Furto dell'account social, i consigli pratici per evitarlo | MaremmaOggi Skip to content

Furto dell’account social, i consigli pratici per evitarlo

Parte la rubrica Maremma Cyber Watch, in collaborazione con l’esperto Matteo Brandi. Una guida semplice per evitare le truffe sul web
Parte la rubrica Maremma Cyber Watch, in collaborazione con l'esperto Matteo Brandi. Una guida semplice per evitare le truffe sul web
Parte la rubrica Maremma Cyber Watch, in collaborazione con l’esperto Matteo Brandi. Una guida semplice per evitare le truffe sul web

GROSSETO. Sei un cittadino digitale in Maremma? Allora è essenziale che tu sia consapevole dei rischi legati alla navigazione su Internet e alle truffe via email. Il mondo online è pieno di opportunità, ma purtroppo anche di insidie. 

Quando navighi sul web, quando usi i social network, anche solo quando rispondi a una email, c’è il rischio che tu possa cadere in una truffa. Con rischi che vanno dalla semplice, ma per tanti traumatica, clonazione del profilo Facebook e Instagram, fino anche alla sottrazione di soldi.

Per questo, da oggi, noi di Maremma Oggi iniziamo a pubblicare una serie di articoli, chiari, essenziali, comprensibili per tutti, con alcuni consigli per navigare sicuri. In collaborazione con Matteo Brandi.

Matteo Brandi e i volontari di Hackerhood

Matteo Brandi abita a Grosseto e si innamora dei computer e dell’informatica quando scopre il film “War Games giochi di guerra”, che tratta del possibile scoppio di una guerra nucleare per un “malinteso” informatico ed una intelligenza artificiale che non distingue la realtà dalla finzione.

Matteo Brandi
Matteo Brandi

Partendo dal Basic ma saltando le C (i linguaggi di programmazione C, C++ e C# ma con i quali dovrà comunque confrontarsi in seguito) approda con la sua società alla realizzazione di applicazioni basate sul web.

Dopo anni passati a programmare in PHP, NodeJS, Javascript, ad utilizzare PostgreSQL, MongoDB, Kubernetes ed amministrare sistemi Linux, la sua ossessione per la sicurezza informatica lo porta a specializzarsi nel settore, acquisendo la certificazione CompTIA Security+ ed avviare l’attività di sicurezza informatica Saibaseky (www.saibaseky.com).

Ritenendo l’argomento troppo importante ed il nostro paese troppo indietro, cerca di diffondere consapevolezza trovando valido supporto nel gruppo di volontari Hackerhood di Red Hot Cyber (QUI il sito) di cui fa parte.

Per portarla anche nella provincia di Grosseto, insieme a consigli e buone pratiche con la speranza di aiutare persone ed imprese a scongiurare incidenti informatici, inizia una rubrica dedicata con MaremmaOggi.

Matteo lo trovate anche qui

Ama la buona cucina e si interessa per diletto di intelligenza artificiale.

Occhio al furto dell’account social, i consigli per stare al sicuro

Una delle cose più preziose che abbiamo oggi nel mondo digitale, sono i nostri account dei social network. Ormai sono diventati quasi una carta di identità digitale.

Per questo il furto è una delle pratiche diffuse.

Purtroppo i criminali informatici non dormono mai ed inventano sempre nuove modalità per rubarli ed il nostro compito è quello di rendere loro la vita sempre più difficile.

Vediamo le buone pratiche per ridurre questo rischio.

Password forte ed unica

Usare una password complessa in modo tale che non possano indovinarla con la combinazione di quelle più comuni. Inoltre deve essere unica: non usare la stessa password per i diversi account social. Tutte diverse garantiscono una maggiore sicurezza.

Abilita l’autenticazione multi fattore

Abilitare l’autenticazione multi fattore (credenziali di accesso e notifica sul cellulare per esempio) è un aspetto fondamentale oggi. Attivala subito, ma ricorda che non è la soluzione per tutto come vedrai più avanti.

Controlla periodicamente la lista delle app e dei siti web connessi

Ad alcuni social possono essere connessi siti web. Revisionare ogni tanto questa lista è una buona pratica per evitare che sia connesso qualcosa a tua insaputa.

Controlla se possibile le sessioni attive

Per sessione si intende il periodo di tempo in cui viene svolta una attività. Una sessione attiva in pratica è qualcuno connesso. Se sei tu, tutto bene. Se non sei tu hai un problema. Controllare le connessioni attive se il social lo consente ed eliminando quelle sconosciute se presenti, è una buona pratica.

Ecco come possono rubare il tuo account

Vediamo adesso come possono rubare il tuo account e le contro misure da adottare.

1) Phishing e Smishing

Uno dei metodi più frequenti per rubare account di social network sono le email (phishing) o i messaggi (smishing) fraudolenti.

In genere avvisano del blocco dell’account o di una vera e propria intrusione invitando a cliccare su di un link fornito che porta ad una pagina web identica a quella originale dove inserire le credenziali.

Se non sono esperti, il vero indirizzo si noterà ma se sono esperti… sembrerà arrivare veramente dalla piattaforma social.

Una volta inserite, queste sono nelle mani dei ladri che provvederanno subito a fare il login e cambiare la password chiudendoti fuori.

Contro questi tentativi, la principale contromisura è quella di riconoscere il tentativo fraudolento.

Nel caso che questo sia molto convincente, non utilizzare mai link forniti, ma effettua il login  autonomamente oppure verificare la situazione attraverso la app del social.

Nel caso che ci si dimentichi di queste pratiche di sicurezza, attivare l’autenticazione a più fattori (in genere due, con il classico codice inviato sul cellulare), non consentirà ai ladri di utilizzare le credenziali rubate. 

