Rubare le password di Facebook, gmail, del conto bancario ecc: ecco come difendersi

Uno dei miei post più letto e commentato è stato senza dubbio “Come rubare le password di gmail, facebook, hotmail, msn ecc“, ancora oggi, a distanza di quasi tre anni dalla sua pubblicazione ricevo commenti o mail con richiesta di furto di password di terze persone ignare 🙂

Ma  queste stesse persone che si muovono per il web alla ricerca di qualcuno che le aiuti ad entrare nell’account email o Facebook del proprio ex spesso cadono anch’essi vittime di semplicissimo  social engineering per dirne una. Ad esempio io potrei possedere migliaia di account Facebook se solo avessi fatto un programmino che prometteva di trovare user e password di un proprio contatto, immettendo i propri dati di accesso.

Per un po’ mi ha anche sfiorato quest’idea per dimostrare che è veramente semplice cadere preda di ‘raggiri’ soprattutto per chi si crede furbo 🙂

Poi non ho portato avanti il mio intento perché non mi sembrava moralmente corretto e ho deciso invece di proporvi un articolo in cui illustrerò i principali metodi per trovare le password di terzi e come difendersi.

Iniziamo col dire che la maggior parte delle persone, avendo decine di password tende a scegliere sempre la stessa e a sceglierne una che sia facilmente ricordabile, per cui le password più gettonate sono una combinazione di nome e cognome, o nome e data di nascita, o il nome dei figli o del cane, insomma qualcosa che con un po’ di tentativi è facilmente individuabile.

Primo consiglio quindi, scegliete password che non siano troppo scontate.

Ora vediamo i principali pericoli

 

Social Engineering

Il social engineering (ingegneria sociale) è un metodo di ricerca password che non si basa su complicati algoritmi o programmi da installare sul pc della vittima ma solo sulla bravura dell ‘ingegnere sociale’.

La persona che “attacca” solitamente contatta la “vittima” fingendosi qualcunaltro, oppure semplicemente facendo amicizia (solitamente con gli uomini l’hacker (o meglio il cracker) si finge donna) e cercando di ottenere il numero maggiore di informazioni possibili sulla vittima in modo da tentare di indovinare la password,oppure si finge un operatore del servizio in questione che deve verificare che tutto funzioni correttamente e si fa dare direttamente i dati di accesso, ma questa seconda opzione negli ultimi anni è meno efficace perché anche l’utente più ingenuo sa che non deve fornire i propri dati al telefono a chicchessia 🙂

 

Phishing

Grazie (si fa per dire)  al Phishing qualche anno fa sono stati svuotati conti correnti bancari, rubate ingenti somme di denaro accumulate per anni dalle sprovvedute vittime.

Come si attua?

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

-l’utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto, o magari Facebook).

– l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro.

– l’e-mail invita il destinatario a cliccare su un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login). Ad esempio nel caso di Facebook potrebbe dire che l’utente è stato segnalato per aver, chessò, pubblicato materiale con copyright e che l’account è stato bloccato e per sbloccarlo occorre cliccare sul link in calce.

– il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia apparentemente simile al sito ufficiale, ma su un server del phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
Quando la vittima entra su quel link ricevuto via email e digita le password viene reindirizzato al login reale di Facebook o del servizio in questione  mentre se è già loggato viene reindirizzato alla sua bacheca. La maggior parte degli utenti non si accorge quindi che gli è stata rubata la password.

Come difendersi:non cliccate mai su link arrivati per mail ma digitate sempre l’url di Facebook, gmail, la vostra banca, direttamente nella barra del browser

 

Usare un Keylogger

Un keylogger è un software che registra tutto quello che viene digitato sulla tastiera, di solito i dati salvati vengono inviati in automatico (in background) ad un server o un sito web in cui l’hacker accede per sbirciare nei dati alla ricerca della password.

Lo ‘spione’ invita il software alla vittima o lo mette in rete sotto falso nome affinché venga scaricato e installato o lo installa direttamente sul pc della vittima quando ha l’accesso.

