Come fanno gli hacker a rubare le password?

Gli hacker rubano le vostre password attraverso una serie di modalità, tra cui la violazione dei dati, il cracking delle password, il “guessing”, il furto fisico e il malware. Questo può avere gravi conseguenze, soprattutto se gli hacker ottengono l’accesso ai vostri account, ma ci sono modi per proteggersi.

Cosa succede quando la password viene rubata?

Quando la password viene rubata, i criminali informatici possono vendere le informazioni sul dark web ad altri hacker o usarle loro stessi per commettere altri crimini informatici.

Le credenziali rubate possono dare agli hacker l’accesso a account importanti, come il vostro conto bancario, e consentire loro di rubare altre informazioni di tipo personale (Personally Identifiable Information-PII). Questo può portare a gravi conseguenze, come il furto di identità e di denaro. Il recupero di un’identità rubata richiede tempo e denaro, e le conseguenze possono accompagnare le vittime per anni.

Metodi utilizzati dagli hacker per rubare le password

Ecco alcuni metodi utilizzati dagli hacker per rubare le password.

1) Violazione dei dati

Le violazioni dei dati sono uno dei modi più comuni per rubare le credenziali. Nel 2022, oltre 422 milioni di persone negli Stati Uniti sono state colpite da 1.802 violazioni di dati. Queste violazioni, spesso in aziende importanti con milioni di utenti, possono esporre nomi utente e password, informazioni sanitarie, numeri di carte di credito, numeri di previdenza sociale e altro ancora.

Per scoprire rapidamente se le vostre credenziali sono state compromesse in una violazione, completate una scansione nel dark web.

2) Cracking di password tramite brute force

La forza bruta è un metodo di cracking delle password che utilizza un bot per indovinare ripetutamente password casuali finché non trova quella giusta. Questi bot possono provare centinaia di password al secondo, ma è più probabile che indovinino password che includono parole del dizionario (noto anche come attacco a dizionario) o password brevi.

Una password casuale di otto caratteri può essere violata in otto ore. Una password più corta può essere violata quasi istantaneamente. Una password casuale di diciotto caratteri con un mix di numeri, lettere e caratteri speciali richiederebbe trilioni di anni per essere decifrata.

3) Guessing

Gli hacker possono raccogliere informazioni ricercando il footprint digitale dell’utente e tentare di indovinare la password utilizzando quanto appreso. Ad esempio, potrebbero provare a utilizzare i nomi dei vostri cari, il vostro compleanno o l’indirizzo di casa come parte di una password. Purtroppo, i criminali informatici hanno spesso successo in questi tentativi, poiché la creazione di una password con queste informazioni è comune. Evitate di utilizzare i dati personali, soprattutto quelli che si trovano sui social media, per rendere più forti le vostre password.

I guessing possono includere anche le comuni password predefinite, che possono essere più facili da indovinare rispetto a una password casuale. È importante cambiare le proprie credenziali dalla password predefinita sui nuovi account a una password unica e complessa.

4) Shoulder surfing

Il Shoulder surfing consiste nel rubare informazioni, comprese le password, osservando fisicamente la vittima che inserisce le informazioni. Le tecniche possono comprendere i criminali che si chinano mentre qualcuno sta inserendo il PIN in un bancomat o che riprendono un utente mentre digita la propria password. Questo può accadere in ufficio, in uno spazio di coworking, in un caffè o ovunque la tastiera o lo schermo del computer siano visibili.

È importante prevenire il fenomeno dello “shoulder surfing” evitando di annotare le password, utilizzando schermi per la privacy e la funzione “nascondi password” quando la si inserisce in luoghi pubblici.

5) Malware e keylogging

I file e i link dannosi possono contenere malware, ovvero software dannosi progettati dai criminali informatici. Gli utenti possono scaricare accidentalmente il malware quando sono vittime di truffe online come gli attacchi di phishing. Esistono molti modi in cui il malware può compromettere il computer, ma uno dei tipi più comuni, chiamato keylogger, registra la pressione dei tasti. Grazie a questa registrazione, il criminale informatico può rubare le vostre credenziali e qualsiasi altra informazione riservata o sensibile digitata sul computer.

6) Attacchi Man-in-the-middle

Gli attacchi Man-in-the-middle si verificano quando i criminali informatici intercettano i dati inviati tra due entità. Esistono diversi metodi per farlo, ma i criminali informatici spesso utilizzano il WiFi pubblico per attaccare le loro vittime. Con gli attacchi man-in-the-middle si possono rubare molte informazioni sensibili, comprese le credenziali.

