15 miliardi di email e password rubate. Ecco come proteggersi

La coppia email e password è di fatto l'equivalente della famosa formula magica "Apriti Sesamo" che veniva usata nella fiaba di Alì Babà e i quaranta ladroni Non ci sono dubbi che l'era moderna è sicuramente meno magica ma molto più digitalizzata.

Se la formula magica apriva la caverna con dentro i tesori, oggi, la coppia email e password ha lo stesso scopo: permette di accedere al tesoro dei nostri dati e informazioni.

Email e password sono l'equivalente del XXI secolo del chiavistello alla porta; le usiamo per salvaguardare i nostri dati sensibili come i nostri documenti finanziari e le informazioni personali come cartelle mediche, ma anche per accedere a servizi d'intrattenimento di tutti i giorni come Netflix o Spotify o ai tanti portali di Ecommerce come Amazon o Ebay.

Per questo motivo la notizia di questa enorme fuga di dati – tutti sottratti illegalmente grazie agli attacchi dei Criminal Hacker – che stanno circolando nel Dark Web, non deve farci dormire sogni tranquilli.

Per chi non la conoscesse, questa parte "oscura" di internet comprende tutto ciò che non è accessibile tramite un browser standard come Google Chrome o Firefox e qui si può trovare qualsiasi tipo di informazione possibile o immaginabile in vendita, comprese le nostre email e le nostre password.

È proprio detto dark semplicemente per l'accessibilità limitata.

Apriti Sesamo e Il Furto d'Identità

Abbiamo parlato di magia, un mondo immaginario dove la fantasia era uno dei caposaldi principali della nostra vita.

Una vita che è stata trasformata e rivoluzionata, trasformando la nostra quotidianità in una realtà completamente digitalizzata. Le nostre giornate sono scandite da azioni e interazioni di un dispositivo elettronico: cellulari, Smart TV, negozi virtuali, videoconferenze, chat...

La fantasia è stata sostituita da un click.

Un mondo veloce, pieno di informazioni e dati e noi, per praticità in alcuni casi e per mancanza di fantasia in altri, tendiamo a utilizzare sempre le stesse combinazioni di email e password per tutti i nostri accessi.

Questo ci rende vulnerabili ad un tipo di attacco informatico, noto come "Account Takeover" o furto d'identità che, come dice il nome, ha lo scopo di prendere il diretto controllo dei nostri profili, conti, etc…

Di questa brutta nostra abitudine, Alibabà e i 40 ladroni moderni, parliamo dei Criminal Hacker, hanno oramai preso nota e conoscono perfettamente le nostre cattive abitudini.

Scoperta una coppia di email e password che permette di aprire un accesso ad un sistema la probabilità di accedere a tutti i sistemi della vittima è molto alto.

Acquisendo la combinazione email e password di un qualsiasi servizio a cui siamo iscritti è fin troppo semplice risalire fino a ambiti decisamente più sensibili riutilizzando sempre la stessa combo.

Per questo prendono di mira ogni tipo di account compresi gli abbonamenti ai siti di streaming come Netfilix, quelli della TV on demand come Sky, sistemi di videoconferenza e persino i siti web "per soli adulti".

Lo scopo? Dall'effettuare piccoli acquisti senza che noi ce ne accorgiamo (nel caso degli e-commerce) alla vera e propria frode bancaria attraverso l'accesso al nostro Home banking.

Le 15 Password più Usate

Non usano più la formula "Apriti Sesamo" ma coppie di email e password. Password che troppo spesso sono semplici.

NordPass, un sistema di gestione password ha identificato le 15 password più usate nel 2019:

• 123456
• 123456789
• test1
• password
• 12345678
• asdf
• qwerty
• 1234567890
• 1234567
• Aa123456.
• iloveyou
• 1234
• abc123
• 111111
• 123123

A queste password che sono le prime ad essere usate dobbiamo anche prendere in considerazione le varie combinazioni legate alla data di nascita nostre e quelle dei nostri cari e persino i nostri amici a 4 zampe.

Alibabà e i 40 Ladroni

Alibabà e i 40 ladroni erano una fantasia, putroppo, i Criminal Hacker sono la realtà.

I numeri ci dicono come questi 15 miliardi di credenziali circolanti nel Dark web rappresentino un aumento del 300% rispetto alle cifre rilevate sole due anni fa.

