Riuscite a ricordare tutti gli account online di cui siete in possesso? Magari vi siete registrati per accedere a qualche contenuto o perché ve lo ha chiesto un amico, però poi avete perso interesse. Molti utenti alla fine non entrano più nell’account e non si preoccupano di eliminarlo. Nel frattempo l’account rimane lì, latente, in attesa di essere hackerato. E se ciò avviene, probabilmente non ve ne accorgerete in tempi brevi.
Account abbandonati: cosa potrebbe andare storto?
È davvero importante sapere cosa succede a un account che non ci interessa più? Viene hackerato, e allora? Tanto non ne avete bisogno. Tuttavia, in alcuni casi, un account abbandonato può essere sfruttato per ottenere l’accesso a dati importanti e di cui sì avete bisogno.
1. Account sui social network
Sono poche le persone che controllano regolarmente gli account su tutti i loro social network. Ad esempio, una persona crea un profilo su Facebook, lo utilizza per accedere a Instagram e ad altri servizi (comodo, vero?) ma poi si rende conto che in realtà non ha bisogno di Facebook (una situazione più comune di quanto pensiate). Ovviamente, se l’utente non ha disattivato l’account, il social network continua ad inviare notifiche via e-mail, che vengono filtrate in una cartella a parte che l’utente ha smesso di consultare da tempo.
Ecco a voi un’altra situazione più che plausibile. Quando l’utente riceve una notifica via e-mail riguardante l’accesso da un dispositivo sconosciuto, ovviamente non la vedrà. I cybercriminali che hanno effettuato il login hanno libertà di azione sugli account associati a Facebook. Quindi è probabile che abbiano il tempo per raggirare qualche amico della vittima o i suoi follower su Facebook.
Cosa fare
- Configurate l’autenticazione a due fattori. Molti servizi offrono questa opzione e in precedenti post abbiamo descritto come configurare le impostazioni di sicurezza (tra cui l’autenticazione a due fattori) su Facebook e Twitter;
- Attivate le notifiche che riguardano l’accesso ai social da un dispositivo sconosciuto. E soprattutto, prestate attenzione a ciò che dicono questo tipo di notifiche.
2. Indirizzo e-mail di riserva
Molte persone creano un account e-mail solo per newsletter e notifiche in modo da non intasare la casella di posta principale e, allo stesso tempo, per registrarsi a qualsiasi tipo di servizio, tra cui profili pieni zeppi di dati di un certo valore. Dal momento che i messaggi in entrata non provengono da persone in carne e ossa, molti utenti non accedono spesso a queste caselle di posta e, di conseguenza, potrebbe passare un bel po’ di tempo prima che l’utente si accorga che questo indirizzo è stato hackerato (a meno che non perda l’accesso a un account molto importante).
Cosa fare
- Attivate l’autenticazione a due fattori su questo tipo di account;
- Impostate l’inoltro delle e-mail che arrivano su questa casella di posta, creando una cartella separata dall’account e-mail principale.
3. Password manager
Cosa succede se avete salvato le credenziali di accesso su un password manager e poi decidete di utilizzare un’app diversa? Il profilo sul vecchio password manager non va da nessuna parte e nemmeno le password che contiene (metà delle quali probabilmente non sono state cambiate). Se qualcuno riesce a ottenere l’accesso a questo account, avrà accesso anche ad altri vostri account; anche quando verrete a conoscenza del furto di un account, potreste non capire subito da dove il cybercriminale è riuscito a ottenere la password.
Cosa fare
- Eliminate gli account dei password manager che non utilizzate più.
4. Account sugli store online
Alcuni store invitano a collegare all’account la carta di credito o il wallet online per rendere più facili le procedure di acquisto. Altri lo fanno in automatico. Se siete utenti abituali, poi, la tentazione di fare questo passo è forte. Inoltre, probabilmente sul profilo saranno salvati il vostro indirizzo di casa o dell’ufficio per le spedizioni, oltre ad altri dati personali di valore.
E poi arriva il giorno che magari decidete di non utilizzare più il servizio. Se l’account rimane attivo e viene hackerato, i cybercriminali avranno accesso ai vostri dati e probabilmente ve ne accorgerete solo quando il malintenzionato prova ad acquistare qualcosa a vostro nome. Oppure ci riesce direttamente, dal momento che non tutti i servizi online richiedono un codice inviato via SMS per confermare la transazione.
