Negli ultimi anni ci siamo abituati ad accedere ai sistemi di online banking, e ad altri siti Web e app importanti, utilizzando sia una password che un ulteriore metodo di verifica: può trattarsi di una password monouso (OTP) ricevuta tramite SMS, e-mail o notifica push, di un codice generato da un’app di autenticazione o anche di uno speciale dispositivo USB (il cosiddetto “token”). Questo metodo di accesso è denominato autenticazione a due fattori (2FA) ed è stato pensato per complicare la vita agli hacker, perché ora non è più sufficiente rubare o indovinare una password per poter violare un account. Ma cosa è meglio fare se inaspettatamente riceviamo un codice monouso, o la richiesta di inserirlo, senza aver nemmeno tentato di accedere a uno dei nostri account?
Questa situazione potrebbe verificarsi per tre motivi:
- Hai subito un tentativo di violazione. Un hacker ha in qualche modo scoperto, indovinato o rubato la password e ora sta cercando di utilizzarla per accedere al tuo account. Il messaggio che hai ricevuto è legittimo e ti è stato inviato dal servizio a cui il criminale sta tentando di accedere.
- Qualcuno sta preparando una violazione. Un hacker è venuto a conoscenza della tua password o sta cercando di indurti a rivelarla. In questo caso, l’invio del codice OTP è una tecnica di phishing. Il messaggio che hai ricevuto è falso, anche se sembra molto simile a quelli autentici.
- Un possibile errore. A volte i servizi online sono impostati per richiedere l’immissione prima di un codice di conferma ricevuto tramite SMS e poi l’inserimento di una password oppure per eseguire l’autenticazione con un solo codice. Il codice potrebbe essere stato inviato al tuo dispositivo perché a causa di un errore di battitura, anziché il proprio numero di telefono (o indirizzo e-mail) un altro utente potrebbe aver inserito il tuo.
In sostanza, se è vero che il messaggio che hai ricevuto potrebbe nascondere un intento dannoso, è altrettanto vero che in questa fase agendo in modo corretto puoi ancora evitare qualsiasi problema.
Cosa fare quando si riceve una richiesta di codice
La cosa più importante è evitare di fare clic sul pulsante di conferma (nel caso dei messaggi che presentano due opzioni per approvare o negare l’accesso), evitare di eseguire l’accesso a qualsiasi account e evitare di condividere con chiunque i codici ricevuti.
Se il messaggio di richiesta del codice contiene uno o più collegamenti, non fare clic.
Queste sono le regole fondamentali. Finché non confermi l’accesso, il tuo account è al sicuro. Poiché, tuttavia, è molto probabile che gli autori dell’attacco siano a conoscenza della password dell’account in questione, la seconda cosa da fare è cambiare immediatamente la password di quell’account. Accedi al relativo servizio immettendo l’indirizzo Web manualmente, anziché seguendo un collegamento. Immetti la password e (importante!) ottieni un nuovo codice di conferma, quindi inseriscilo. Vai alle impostazioni relative alla password e imposta una nuova password complessa e sicura. Se utilizzi la stessa password per più account, ricordati di cambiarla anche in tutti gli altri. Ancora meglio, assicurati di creare una password univoca per ogni account. Poiché ricordare a memoria così tante password è difficile, il nostro consiglio è di utilizzare uno specifico strumento di gestione delle password per conservarle.
La modifica delle password, non è così urgente: non è necessario farlo immediatamente, ma è meglio rimandare troppo. Per gli account più importanti (come quelli bancari), i criminali possono tentare di intercettare l’OTP, se questo viene inviato tramite SMS. Questa operazione in genere richiede uno scambio della SIM (ovvero la registrazione di una nuova scheda SIM sul numero della vittima) o il lancio di un attacco tramite la rete di servizi dell’operatore sfruttando un difetto del protocollo di comunicazione SS7. È quindi importante modificare la password prima che i malintenzionati provino a sferrare un attacco di questo tipo. In generale, i codici monouso inviati tramite SMS sono meno affidabili delle app di autenticazione e dei token USB. È consigliabile utilizzare sempre il più sicuro metodo 2FA disponibile. A questo proposito, leggi questa recensione dei diversi tipi di autenticazione a due fattori.
