Ultimamente ho ricevuto diverse segnalazioni da parte di utenti che hanno ricevuto delle mail contenenti le proprie password in chiaro.
Vedo di spiegarmi meglio, così capiamo se ti è successo qualcosa del genere.
In pratica ricevi una mail che sembra inviata da te stesso, e un tizio dice di aver violato i tuoi sistemi (tanto da inviare mail a tuo nome) e di aver avuto accesso ai tuoi dati personali. Dice anche di averti ripreso in situazioni poco consone, attivando a tua insaputa la webcam del computer mentre “giocavi” guardando alcuni siti particolari.
Ovviamente il tizio che scrive dice di essere disposto, a fronte del pagamento di una somma di denaro, a rinunciare a tutte le informazioni in suo possesso e distruggerle. Neanche a dirlo, il pagamento va fatto in Bitcoin entro un periodo limitato di tempo, altrimenti i tuoi dati verranno diffusi e inviati ai tuoi contatti.
In molti casi, il tizio inserisce nel messaggio anche una password che tu sei solito utilizzare…
Ricapitolando:
dice di aver violato i tuoi sistemi, scrive a tuo nome e in più conosce le tue password…
Terrificante, vero? Ma vediamo di andare più a fondo e capire quali sono i rischi reali
Dunque, il fatto che la mail sia scritta a tuo nome non costituisce un particolare problema. Non ci vuole molto per scrivere una mail a nome di qualcun altro, e non serve violare nulla. Semplicemente dico al mio client di posta di chiamarmi Giulio Cesare e che la mia mail è giulio.cesare@roma.gov.
Sulla questione delle riprese video e del furto dei dati personali contenuti nel PC dico di fare un semplice ragionamento. Se il tizio fosse in possesso di qualcosa di particolarmente scottante potrebbe allegarne una prova alla mail, no? Uno spezzone di video? Una foto? Uno screenshot? Non avrebbe niente da perdere e, al contrario, farebbe capire che la minaccia è reale. Invece niente… Semplicemente sostiene di essere in possesso di materiale audiovisivo compromettente. E chiede soldi. Naaah, non ci credo. E il cinema mi da ragione. Quando in un film qualcuno viene ricattato, gli vengono sempre inviate copie delle foto, no?
Poi c’è la password.
Questa in effetti è una cosa strana. Come fa il tizio ad avere una mia password?
La spiegazione è semplice, ma richiede attenzione e un passo indietro.
Hai presente il dark web? Se non lo conosci ipersemplifico e te lo spiego. Si tratta di una “rete parallela” all’Internet che sei abituato a utilizzare, quello che navighi e sul quale fai ricerche con Google. In pratica, tramite internet si accede a questa rete “nascosta”, che non viene rilevata dai motori di ricerca e che richiede dei programmi appositi per essere navigata. Qui si trova di tutto, compresi servizi illegali.
Ora, senza dilungarmi oltre, ti dico che ovviamente tutti i poco di buono che girano in rete finiscono qui, e trovano quello che cercano per poter perpetrare i loro crimini. E tra quello che cercano ci sono dei database enormi di credenziali rubate a utenti ignari.
Il furto di credenziali avviene nei modi più disparati. In alcuni casi viene effettuato infettando il PC di un utente, recuperando i dati di accesso ai vari servizi e inviandoli al criminale, mentre in altri viene fatto violando i server che erogano questi servizi e rubandoli in massa. Anche LinkedIn ha subito una violazione del genere tempo fa.
Queste credenziali, una volta carpite, vengono vendute in blocco. Non importa se siano ancora valide o meno, ma consentono all’acquirente di ricavare informazioni utili, oppure di sfruttarle come nel caso di queste mail.
Il problema delle password gestite male
Ne ho parlato diverse volte, ma un ripasso male non farà.
Le password che usi, mediamente soffrono di due problemi critici:
- Sono banali (anche ques’anno la password più usata al mondo è stata 123456)
- Ne usi una per più servizi. Forse per tutti.
Il secondo problema è forse più grave del primo, perché significa che mediamente entrare in possesso di una tua password significa accedere alla tua vita al 100%.
Come dicevo prima, sul dark web si trovano decine di migliaia di credenziali di accesso a siti web (e non solo), in vendita al miglior offerente. Se facciamo 2+2 otteniamo un risultato abbastanza sconcertante.
Supponiamo che tu ti sia registrato su un forum di giocatori di briscola, e supponiamo che questo forum sia stato bucato da un hacker. Di tutti gli utenti sono stati presi diversi dati, tra cui:
- nome utente;
- password;
- dati anagrafici;
- indirizzo di posta elettronica;
Tu dirai: “Vabbè, chissenefrega. Se anche uno accede al forum della briscola non muore nessuno”. Il guaio è che la password che hai usato è quella che utilizzi sempre, su qualsiasi sito. Quindi, avendo l’indirizzo di posta, il malvivente può provare ad accedere alle tue mail personali, e probabilmente ci riuscirà. Dalle mail potrà risalire ai servizi a cui sei iscritto (Amazon, Netflix, Spotify… Paypal…). Siccome la password è sempre la stessa potrà accedere a Facebook, LinkedIn, Instagram e vedere chi sono i tuoi contatti, capire quali sono le tue abitudini, ecc.
Inoltre il criminale può acquistare in blocco anche i tuoi dati anagrafici, e quindi potrà ad esempio inviarti delle mail di phishing chiamandoti per nome, invece che definirti “Caro Utente”. Infatti questi dati, tra le altre cose, vengono utilizzati per effettuare degli attacchi mirati tramite posta elettronica, inserendo nel messaggio qualcosa che ti è famigliare e che ti farà abbassare le difese.
Cosa fare quando le credenziali finiscono sul dark web?
Beh, hai poco da fare. Il cambio delle password è indispensabile, quindi non appena ti accorgi della cosa devi correre a modificare la password su quel sito (o quei siti) dove la utilizzi. La buona prassi richiede che comunque, violate o no, le password vengano cambiate periodicamente per garantirne la riservatezza e l’efficacia. Tienine conto.
Esistono sistemi di gestione delle password, per evitare di complicarsi eccessivamente la vita, altro argomento che ho già trattato in precedenza.
Noi, tra le altre cose, forniamo ai nostri clienti la possibilità di aderire ad un nostro servizio di monitoraggio del dark web, e teniamo sotto controllo la comparsa di loro informazioni, così da avvisarli tempestivamente e consentire di cambiare le credenziali il prima possibile.
Vuoi sapere se ci sono già dei tuoi dati in vendita?
Ho deciso che, essendo il Natale ormai vicino, voglio fare un regalo a tutti i miei lettori.
Contattami usando una delle modalità che trovi in fondo all’articolo, e io farò un controllo gratuito sul tuo indirizzo email, segnalandoti la presenza di eventuali informazioni ad esso riferite.
Ovviamente dovrò verificare l’effettiva titolarità dell’indirizzo di posta, quindi ti manderò una mail alla quale dovrai rispondere. Questo per evitare di fornire dati riservati a soggetti non autorizzati. Capisci, la questione è abbastanza delicata.
Fino a quando offrirò questa possibilità di controllo gratuito?
Ma ovviamente fino all’arrivo della Befana.
Quindi sbrigati. Inviami una richiesta di verifica del tuo indirizzo di posta elettronica entro l’Epifania, e io scandaglierò il dark web alla ricerca di informazioni legate a te e alle tue attività online che domani potrebbero essere utilizzate da qualcuno per arrecarti un danno.
E Buone Feste!