Cosa fare
- Non vincolate la vostra carta di credito agli account degli store online;
- Se il servizio salva automaticamente i dati della carta di credito, ricordatevi di svincolarla;
- Prendete in considerazione l’idea di utilizzare una carta di credito separata contenente risorse economiche limitate da dedicare esclusivamente allo shopping online.
5. Account servizi di Google
Se per lavoro avete bisogno di accedere a certi servizi como Google Analytics, è pratica comune creare account Google separati per questo scopo. Mantenere separati i profili personali e di lavoro è sicuramente una scelta saggia; il problema è che poi ci si dimentica di eliminare gli account Google professionali quando si cambia lavoro.
Di regola, gli account creati dall’azienda vengono bloccati dal personale IT subito dopo l’uscita di scena del dipendente. Tuttavia, possono mancare all’appello quegli account che l’ex dipendente ha creato per conto proprio, come gli account Google, per l’appunto. Il risultato? Uno o più account abbandonati vagano in balie delle onde dell’oceano chiamato Internet, e dei pescecani potrebbero accaparrare documenti di lavoro e altre informazioni riservate. Potrebbe essere davvero difficile scoprire questi hackeraggi perché praticamente nessuno sa dell’esistenza di questi account, o non se ne ricorda.
Cosa fare
- L’ex dipendente non deve fare nulla di più;
- L’azienda deve revocare l’accesso a tutti i servizi e agli account Google utilizzati dal dipendente in questione.
6. Numero di telefono
Per evitare lo spam telefonico di aziende e call center, alcuni utenti danno un altro numero di telefono rispetto a quello abituale per queste situazioni (carte di credito, programmi di raccolta punti, reti Wi-Fi pubbliche etc). A volte, questo stesso numero serve anche per l’autenticazione a due fattori. Sebbene tecnicamente un numero di telefono non sia un account e non può essere abbandonato nel verso senso della parola, il problema comunque persiste. Da un lato, a quel numero sono vincolati degli account; dall’altro, probabilmente non utilizzate quel numero per chiamate o messaggi.
Per le compagnie telefoniche, però, una scheda SIM inutilizzata non genera profitti. Se avete bisogno di un numero di telefono solo per ricevere SMS e non spendere il saldo, la compagnia può bloccare il numero dopo tre mesi di inattività e rivenderlo.
A volte, questi numeri vengo accaparrati immediatamente e potreste non avere il tempo di ricollegare i vostri account alla nuova SIM: l’acquirente, da un lato, potrebbe essere in grado di trovare i vostri account su vari servizi online e, se viene cambiata la password, non sarà facile recuperarli.
In casi particolarmente sfortunati, il nuovo proprietario riesce persino ad avere accesso ai conti bancari e ai wallet online collegati al numero di telefono e prosciugare i conti ancor prima che abbiate il tempo di avvisare la banca. È successo a una signora in California che ha ricevuto un addebito sulla carta di credito dopo che il proprio operatore telefonico aveva rivenduto il suo numero di telefono a un altro cliente.
Cosa fare
- Ricordatevi di inviare un SMS o di effettuare una chiamata almeno una volta al mese dal vostro numero di telefono aggiuntivo;
- Assicuratevi di avere sempre del saldo sul numero in questione.
Evitare problemi relativi agli account abbandonati
Come potete vedere, anche un account dimenticato può causare numerosi problemi se hackerato. Come si suol dire, prevenire è meglio che curare; per questo, vi consigliamo di tenere sempre sotto controllo tutti i vostri account. Ecco qualche consiglio generale:
- Cercate di ricordare a quali servizi online vi siete registrati. Verificate quali sono i numeri di telefono e gli account e-mail che avete indicato su social network, store online, banche e altri servizi importanti e svincolate tutti i profili da numeri di telefoni o caselle di posta inattivi;
- Se vi collegate a qualche servizio via Facebook, Twitter, Google o disponete di un indirizzo e-mail o numero di telefono solo per newsletter, reti Wi-Fi pubbliche etc, ricordatevi di verificare periodicamente questi account;
- Se decidete di non utilizzare più un password manager o un account su store online e social media, eliminate questi account;
- Attivate le notifiche riguardanti l’accesso agli account (sui servizi dove è possibile) e verificate prontamente queste notifiche;
- Avvaletevi di una soluzione di sicurezza come Kaspersky Security Cloud, in grado di avvisarvi di fughe di dati sui servizi in uso.