Qualsiasi password è di grande valore per i cybercriminali, che sia dell’account e-mail, dei vari profili sui social network o dell’account di home banking, in quanto ogni profilo o account può essere utilizzato per compiere attività criminali. Non c’è da meravigliarsi, quindi, che il furto di password sia ormai una pratica molto diffusa. A volte i cybercriminali riescono a rubare le password dai server di grandi compagnie, mentre altre volte le recuperano direttamente dai dispositivi degli utenti. Alcuni ricercatori nell’ambito della sicurezza IT hanno scoperto di recente un enorme database contenente circa due milioni di password di ogni tipo, raccolte grazie alla botnet Pony. Il malware associato alla botnet ha infettato un computer, ha rastrellato tutte le password (salvate) da browser Internet, email e client FTP; i cybercriminali hanno poi ricevuto queste password mediante alcuni server proxy in modo tale che non venisse rivelata la propria ubicazione.
Grazie a questo attacco su larga scala sono riusciti a ottenere le password di accesso ai servizi più diversi come Facebook, Yahoo, Gmail, Twitter e LinkedIn, più altri social network russi come Odnoklassniki e Vkontakte
Data la gravità dell’accaduto, gli utenti dei servizi succitati dovrebbero riflettere sul grado di sicurezza della propria password.
Affinché un hacker riesca a entrare in un account di Facebook o Gmail, non è necessario essere l’obiettivo di un attacco malware. Ad esempio, basta solo che vi siate collegati alla casella di posta usando il computer di un amico o un dispositivo presente in un hotel o in aeroporto. Se quel PC era già infetto, ora la vostra password potrebbe essere già nelle mani di qualche hacker. Già di per sé si tratta di una situazione spiacevole, ma potrebbe peggiorare nel caso stiate utilizzando la stessa password per più servizi online. Non ci vuole un genio per provare le stesse credenziali d’accesso (come username: alex@gmail-com / password: 123456) per accedere sia al vostro profilo Facebook che a quello di Twitter. Purtroppo, questa mossa funziona fin troppo spesso. Secondo un sondaggio condotto quest’estate da B2B International, il 39% degli utenti utilizza la stessa combinazione username/password per tutti gli account.
In definitiva, dal momento che il furto di password avviene con grande frequenza, l’abitudine di usare le stesse credenziali d’accesso su vari siti diventa ancor più rischiosa, soprattutto considerando che ormai su Internet si eseguono anche transazioni bancarie, sia attraverso il tradizionale sito di home banking che attraverso l’account Gmail. Per questo anche il furto di una password innocente come quella di Twitter può portare a delle conseguenze ben più gravi.
Per evitare qualsiasi problema, bisogna iniziare subito con un passo fondamentale: cambiare la vecchia password, assicurandovi che ogni account online sia protetto da una password diversa. Se vi è difficile ricordare tutte queste password, potete usare un software speciale o password manager, in grado di immagazzinare le vostre password in forma criptata. Riutilizzare la stessa password più volte e per più account è un lusso che non vi potete più permettere; i vecchi tempi di Internet sono finiti. Per evitare il furto di password, seguite i consigli di Alex Gostev, Chief Security Expert di Kaspersky Lab:
- Usate un antivirus robusto;
- Aggiornate regolarmente il software. Prestate attenzione agli aggiornamenti di Windows, browser Internet e app popolari usate per visualizzare PDF, Flash e Java;
- Pensate sempre alla sicurezza. Se ricevete un link da un amico che normalmente non invia mai nulla o vi invia qualcosa che non vi aspettavate di ricevere proprio da lui, è bene essere sospettosi. Scrivete all’amico e verificate se il suo account è stato hackerato;
- Fate attenzione ai link. Il nome di un dominio di una risorsa web popolare contiene qualche simbolo strano? Le lettere sono diverse? Probabilmente state per essere indirizzati a un sito di phishing. Evitate di accettare una richiesta di amicizia da una persona che non conoscete. E non cliccate su link sospetti;
- Create password complesse e uniche per ogni account. In ogni caso, potete testare l’affidabilità della vostra password usando alcuni strumenti disponibili online.