Cosa fare se si ricevono molte richieste OTP
Nel tentativo di farti approvare una richiesta di accesso, gli hacker potrebbero bombardarti di codici. Nella speranza di approfittare di un tuo momento di distrazione che ti porti a confermare l’accesso, o a disabilitare la verifica 2FA del servizio per evitare fastidi, continuano ripetutamente a tentare di accedere. È importante mantenere la calma ed evitare di commettere l’errore di fare proprio quello che i criminali si augurano che tu faccia. La cosa migliore è accedere al sito del servizio come descritto sopra (cioè aprendo il sito manualmente, non tramite un collegamento) e modificare velocemente la password. A questo scopo, ovviamente, dovrai ricevere e inserire un codice OTP legittimo. Alcune richieste di autenticazione (ad esempio gli avvisi relativi all’accesso ai servizi Google) presentano un pulsante del tipo “No, non ho richiesto io il codice”. In genere, se si seleziona questo pulsante i sistemi automatici del servizio bloccano automaticamente l’autore dell’attacco e qualsiasi nuova richiesta di verifica 2FA. In alternativa, anche se non si tratta di un sistema molto pratico, potresti impostare il telefono in modalità silenziosa o addirittura in modalità aereo per una mezz’ora, in attesa che l’ondata di codici si plachi.
Cosa fare se involontariamente si autorizza una richiesta di accesso indesiderata
Questo è lo scenario peggiore, poiché probabilmente hai consentito a un criminale di accedere al tuo account. Gli autori degli attacchi sono agiscono rapidamente: in men che non si dica modificheranno le tue impostazioni e le password. Dovrai pertanto cercare di recuperare e affrontare le conseguenze della violazione. Leggi questo articolo per sapere cosa fare se uno dei tuoi account è stato violato.
Come proteggersi
La miglior difesa in questo caso è cercare di stare un passo avanti ai criminali: si vis pacem, para bellum. È qui che la nostra soluzione di sicurezza torna utile. Monitora le fughe di dati in cui possono essere stati coinvolti i tuoi account collegati sia agli indirizzi e-mail che ai numeri di telefono, anche nel Dark Web. Kaspersky Premium consente di aggiungere i numeri di telefono e gli indirizzi e-mail di tutti i membri della famiglia. Inoltre, avvisa immediatamente e offre consigli su come procedere se i dati di un account risultano pubblicamente disponibili o sono presenti nei database delle fughe di dati.
Incluso nell’abbonamento, Kaspersky Password Manager segnala le password compromesse e suggersice come modificarle, generando nuove password inviolabili. È anche possibile aggiungere i token per l’autenticazione a due fattori o trasferirli facilmente da Google Authenticator con pochi clic. L’archiviazione sicura per i documenti personali assicura la protezione dei documenti e file più importanti (ad esempio, scansioni del passaporto e foto personali) in formato criptato, consentendo solo a te di accedervi.
Inoltre, potrai accedere a credenziali, password, codici di autenticazione e documenti salvati da qualsiasi dispositivo: computer, smartphone o tablet. Anche se smarrisci il telefono, non perderai né i dati né l’accesso e sarai in grado di ripristinarli facilmente su un altro dispositivo. Per accedere a tutti i tuoi dati, dovrai ricordare una sola password: quella principale. La password principale non viene salvata da nessuna parte e viene utilizzata per il sistema di criptaggio dei dati di livello bancario AES.
Secondo il “principio di divulgazione zero”, nessuno può accedere alle tue password o ai tuoi dati, nemmeno i dipendenti di Kaspersky. L’affidabilità e l’efficacia delle nostre soluzioni di sicurezza sono state confermate nel corso di numerosi test indipendenti. Ad esempio, di recente le nostre soluzioni per la protezione degli utenti privati hanno conseguito il massimo riconoscimento di Prodotto dell’anno 2023 nei test condotti dal laboratorio europeo indipendente AV-Comparatives.