Evitare il WiFi pubblico, impostare una password forte per la rete domestica e utilizzare una VPN può aiutare a prevenire questi attacchi.

7) Social engineering

I criminali informatici spesso utilizzano l’ingegneria sociale per rubare le credenziali. L’ingegneria sociale, che può essere utilizzata insieme ad altri metodi come il phishing, consiste nell’utilizzare metodi psicologici per ottenere la fiducia della vittima e aumentare la probabilità che fornisca informazioni sensibili. Queste tecniche spesso utilizzano ricerche raccolte dal footprint digitale della vittima per aiutarla a guadagnare fiducia. Esempi di questi metodi possono essere l’utilizzo di un messaggio urgente per indurre la vittima a farsi prendere dal panico e a consegnare le informazioni senza riflettere o fingere di essere una persona cara della vittima.

8) Password spraying

Nel caso del password spraying, gli hacker utilizzano alcune password comuni per attaccare più account su un singolo sito web o applicazione. Le password comuni, come 123456, sono un facile bersaglio, poiché molte persone le utilizzano pur sapendo che non sono molto sicure. Questo tipo di attacco probabilmente consentirà all’hacker di accedere a centinaia di account su una piattaforma importante ed eviterà il blocco della password che avviene con gli attacchi a brute force.

L’utilizzo di password uniche e complesse per tutti gli account impedisce questo tipo di attacco.

9) Phishing

Uno degli attacchi più comuni, il phishing, si verifica quando un hacker finge di essere un’entità legittima, come la vostra banca, e richiede informazioni sensibili, come la vostra password. Per raccogliere le vostre credenziali può anche utilizzare un sito “spoofed”, ovvero una pagina di login falsa che assomiglia a quella reale.

Come capire che le vostre password sono state rubate

A seconda del tipo di attacco, potete scoprire che la vostra password è stata rubata in diversi modi. Se non riuscite ad accedere al vostro account perché la password è stata modificata, è segno che un criminale informatico ha rubato la password e si è impossessato del vostro account. Le password trapelate durante le violazioni dei dati vengono vendute sul dark web. Potrete scoprire se una delle vostre credenziali è stata rubata utilizzando uno strumento di monitoraggio del dark web.

Come proteggere le password dagli hacker

Ecco alcuni suggerimenti per proteggere le vostre password.

Utilizzate password forti e uniche per ogni account
I criminali informatici hanno molto successo nel provare le password comuni perché un gran numero di persone le usa ancora.

Secondo una ricerca di SplashData, tra le password più comuni al mondo vi sono:

123456
password
12345
12345678
football
qwerty
1234567890

Si consiglia di utilizzare una password con almeno 12 caratteri, tra cui lettere maiuscole e minuscole, numeri e simboli speciali. La password deve essere casuale, senza parole del dizionario o dettagli personali come la data di nascita.

Avere password uniche per tutti i vostri account rende difficile ricordarle, ma l’uso di un gestore di password vi aiuterà. I gestori di password memorizzano le vostre password in una cassetta di sicurezza che può essere sbloccata solo con la vostra password principale, l’unica che dovrete ricordare.

Cambiate le vostre password quando si verificano delle violazioni
Utilizzate uno strumento di monitoraggio del dark web per sapere quando si verificano le violazioni dei dati che hanno compromesso i vostri account. Quando vi viene notificato che una password è stata compromessa, cambiatela subito.

Imparate a riconoscere i tentativi di phishing
Identificare i tentativi di phishing è diventato più complicato in un mondo in cui l’intelligenza artificiale può imitare efficacemente la scrittura di persone reali. Il phishing può apparire sotto forma di e-mail, sms o altri messaggi e spesso sostiene che l’utente deve completare un’operazione urgente per evitare di perdere denaro o subire altre conseguenze. Il messaggio può chiedere all’utente di consegnare informazioni sul conto o PII come il numero di previdenza sociale.

Per evitare il phishing, siate scettici nei confronti dei messaggi inaspettati e seguite le notizie sulla sicurezza informatica per conoscere i nuovi tipi di attacchi che stanno emergendo.

Proteggere le password dagli hacker

L’utilizzo di password uniche e complesse, con un mix di tipi di caratteri, è il modo migliore per proteggere le password dagli hacker.

Keeper Password Manager genera automaticamente password forti, le archivia in modo sicuro in una cassetta di sicurezza crittografata e inserisce automaticamente le password nei siti web, evitando di doverle digitare manualmente.

