Account Hackerato: username e password sono al sicuro?
Account Hackerato? Trovarsi in questa spiacevole situazione è molto più comune di quanto possiate immaginare.
Sicuramente vi sarà stato consigliato – o avrete letto – della buona pratica di non utilizzare la stessa password durante le iscrizioni ai nostri servizi online.
Non si tratta di una semplice “best practice” che viene suggerita come regola base, ma ha uno scopo ben preciso, legato al prevenire un eventuale hackeraggio dei nostri account.
Perché non è consigliato usare la stessa password per tutti i nostri servizi online?
È molto semplice: se siamo vittime di un furto di dati, e le credenziali – email e password – del nostro account hackerato (account Facebook o Linkedin per fare due esempi) sono le stesse per gran parte dei nostri account online, ecco che l’hacker ha libertà d’accesso alle nostre informazioni.
Molti famosi portali online hanno subito attacchi da parte di hacker, ecco i più celebri in ordine temporale:
- Linkedin: nel 2012 sono state violate le credenziali di 6,5 milioni di utenti (fonte; Repubblica);
- Adobe: nel 2013 sono state violate le credenziali di 38 milioni di utenti (fonte: Rainews);
- eBay: nel 2014, oltre 100 milioni di utenti a rischio (fonte: Lastampa);
- Yahoo: nel 2014, violate le credenziali di 500 milioni di utenti (fonte: ANSA);
- Marriot Hotel: nel 2016, violate le credenziali di 500 milioni di utenti (fonte: Corriere);
- Uber: nel 2016, violate le credenziali di 57 milioni di utenti (fonte: Repubblica);
- Canva: nel 2019, violate le credenziali di 139 milioni di utenti (fonte: AlGroun – Portale italiano di sicurezza informatica);
- Houzz: nel 2019, violate le credenziali di oltre 48 milioni di utenti (fonte: Forbes).
Il primo spunto di riflessione è che quelli elencati sono portali informatici di grandi compagnie strutturate (se non multinazionali) dagli avanzati sistemi di sicurezza informatica: se un hacker riesce a penetrare perfino le loro difese significa che nessuno di noi può ritenersi invulnerabili.
Il secondo spunto di riflessione è sull’uso che i “pirati informatici” fanno delle mie credenziali. Quando infatti un portale viene hackerato, vengono rubate le credenziali di tutti gli utenti che hanno effettuato una registrazione: indirizzi email e password. Come abbiamo visto si parla di milioni di credenziali.
Solitamente, gli hacker utilizzano i dati rubati in due modi (attenzione al secondo, che è quello che più ci interessa):
- li vendono nel “Dark Web” e chi li compra (non necessariamente un altro Hacker) li usa per campagne di Phishing (per approfondire il Phishing e come difenderti ti rimandiamo al nostro articolo);
- provano a usare le credenziali per cercare di accedere ad altri portali “comuni”, come Facebook, Netflix o la casella posta elettronica. Hanno la nostra email e la nostra password, capite bene che SE sono le stesse credenziali utilizzate per TUTTI i nostri accessi la situazione è molto grave. Gli hacker possono rubare segreti alle reti aziendali, trasferire somme di denaro, inviare messaggi compromettenti spacciandosi per noi a scopo diffamatorio o per la richiesta di riscatti, o risalire ai nostri dati personali.
Account hackerato cosa fare? Come scoprire se un servizio a cui sono iscritto ha subito un attacco informatico?
Quando notiamo qualcosa di sospetto, ad esempio se riceviamo segnalazioni di tentativi di accesso da terze parti, uno strano addebito sul conto bancario o addirittura l’impossibilità di accedere a un nostro servizio, allora è il momento di alzare il livello di allerta.
Accediamo il prima possibile all’account e, qualora tutto andasse a buon fine, cambiamo la password.
Purtroppo, se non riusciamo più ad accedere, sarà opportuno rivolgerci all’azienda proprietaria dell’account, seguire le rispettive procedure di recupero, rispondere alle loro domande e riprendere il controllo del nostro profilo. Successivamente possiamo attivarci per le opportune verifiche, ad esempio il controllo dei messaggi inviati (e, nel caso, informare i contatti sul malinteso), eventuali impostazioni manipolate da terzi, cambiare la password dell’account (e di tutti gli altri account che utilizzano la medesima password) e, in caso di danni gravi, denunciare l’accaduto alle forze dell’ordine.
Non ho notato nessuna attività sospetta, posso comunque sapere se un indirizzo email che utilizzo è stato coinvolto in un attacco hacker ad un servizio web?
Si, c’è un modo per verificarlo.
È sufficiente accedere al portale https://monitor.firefox.com/, vi ritroverete a questa schermata:
Inserendo il proprio indirizzo email e cliccando “cerca nelle violazioni” il portale ci confermerà se l’email è stata coinvolta in qualche violazione di dati conosciuta. Come detto in precedenza, in caso di account coinvolto non aspettate oltre, e cambiate la password per quello specifico account e per tutti gli account con la medesima password.
Il portale offre inoltre un ottimo servizio di alerting qualora l’email possa venire coinvolta in futuro.
Inoltre, cliccando in alto sul pulsante “Violazioni” possiamo avere una panoramica delle più recenti violazioni registrate nel portale, a prescindere dalla presenza o meno del nostro indirizzo email.
Esiste una soluzione unica e sicura al 100% per evitare che i nostri account vengano compromessi?
Purtroppo la risposta è NO.
