facile indovinare la password corretta senza dover affrontare un lungo processo di tentativi ed errori.La complessità e l’unicità delle tue password, però, possono ancora bloccare gli hacker. La pratica del cosiddetto “salting”, ovvero aggiungere un valore casuale alla password prima di convertirla in hash, trasforma la questione in un enigma troppo complicato da risolvere anche per la rainbow table più completa.Anche se il nome può ingannare, questo metodo non consiste nel frugare tra le ultime novità dello Zingarelli, ma nell’usare un “dizionario” da hacker, ovvero un arsenale compatto delle password preferite di internet. Pensa ad esempio a “123456”, “qwerty”, “password”, “iloveyou”, e la famigerata “hunter2”.Quando un criminale informatico prende di mira un’azienda non si limita a provare password comuni per vedere quale funziona, ma tesse una rete di parole (strategia di spidering) specifiche per l’obiettivo: termini propri dell’azienda, gergo del settore o qualunque termine pubblicamente associato all’organizzazione. Questa operazione non è svolta con un dizionario dei sinonimi, ma con un web crawler spider, simile ai bot che i motori di ricerca utilizzano per indicizzare le vaste distese di internet.L’attrattiva degli attacchi a dizionario, specialmente con una strategia di spidering, è la potenzialità di sbloccare gli account di persone collocate ai piani alti della gerarchia di un’organizzazione. In ogni caso, anche questo metodo non è infallibile. Quando crei le tue password, ti consigliamo di evitare tutto ciò che un attacco a dizionario potrebbe prevedere: dati personali, sequenze semplici, e qualsiasi cosa che possa essere rintracciabile. Opta per un mix di caratteri, numeri e simboli che sia unico per ogni account.
Per noi di N26, la sicurezza ha la massima priorità, ma è altrettanto importante che tu riesca a riconoscere una truffa e a proteggerti nel migliore dei modi. Per questo, ti ricordiamo ancora una volta di fare sempre molta attenzione alle richieste di informazioni improvvise e di utilizzare sempre password lunghe e complesse. Inoltre, se dovessi individuare delle attività sospette sul tuo conto, potrai subito bloccare la carta direttamente dall’app. Dai un’occhiata ai nostri conti!
Brute force: provare tutte le password possibili sperando di trovare quella giusta
Navigare nelle acque torbide di phishing e vishing
Senza stress - La banca come voglio
Hai perso la tua carta? Bloccala e sbloccala all'istante nell'app N26.
Scopri la sicurezza in N26Shoulder surfing, rubare la password con sguardi indiscreti
Mask attack, una mascherata da hacker
Districarsi nel labirinto delle rainbow table
La semplicità dell’attacco “a dizionario”
Il tuo denaro con N26
Articoli simili all'argomento
DI N26Love your bank
Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali ed economiche fare riferimento alla documentazione di trasparenza nella sezione Documenti Legali.
Articoli correlati
Ti potrebbero anche interessare...Tecnologia e sicurezza
Come i truffatori usano i codici QR per rubare i tuoi dati
Non tutti i codici QR sono innocui. Ecco a cosa prestare attenzione per evitare di cadere in una truffa di “quishing”.
5' di lettura
Tecnologia e sicurezza
Come tenere i tuoi soldi al sicuro quando fai shopping online
Proteggiti dalle truffe online con questa semplice guida.
12' di lettura
Tecnologia e sicurezza
Fai attenzione alle 5 truffe tipiche del periodo natalizio
Non lasciare che i truffatori ti rovinino le feste. Scopri le 5 truffe più frequenti del periodo di festa per proteggere al meglio il tuo conto!
6' di lettura