Fonte: Keeper Security

La tua rete è sicura? Cinque passaggi per una rete Zero Trust

La protezione della rete è oggi uno degli aspetti più importanti della sicurezza informatica. La complessa rete di connessioni tra un vasto numero di dispositivi e sistemi presenta un’enorme superficie di attacco per ogni rete aziendale.

Chi sceglie un percorso più tradizionale per la protezione della rete sigilla semplicemente il perimetro, come un fossato attorno ad un castello. Ma non siamo più nell’era dei castelli e dei fossati. All’interno di un’organizzazione, gli utenti creano costantemente connessioni con l’esterno, navigando sul Web, scaricando file, eseguendo script e comunicando attraverso i continenti. I vantaggi di questa cultura aperta e collaborativa sono grandiosi, ma c’è un grosso svantaggio: gli utenti all’interno della rete ora presentano un innegabile rischio per la sicurezza, sia che abbiano intenzioni malevoli, che siano preda del social engineering o commettano un semplice errore umano. Un modello di rete zero trust risponde a questa sfida con una semplice regola: non ci si può fidare di nessuno.

I vantaggi delle reti zero trust sono evidenti: indipendentemente dalla loro origine, interna o esterna, i principi di rete zero trust sono progettati per impedire che le minacce si concretizzino. La creazione di una rete zero trust richiede di seguire attentamente il modello zero trust.

Ecco cinque passaggi da seguire per applicare un’implementazione della rete zero trust:

Crea un’immagine della rete chiara
Questa fase è il fondamento cruciale di qualsiasi progetto di rete zero trust. Analizzare tutte le parti della rete, costruendo un’immagine di ogni singolo sottosistema, incluso tutto l’hardware e il software.
Identificare i dati importanti e mappare i flussi di dati
Una volta che è stato analizzato il sistema, individuare i punti chiave in cui sono conservati dati e risorse preziose e sensibili, e quali utenti richiedono l’accesso a quali dati. Utilizzando queste informazioni, creare una mappa dei flussi di dati attraverso il sistema. Una volta che tutto è stato mappato, è possibile iniziare ad ottimizzare i processi di lavoro, ottimizzando il flusso di dati importanti. Il diagramma di rete zero trust che ne risulta sarà utilizzato nella prossima fase: la microsegmentazione.
Microsegmentazione della rete
Sulla base dei flussi di dati che avete appena analizzato e mappato, creare l’architettura di rete zero trust dividendo la rete in piccoli microsegmenti. Definire protocolli e sistemi di autenticazione per garantire che agli utenti della rete sia consentito l’accesso solo ai microsegmenti e alle risorse di cui hanno bisogno. Tutte le altre parti della rete devono essere off-limits. Ogni volta che un utente ha bisogno di accedere a un particolare microsegmento, deve essere identificato, autenticato e può accedere solo fino al completamento della sua attività.
Implementare controlli di sicurezza della rete zero trust
Ogni microsegmento ha il proprio microperimetro e ogni microperimetro deve essere protetto con soluzioni di rete zero trust – sia hardware che software. Questo può (e dovrebbe) includere soluzioni tradizionali come firewall, web gateway e software antivirus. Per quanto riguarda la protezione zero trust dalle minacce basate sul web, Remote Browser Isolation (RBI) è probabilmente la soluzione di rete zero trust più efficace disponibile sul mercato. Quando gli utenti navigano sul Web utilizzando RBI, tutto il codice attivo viene visualizzato al di fuori della rete dell’organizzazione. Pertanto, indipendentemente dal fatto che sia benigno o dannoso, non viene dato credito a nessun codice web, in linea con i principi della rete zero trust. Un flusso di contenuti interattivi viene fornito agli utenti in tempo reale, garantendo un’esperienza di navigazione senza interruzioni per la massima produttività e la minima interruzione dei flussi di lavoro.
Monitorare la rete e apportare continui miglioramenti
La natura dinamica e in continua evoluzione delle reti e delle minacce di rete rende essenziale il monitoraggio e il miglioramento continuo. Gli strumenti di sicurezza dovrebbero analizzare costantemente i sistemi per rilevare possibili minacce ed evidenziare le aree della rete che non sono adeguatamente protette. È necessario apportare continui miglioramenti sulla base di queste analisi, come l’installazione di nuovi tipi di software zero trust e il rafforzamento dei controlli di sicurezza intorno ai microsegmenti.

Con un’attenta progettazione e pianificazione, un’architettura di rete zero trust può fornire alla vostra organizzazione la sicurezza di rete più completa disponibile. Utilizzando microsegmenti sicuri, un modello di rete zero trust protegge la rete da minacce sia esterne che interne e mantiene sempre al sicuro le risorse aziendali preziose.