Ovviamente non deve sorprendere che le credenziali bancarie e finanziarie siano tra le più ricercate, infatti queste si trovano in volumi enormi.

Ma i ricercatori hanno anche individuato alcuni annunci "pubblicitari" da parte dei criminali per poter acquistare gli accessi direttamente a siti web interi (per poi poter sottrarre credenziali o file sensibili di un'organizzazione intera).

Questa è anche, logicamente, la "mercanzia più pregiata" che viene "venduta o messe all'asta" per una media che si aggira sui 3mila dollari, ma che può raggiungere vette dei oltre 140mila.

Si tratta in tutto e per tutto di un e-commerce del crimine, dove sono presenti annunci pubblicitari, aste e persino anche recensioni sui prodotti acquistati!

Come detto, se le credenziali più gettonate sono quelle inerenti a informazioni finanziarie/bancarie che rappresentano il 25% di tutti i dati in vendita a strettissimo seguito troviamo i siti di streaming con il 13%.

Da Netflix a Disney plus, passando per Amazon Prime, il "web oscuro" è invaso delle credenziali rubate per queste piattaforme. Ovviamente non mancano i social, onnipresenti nelle nostre vite come tra il bottino dei criminali, ma in maniera più sorprendente anche le credenziali di accesso a siti che si occupano principalmente di educazione (come le varie piattaforme di e-learning che tantissimi ragazzi avranno usato durante la quarantena).

Come creare una password sicura?

Uno dei trucchi più semplici per assicurarsi che una una password non sia facilmente hackerabile è quello di sceglierne una molto lunga. In parole povere, più lunga e complessa è la nostra password, più tempo ci vorrà perché i truffatori la decifrino.

Ovviamente non dobbiamo dimenticarci alcuni accorgimenti chiave, se scegliamo una parola di senso compiuto dal dizionario, per quanto possa essere lunga, sarà sempre più facile per i software di decrittazione in mano ai Criminal Hacker decifrarla.

Ricordiamoci sempre quindi di includere:

• lettere maiuscole e lettere minuscole
• caratteri speciali, ad esempio accenti e simboli
• numeri
• almeno 8 digits. Ma è molto meglio se si arriva a 12 e oltre

Spesso i meccanismi di recupero password dei social o degli account email utilizzano domande personali quali "quale è il cognome di tua mamma", "il nome del tuo animale domestico", "il nome della via dove sei cresciuto". Sarebbe quindi meglio evitare di inserire nei social, e più in generale in internet, informazioni di carattere personale.

Come aumentare il livello di sicurezza informatica

Per aumentare ulteriormente il livello di sicurezza nella navigazione è consigliabile:

• non loggarsi con gli account dei nostri social per accedere a determinati servizi, cosa che molte piattaforme rendono possibile. Nel caso in cui la nostra password di Facebook dovesse venir scoperta, il Criminal Hacker potrebbe entrare in tutti i siti da noi frequentati
• non utilizzare la stessa password per tutti i siti
• cambiare la password su base periodica

Oltre al desktop o portatile, pensiamo anche a proteggere smartphone e tablet. Pensa a quante password sono già memorizzate sul tuo cellulare. Innanzitutto c'è la password dell'account di posta elettronica. Nella maggior parte dei casi si accede alla posta, sia privata che aziendale, direttamente, senza dover reinserire la password.

Ci sono poi una serie di app che hanno già la password memorizzata. Ad esempio, i vari social network (Facebook, Linkedin, YouTube…), le app per comunicare (Skype, WhatsApp, Telegram…), le app per gli acquisti (Amazon, deliveroo) e l'elenco è ancora lungo. È dunque fondamentale impostare un PIN sul proprio smartphone. Si, anche se è una scocciatura. Il PIN ideale è quello composto da cifre. In alternativa, me meno sicuro perché facilmente spiabili, sono le sequenze.

Per rendere, inoltre, più difficile la vita dei Criminal hacker, è bene anche attivare l'autenticazione multifattore: si tratta di un sistema di sicurezza che permette di aggiungere alla semplice password un codice, che in genere è inviato sul nostro Smartphone e che permette di rendere ancora più difficile la vita dei criminali informatici.

Basta veramente poco per rendere più sicura la nostra vita digitale: "Chiuditi Sesamo"!