Craccare l’e-mail personale di un utente è il miglior modo per controllare i suoi movimenti in rete, e una nuova ricerca mostra che farlo è terribilmente facile.
Un recente studio condotto da Lucas Lundegren di IOActive (sicurezza informatica) mostra che chiunque voglia fare irruzione in una casella di posta elettronica privata sa molto bene come i siti gestiscono le richieste di reimpostazione della password utente e sono dotati di grande tenacia grazie alla quale frugano meticolosamente nella vita on-line della vittima designata alla ricerca di qualche piccola informazione utile. Chiunque riceva l’estratto conto della propria carta di credito o del bancomat via on-line o abbia documenti di lavoro importanti nella propria casella di posta – per non menzionare altre importanti informazioni di carattere personale – sa quanto sia spaventosa tale eventualità.
Con l’intenzione di craccare l’account Gmail di un amico (con il suo permesso) per la sua ricerca, Lundgren iniziò cercando di resettarne la password. Ciò lo portò a scoprire che l’amico in questione aveva un account Hotmail alternativo, sebbene non conoscesse l’indirizzo esatto. In questo modo Lundgren entrò nell’account Facebook della vittima designata e creò un account falso per qualcuno che immaginava fosse un buon amico della vittima. Poi, da questo account Facebook fasullo, inviò una richiesta di amicizia al malcapitato e quando la vittima accettò la richiesta, Lundgren entrò in posseso del suo indirizzo Hotmail.
Per resettare la password dell’account Hotmail, Lundgren entrò nella pagina Facebook della vittima per rispondere alla domanda di sicurezza (il nome della madre da nubile) che lo separava di pochissimo dal suo obiettivo finale: craccare l’account Gmail del suo amico. Inviò la richiesta di reimpostazione della password di Gmail, e Gmail inoltrò in automatico una e-mail alla casella di posta di Hotmail che Lundgren aveva appena hackerato.
Solo per divertimento, Lundgren ha poi usato un metodo simile per craccare l’account Facebook del suo amico. Lundgren ha ora il controllo della vita on-line del malcapitato ed una grande potere d’acquisto (iTunes, negozi di elettronica ) – e tutto questo grazie alle informazioni che Lundgren ha trovato in Gmail.
Nelle opzioni Gmail offre un doppio controllo di sicurezza durante il login che permetterebbe agli utenti di utilizzare una applicazione mobile per ricevere un codice di sicurezza usa e getta che deve essere usato in aggiunta alla password normale. Ma non è obbligatoria e molti siti durante il login non supportano questa caratteristica.
Proprio perché è terribilmente facile entrare in possesso delle informazioni necessarie per clonare l’identità on-line di qualcuno, Lundegren consiglia di restringere le informazioni che si condividono on-line, in particolare su Facebook. E, come precauzione, suggerisce di non immagazzinare nessun dato sensibile nelle proprie e-mail. Al contrario, suggerisce, gli utenti dovrebbero stampare l’estratto conto bancario, le fatture della propria carta di credito, ecc… , salvare i documenti nel proprio PC e cancellare quelli on-line.
Perchè, ovviamente, non si è mai del tutto al sicuro dalla pirateria informatica.