Possono essere hardware o software:

I  keylogger hardware sono molto efficaci in quanto la loro installazione è molto semplice e il sistema non è in grado di accorgersi della loro presenza. Quando installati fra la tastiera e il PC hanno le sembianze di un adattatore o appaiono dei cavi di prolunga

I keylogger software sono invece semplici programmi o driver di periferica che rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni a un computer remoto. Spesso i keylogger software sono trasportati e installati nel computer da worm o trojan ricevuti tramite Internet e hanno in genere lo scopo di intercettare password e numeri di carte di credito e inviarle tramite posta elettronica al creatore degli stessi.

Un programma di keylogging può sovrapporsi fra il browser ed il World Wide Web. In questo caso intercetta le password, comunque vengano inserite nel proprio PC.

La password viene catturata indipendentemente dalla periferica di input (tastiera, mouse, microfono): sia che l’utente la digiti da tastiera, sia che l’abbia salvata in un file di testo prima di collegarsi a Internet, e poi si limiti a inserirla con un copia/incolla, in modo da evitarne la digitazione, sia che la password venga inserita tramite un programma di dettatura vocale.

Come difendersi: controllate che mouse e tastiera non abbiano strani adattatori che non avete messo voi:P Utilizzate un firewall per trovare e bloccare connessioni indesiderate. Se proprio volete essere sicuri al 100% per immettere le password potete utilizzare la “tastiera sullo schermo” presente in tutti i sistemi operativi tra le risorse per l’accesso facilitato, o distribuita da alcuni antivirus. Fate almeno una volta al mese una scansione con lmeno una volta al mese una scansione completa del pc con Malwarebytes Anti-Malware. E’ ottimo  e gratis.

 

Malware, Trojan e Worms

Il termine “malware” indica genericamente n qualsiasi software creato con il solo scopo di causare danni più o meno gravi ad un computer, ai dati degli utenti del computer, o a un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di “programma malvagio”; in italiano è detto anche codice maligno. Ci sono diversi tipi di malware:  Trojan, Spyware, Virus, Worm, ciascuno ha un effetto diverso e contromisure diverse.

I worms (vermi) sono fra i più comuni tipi di malware Si autoreplicano e utilizzano le reti per trasmettere repliche di se stessi a tutti i computers che sono connessi a quella rete. Non hanno bisogno di essere ospitati da un programma o di essere avviati da un utente per moltiplicarsi. Sfruttano in genere vulnerabilità nel sistema operativo per entrare Possono anche essere portatori di codici (chiamati payloads) scritti per rubare dati e  cancellare file.

I trojan sono un  tipo di malware mascherato da software utile. L’utente quindi esegue il Trojan pensando sia un normale programma e così facendo gli dà pieno controllo del pc. I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell’aggressore per far giungere l’eseguibile maligno alla vittima. A volte agiscono insieme: un worm viene iniettato in rete con l’intento di installare dei trojan sui sistemi. Spesso è la vittima stessa che, involontariamente, non prestando attenzione ai siti che sta visitando, ricerca e scarica, un trojan sul proprio computer, dato che i cracker amano inserire queste “trappole” ad esempio nei videogiochi piratati, che in genere sono molto richiesti.

Uno spyware è un tipo di software che raccoglie informazioni riguardanti l’attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole a qualcuno che le utilizzerà per trarne profit, non ha la capacità di autoreplicarsi ma necessita di un’azione da parte dell’utente come i trojan. Sono pericolosissimi per la privacy e hanno la possibilità di intercetare anche dati di login e password.

 

Come difendersi: oltre alla scansione già consigliata con Malwarebytes Anti-Malware, fatene periodicamente una con  Spybot – Search & Destroy ma soprattutto prestate sempre attenzione a cosa scaricate e da dove. E non accettate ‘caramelle’ dagli sconosciuti:P

 

E voi? come vi difendete?