Come difendere il profilo instagram dagli hacker
Social network

Come difendere il profilo instagram dagli hacker

Consigli per salvaguardare il proprio profilo dalle mani dei malintenzionati

La storia dell'hacking di Twitter che ha coinvolto i profili di personaggi come Bill Gates ed Elon Musk è ancora freschissima, ma questo non significa che a rischio sia solamente questa piattaforma con i suoi 280 caratteri.

Che ci piaccia o no, i social sono un business. E dove c'è denaro, solitamente, ci sono persone pronte a trarne vantaggio illegalmente.

Instagram non è differente e non mancano certo gli esempi e le storie che ci parlano di come questo venga costantemente preso di mira.

Forse siamo diventati anche troppo "anestetizzati" nel leggere le notizie di fughe di dati, ma non è passato troppo tempo da quando un enorme database contenente informazioni di contatto di milioni di account Instagram (oltre 49), tra cui influencer, celebrità e aziende è stato esposto.

Disponibile in chiaro su Amazon Web Services, quindi pubblico e non protetto da password, questo conteneva i dati di oltre 49 milioni di persone.

Tra questi anche info di contatto private come indirizzo email e numero di telefono di personaggi famosi, cantanti, attori, blogger e influencer.

Ma oltre a questi eventi "da prima pagina" come fanno i Criminal Hacker ad attaccare i nostri account Instagram.

Chi viene preso di mira?

Come nel caso di Twitter, quando vengono hackerati i profili di celebrità e simili c'è sempre molto "rumore" mediatico, ma la verità è che i Criminal Hacker si stanno concentrando sempre di più nel prendere di mira gli account più piccoli, in particolare quelle attività e PMI che utilizzano il social come principale mezzo di marketing e vendite.

Insomma, i "pesci piccoli" che utilizzano la piattaforma come principale canale pubblicitario e di facciata per promuovere la propria attività o lavoro.

I Criminal Hacker cercano il giusto bilanciamento: non devono avere un numero insignificante di follower, ma neppure eccessivo e soprattutto devono essere profili da cui i proprietari dipendono per i loro introiti.

Una tattica di profilazione delle vittime brillante, i criminali chiedono anche somme relativamente piccole in termini riscatto assicurandosi un guadagno immediato, facendo leva sulla forte necessità che chi è stato preso di mira ha di riavere il proprio account.

Ma come vengono compromessi gli account?

Phishing

Riceviamo spesso email con richieste di tutti i tipi: aggiorna la tua password, controlla il tuo conto corrente, questa fattura non è stata pagata…

Alcune possono sembrare anche molto convincenti, ma è tutta una tattica e soprattutto una trappola. Si tratta di Phishing.

L'assonanza il verbo inglese "fishing", che tradotto pescare, dovrebbe dirci tutto. L'aggressore getta "l'esca" e aspetta che la vittima abbocchi.

Il phishing è una tipologia di attacco informatico che negli ultimi anni sta prendendo sempre più piede.

Si tratta di una frode a tutti gli effetti che ha un preciso obiettivo, sottrarre credenziali come username e password o direttamente ottenere bonifici a conti corrente fasulli.

Questa tecnica è impiegata frequentemente per prendere il controllo degli account Instagram.

L'approccio è piuttosto sofisticato, con i Criminal hacker che si prendono il loro tempo per stabilire false credenziali e backstory prima di attaccare.

Magari iniziano spacciandosi per un rappresentante di una società di alto profilo che è interessata a un potenziale accordo di partnership chiedendo alla vittima di seguire un particolare link.

Sfortunatamente, il link è la trappola stessa; l'utente arriverà su una pagina che assomiglia ad un vero e proprio portale di login Instagram, ma che in realtà è lì per raccogliere le credenziali della vittima.

I dati saranno inviati all'aggressore e le credenziali della vittima saranno compromesse.

Armati di queste informazioni, gli hacker effettuano il login, modificano l'indirizzo e-mail, il numero di telefono e la password.

Fatto questo contattano la vittima e chiedono un riscatto che, in media, può essere anche solo di un paio di centinaia di dollari, ma deve essere pagato in Bitcoin o altre cripto-valute.

Purtroppo, la storia potrebbe non finire bene anche se il pagamento viene effettuato, in quanto capita comunque che gli aggressori cancellino gli account anche dopo aver ricevuto il riscatto.

Password deboli e Credential Stuffing

Un livello sotto il Phishing troviamo il classico attacco attraverso lo sfruttamento di password deboli.

Questo potrebbe essere semplice come indovinare quale potrebbe essere la password basata sul brand preso di mira (immaginate se Ferrari avesse come password "Ferrari 123"), o potrebbe essere frutto di una tecnica nota come credential stuffing.

Questa fa leva sulla combinazione di email e password, ottenute dalla violazione di un altro servizio, nella speranza che l'utente le abbia riutilizzate anche per Instagram. Un'abitudine che purtroppo è fin troppo diffusa.

E non si tratta neppure di un attacco che richiede skill particolarmente avanzate.

Anzi, criminali con pochissima – o addirittura nessuna – esperienza informatica, grazie a software appositi, possono controllare e incrociare le credenziali di accesso di milioni di utenti rispetto a centinaia di siti web e servizi online come Netflix e Spotify e appunto Instagram in pochi minuti.

Per questo motivo è molto importante utilizzare una password unica per ogni login.

Soprattutto per gli account condivisi è importante utilizzare comunque password complesse.

Come proteggersi

Gli attacchi contro Instagram, in particolare quando gli account vengono cancellati, possono essere un duro colpo per le piccole attività.

Alcune vittime sono state costrette a ricreare da zero la loro presenza sui social media e a riavviare il processo di raccolta dei loro seguaci.

Quindi, per evitare questo calvario ecco alcuni consigli su come meglio proteggere il proprio account:

  • Utilizzate una password unica, sicura e casuale

Non scegliete una password facile da indovinare e non riutilizzate le password che usate per altri siti o servizi (il problema del credential stuffing resterà comunque onnipresente).

Questo è un modo molto semplice per chiunque (senza una vera e propria "abilità" da Criminal Hacker a la Mr. Robot) di prendere il controllo dei vostri conti, sia che si tratti di Instagram o meno.

  • Attivare l'autenticazione a due fattori

Instagram offre l'autenticazione a due fattori attraverso due metodi, SMS e tramite un'applicazione come Google Authenticator. Anche se il login a due fattori basato su SMS può essere un po' più conveniente, tenete presente che è potenzialmente vulnerabile ad altri attacchi mobile, quindi il meccanismo a due fattori basato su app è la scelta più sicura.

  • Revocare l'accesso ad applicazioni di terze parti che non si utilizzano più

Instagram, tramite il suo pannello di controllo permette di vedere a quali servizi "extra" siete collegati e vi permette di revocare ogni autorizzazione

  • Fate attenzione agli altri vettori di hacking, in particolare alle e-mail

In questi giorni i nostri account di posta elettronica sono praticamente le chiavi del nostro regno. A meno che tu non abbia abilitato l'autenticazione a due fattori, se qualcuno ha accesso alla tua casella di posta elettronica, può reimpostare le password!

I più letti

avatar-icon

Pierguido Iezzi