Come già detto in apertura di questo articolo, anche le multinazionali (che possono vantare sofisticati sistemi di sicurezza informatica) sono spesso vittime di attacchi informatici. Nel nostro piccolo però possiamo attivare una serie di accortezze che possono ridurre le possibilità di essere violati.
La prima regola è divulgare il meno possibile in rete i nostri dati privati come nomi, numeri di telefono, indirizzi email, coordinate bancarie, carte di credito, nostre foto e posizioni geografiche condivise, in modo da chiudere preventivamente ogni tipo di accesso per un attacco da parte di un hacker.
La seconda regola, e qui arriviamo al sodo, è scegliere per ogni account una password complessa e sempre diversa. Non è mai consigliato utilizzare la stessa password per più servizi online, anche se si ritiene che il rischio di subire un attacco hacker sia basso. Vi rimandiamo a questo articolo per approfondire una corretta gestione password.
Attenzione
La terza – ma più importante – misura di difesa da mettere in pratica è aumentare il livello di sicurezza all’accesso della nostra email principale.
È normale porre una diversa attenzione alla sicurezza a seconda dell’importanza dell’account in questione: prestiamo più attenzione all’account della nostra App Fitness Nike Training Club o a quelli del nostro online banking, o PayPal?
Chiunque abbia a cuore propria sicurezza informatica infatti si preoccupa di prendere maggiori precauzioni per l’accesso a servizi che concernono al proprio conto in banca (e quindi al proprio denaro), lasciando un livello di allerta più moderato per servizi più “semplici”.
Tuttavia, un sacco di utenti non prestano la dovuta attenzione alla propria casella di posta elettronica principale mentre, in realtà, è la via di accesso a tutti gli altri account.
Questo perché se l’hacker intercetta le credenziali di un servizio a cui siamo iscritti, e vede – ad esempio – che la email utilizzata è mariorossi@gmail.com e che la password è vacanzeibiza2010!, la prima prova dell’hacker sarà provare ad accedere a Gmail con le medesime credenziali.
Se l’accesso funziona – senza troppi giri di parole – siamo rovinati: la nostra casella di posta elettronica è la via d’accesso principale a tutti i nostri account.
L’hacker potrà infatti cambiare la password per accedere alla casella – di fatti buttandoci fuori dall’accesso alla nostra email – e successivamente selezionare “password dimenticata?” sui portali più noti e comuni ai quali possiamo essere iscritti, leggere la email ricevuta e procedere con il cambio password.
In questo caso, le soluzioni da adottare sono due:
- qualora la password della nostra casella sia debole, aggiorniamola. Per avere la certezza di una password forte, utilizziamo il generatore password complesse di Google: trovate tutti i passaggi nel nostro articolo;
- attiviamo l’autenticazione a due fattori per l’accesso alla nostra email: possiamo gestirlo in maniera nativa se abbiamo un account Microsoft Exchange per la nostra email professionale, o possiamo abilitarlo per il nostro account Google gratuitamente dalle impostazioni del nostro account, come ti spieghiamo in questo approfondimento.
Vuoi aumentare la sicurezza informatica della tua attività?
Abbiamo visto insieme le possibili soluzioni da attivare per prevenire la spiacevole situazione dell’account hackerato.
Questi accorgimenti sono molto importanti, e possono aiutare a fronteggiare i casi più comuni di attacco informatico: per i metodi più complessi purtroppo anche la nostra attenzione potrebbe non bastare, e dovrebbere essere affiancata da sistemi di sicurezza informatici all’avanguardia.
Tuttavia è possibile implementare sistemi automatizzati per migliorare la sicurezza informatica della tua attività: la prevenzione è fondamentale.
Compila il form sottostante per lasciare le informazioni di cui abbiamo bisogno, sarai ricontattato al più presto.
Potrebbe interessarti…
Backup o Business Continuity: come gestire i tuoi dati al meglio
In ambito backup, l’offerta presente sul mercato è sterminata e se ti sembra che sia tutto poco...
Il QRishing: la nuova minaccia informatica arriva attraverso la lettura dei QR Code
La sicurezza informatica è una preoccupazione crescente, e mentre la tecnologia continua a...
Passaggio dal classico modello di assistenza di tipo Break/Fix ad uno Proattivo
Il passaggio dal classico modello di assistenza di tipo Break/Fix ad un sistema di tipo...
Disaster Recovery: cos’è e perchè ti serve
Disaster Recovery, il vero disastro è “far finta di niente”. In passato, l'informatica era solo...
L’importanza di un sito web nel 2023
L’importanza di un sito web nel 2023.Tra tutte le varie difficoltà presentatesi nel corso degli...
Scopri il rivoluzionario software per la gestione dei sinistri
L'attesa è finita...Siamo orgogliosi di annunciare che è finalmente disponibile la nuovissima...
Autenticazione a due fattori: aggiungi ulteriore sicurezza ai tuoi account
Autenticazione a due fattori cos'è?Come abbiamo visto nei precedenti approfondimenti, rubare una...
Gestione password: guida pratica per tenere al sicuro i tuoi dati personali
Facciamo chiarezza sull'importanza di una corretta gestione password:Siete anche voi vittime della...
Phishing e sicurezza informatica: come difendersi dalle Email malevole?
È sempre più complesso evitare le trappole dei truffatori.Gli attacchi informatici sono all'ordine...
Sito web aziendale, è davvero indispensabile?
"Non ho mai avuto un sito, non mi è mai servito e mai mi servirà!"Possono essere comprensibili i...
Email professionale, perché è importante?
Professionista e professionalitàIl lavoro di un professionista, o del dipendente d’azienda, è...