Fonte: Ericom Software

Ingegneria sociale – Una battaglia di cervelli?

È probabile che la maggior parte delle persone che conoscete siano persone brave e affidabili. Si potrebbe non voler bere il caffè con il collega scontroso dalla contabilità, ma probabilmente si lascerebbero tutti gli effetti personali nel proprio ufficio nel caso lui passasse accanto.

Per l’esperto di ingegnere sociale, il fatto che la maggior parte delle persone si fidino e sono utili è una benedizione. E’ ciò che permette loro di trarre vantaggio da quasi tutti – dai receptionist ai dirigenti. Ed è il modo in cui si infiltrano anche nelle reti più sicure e fanno uscire le informazioni dai sistemi più protetti con facilità: arruolando l’aiuto di uno o due assistenti inconsapevoli sul libro paga dell’azienda.

Noi umani siamo molto più facili da manipolare di un firewall adeguatamente configurato o di uno strumento completo per la protezione degli endpoint. Pensaci: ci vuole meno tempo per ingannare qualcuno nel consegnare le sue password (spesso solo una questione di una conversazione o due, in cui viene sfruttata la fiducia) di quanto non faccia la forza bruta per attaccare una password di 10 cifre (nel caso ve lo stiate chiedendo, ci vogliono 4 mesi).

La formazione alla consapevolezza dei dipendenti è la chiave?
Per cercare di compensare il fattore umano, le aziende si rivolgono a programmi di formazione per la sensibilizzazione alla sicurezza dei dipendenti. L’idea alla base di questi programmi è quella di portare i dipendenti al punto da poter individuare un’email fasulla o un furfante a un miglio di distanza. Con questa maggiore consapevolezza, le aziende sperano di impedire all’ingegneria sociale di ottenere il meglio dai loro dipendenti e dai loro dati.

L’istruzione è fantastica; qualsiasi tentativo di sensibilizzare i dipendenti dovrebbe essere debitamente elogiato. La formazione di sensibilizzazione alla sicurezza può ridurre notevolmente il tasso di successo degli attacchi comunemente associati a violazioni dei dati come il phishing. Ora i vostri dipendenti sanno meglio come non cadere nella truffa “Windows Tech Support” e probabilmente si rendono anche conto che le email mal formulate che proclamano che hanno vinto il Gran Premio di Google / Microsoft / Apple devono essere cancellate e segnalate.

L’errore umano ci sarà sempre
Ecco il problema; L’educazione non può andare così lontano quando il nemico è l’astuzia umana. Gli aggressori sono sempre alla ricerca di nuovi modi per truffare e violare, sia a livello umano che a livello di macchina. Così, mentre i tuoi dipendenti sanno che devono tenersi alla larga da alcune delle più ovvie email fasulle, potrebbero non sospettare che il curriculum appena arrivato nella casella di posta delle risorse umane sia in realtà solo un allegato malware. Probabilmente l’hacker ha impiegato solo pochi minuti a carpire l’indirizzo email, sapere la posizione lavorativa e usare queste informazioni per creare un’e-mail di spear-phishing altamente plausibile. Negli ultimi anni, infatti, alcune organizzazioni sono state ingannate da aggressori che hanno sfruttato questa tecnica per violare la rete aziendale.

La formazione dei dipendenti non avrebbe impedito a una persona del reparto HR di aprire quell’allegato – aprendolo, stava semplicemente facendo il proprio lavoro. Inoltre, anche se i dipendenti sono molto più attenti, basta un singolo errore per aprire la porta agli infiltrati. Quando si tratta di proteggere la rete, è necessario avere un margine di errore il più vicino possibile allo zero.

Formazione + isolamento del browser
La verità è che, indipendentemente dalla quantità di formazione offerta, la gente commetterà sempre degli errori. Forse sarà il nuovo ragazzo, che non era presente all’ultimo seminario di sensibilizzazione, o forse è un socio troppo desideroso di ricercare nuovi contatti: in ogni caso, le persone saranno sempre vulnerabili all’ingegneria sociale. Questo è il motivo per cui è fondamentale ridurre al minimo il grado in cui la sicurezza si basa sulla capacità decisionale imperfetta degli utenti.

Le tecnologie che utilizzano un modello di sicurezza zero-trust, come l’isolamento remoto del browser, sono fondamentali per garantire che anche quando gli utenti commettono un errore di valutazione troppo umano e fanno clic sui collegamenti “errati”, le reti non vengono compromesse.

Fonte: Ericom Software