2) I contatti fidati di Facebook

Facebook un tempo aveva questa modalità di recupero account: potevi indicare un contatto fidato per il recupero del tuo account.

Come funzionava: nel caso tu non fossi più riuscito ad entrare nel tuo account, attivando questa funzione Facebook avrebbe mandato un messaggio al tuo account fidato chiedendo il login e questo sarebbe bastato per fartelo recuperare.

Come funziona il furto. I ladri, visionata la tua lista di amici, ne scelgono uno,  in genere uno dove non ci sono post da molto tempo.

Ti inviano un messaggio o una email impersonando il tuo contatto (contando sul fatto che tu non ricordi il numero di telefono o l’indirizzo email del contatto o creda che lo abbia cambiato) dicendo che non riescono ad entrare nel proprio account Facebook e che avendovi nominato contatto fidato, basta che clicchiate sul link e facciate il login.

Ovviamente la pagina del login non sarà quella di Facebook ma una contraffatta per il furto delle credenziali.

Le contro misure sono come nel caso precedente: verificare che la richiesta sia legittima contattando la persona attraverso altri mezzi (banalmente chiamandolo al telefono) e attivare l’autenticazione a più fattori che ti salverà nel caso che ti sia scordato le buone pratiche.

3) Furto dei cookie di sessione

Un modo più sofisticato, per chi usa i social anche da computer, è il furto del cookie di sessione.

Cosa è il cookie di sessione? I cookie sono cosa nota ormai, visto tutti banner che ogni giorno si devono affrontare nella navigazione web.

I cookie di sessione sono cookie in cui viene salvata una stringa chiamata token che viene generata dopo il login in modo tale che, se chiudi il browser, tu non debba fare nuovamente il login.

Che è una cosa molto comoda, ma anche pericolosa. Il cookie di sessione può durare da alcuni minuti fino ad un anno.

In genere per i social network questi cookie durano molto. Il pericolo è che se la stringa salvata nel cookie di sessione viene copiata, chi la detiene può accedere al tuo account social senza bisogno di altro e l’autenticazione multi fattore non può venirti in soccorso.

Anche se i browser in genere oggi criptano i dati registrati nei cookie, i ladri sono sempre all’opera per riuscire a superare queste difese. Mentre lasciamo questo lavoro a chi produce i browser, il tuo compito sarà quello di non farteli rubare.

Ma come riescono a rubarli?

Il più delle volte attraverso un software (malware) scaricato e avviato in modo inconsapevole come per esempio un Pdf ricevuto via email sotto le mentite spoglie di una fattura non pagata (hai provato ad aprire quel Pdf ma non si è aperto e ti è sembrato che non fosse successo niente) .

Vediamo quali sono le contro misure.

a) Usare solo la App

La prima più semplice è usare esclusivamente la app dello smartphone.

Capisco però che per chi usa i social network per lavoro, la versione web è molto comoda.

b) Fare il logout

Un secondo passo verso una maggiore sicurezza, ricordandosi che sicurezza non fa rima con comodità, è quella di fare il logout quando non stai usando il social, in modo da annullare il cookie di sessione.

Da una parte è scomodo, ma non prevede nessuna spesa ed inoltre previene quella brutta situazione dove ti serve la password, sono anni che non la inserisci, non ti ricordi dove l’hai scritta e magari non hai più l’accesso alla email di recupero.

c) Usare Linux

Se ti è comodo usare il computer, una misura un po’ più drastica, se non hai software specifici per cui occorre il sistema operativo Windows, potrebbe essere quella di avventurarti nel mondo Linux visto che oggi ormai l’interfaccia grafica è decisamente amichevole.

Linux è più sicuro? Semplicemente la stragrande maggioranza dei malware dedicati a questi scopi è scritta per Windows, quindi andresti contro tendenza.

d) Software o computer dedicati

La misura più estrema potrebbe essere quella di dotarsi di software specifici contro il furto di dati (che spesso sono costosi e complicati da utilizzare) oppure dedicare un computer, Pc o portatile che sia,  all’uso esclusivo per i social.

Quindi una macchina dove non si installeranno software, non si scaricheranno e apriranno allegati da email etc. etc. così da evitare il più possibile l’introduzione di malware.

Se poi questa macchina è connessa su di una rete separata è ancora meglio.

4) Attacchi di forza bruta

Un altro modo per rubare il tuo account social, è quello di tentare password con sistemi automatici. Per questo è bene averne di complesse.

Un altro modo è tentare password rubate magari in un altro contesto (per esempio la email) che se usate anche per i social, risulterebbero valide.

Per questo non si dovrebbero usare le stesse password. L’autenticazione multi fattore comunque ti protegge da queste eventualità.

5) Il KeyLogger

Si tratta di malware scaricati ed installati inconsapevolmente che ruberanno e manderanno ai ladri qualsiasi tasto premuto sulla tastiera.

Contro questa eventualità, oltre l’attenzione ai file scaricati o gli allegati ricevuti per email, esistono le tastiere virtuali (presenti nei sistemi operativi ma anche nei software antivirus): scomodissime, ma scrivendo senza usare la tastiera, il keylogger non potrà rubare niente.

In 4 punti, come evitare il furto del proprio account social

Riassumiamo come rendere la vita difficile a chi vuole rubare il tuo account social:

  • Password forte ed unica
  • Abilita l’autenticazione multi fattore
  • Riconosci email e messaggi truffa
  • Ricordati di fare il logout quando hai finito da Pc

I pericoli del mondo digitale non finiscono certo qui, rimanete connessi.

 

Riproduzione riservata ©

Condividi su

Articoli correlati