Prevenire efficacemente la violazione di un account di Facebook, Netlog o MSN (tecniche di protezione e attacco delle password)

Sia perchè mi è stato espressamente richiesto, sia perchè basta darsi un’occhiata intorno per vedere migliaia di testimonianze di gente che subisce violazioni dei propri account, siano essi di Facebook, Netlog, MSN, PosteItaliane o chi più ne ha più ne metta, ho deciso di scrivere un articolo a proposito delle “tecniche” di protezione e attacco delle password, da cui possono poi ovviamente essere ricavate le linee guida tramite cui proteggersi dagli attacchi informatici di praticamente ogni genere.

La premessa è semplice ed unica: fate attenzione. Non registratevi e non inserite dati sensibili se non siete sicuri di cosa state facendo, e a chi state fornendo queste informazioni. Con tanti piccoli accorgimenti renderete la vita praticamente impossibile a tutti coloro che cercheranno di violare i vostri account e le vostre password. Cominciamo!

Punto primo: la sicurezza della password.
Ironicamente, la cosa più scontata è anche quella su cui cade la maggior parte degli utenti. Le raccomandazioni sono poche e semplici:

  • Non utilizzate password che possano essere facilmente ricondotte a voi (nome, cognome, data di nascita, squadra del cuore, nome di parenti ecc.) – Esempio: la mia password non sarà mai “giovanni”.
  • Create una password realmente complessa. Ricordate che ogni password è case-sensitive, cioè lettere maiuscole e minuscole fanno la differenza. Inserite almeno un numero ed un simbolo. Esempio: una password più sicura di quella di prima potrebbe essere “Qn*4k<3^ì”.
  • Evitate il più possibile riferimenti a parole reali. Giusto per citare un motivo: quando si eseguono attacchi a brute-force (forza bruta: tentare tutte le possibili combinazioni fino a trovare la password corretta), per prima cosa si usano dei dizionari, in modo da provare parole reali. La password citata nel caso precedente, in questo caso, sarebbe un ottimo esempio.
  • Esistono miriadi di siti internet che genereranno password sicure per voi o valuteranno il grado di sicurezza delle password che inventate. Usateli!
  • Molto importante è anche la scelta della domanda di riserva che moltissimi siti (soprattutto quelli che forniscono account e-mail, come Hotmail, Gmail ecc.): le domande possono essere predefinite o personalizzate. In ogni caso non fornite risposte veritiere, ma ricordatevi comunque di tenerle bene a mente: per un malintenzionato che vi conosce, azzeccare la risposta a una domanda così semplice e prendere possesso dell’account sarà veramente un gioco da ragazzi.

Parte seconda: diffidate.
Un possibile malintenzionato può avere tantissimi modi di attirarvi in una trappola.

  • Pensateci sempre bene, prima di aprire un link che vi viene inviato o che trovate in giro per il web. E’ sempre utile fermarcisi prima sopra con il mouse e osservare, generalmente in fondo a sinistra del vostro browser, l’indirizzo a cui vi porta quel collegamento.
  • Non accettate file inviati da sconosciuti e non accettate trasferimenti su MSN di file di cui non conoscete con certezza la provenienza e la natura. MSN è forse il protocollo di chat più debole che ci sia. Per la privacy, sarebbe bene anche evitare di utilizzarlo quando non vi state collegando dalla vostra rete casalinga.
  • Non fate operazioni importanti (login, acquisti online ecc.) quando siete connessi attraverso una rete wireless non vostra.
  • Diffidate ASSOLUTAMENTE da mail inviate da PosteItaliane, anche se sembrano proprio autentiche. Rimarreste sorpresi se sapeste quanta gente è caduta in truffe di questo genere. Un malintenzionato può dirigervi verso un sito che sembra proprio quello di PosteItaliane e farvi inserire i dati, per poi utilizzarli per fare un bel prelievo dal vostro conto.

Parte terza: non sentitevi mai al sicuro.
L’eccessiva sicurezza è il motivo per cui molti operano con leggerezza. Ci sono tanti semplicissimi trucchi che possono tornarvi utili per evitare le frodi informatiche.

  • Quando vi collegate ad un sito in cui fare login (come Facebook) anzichè scrivere http://www.facebook.com, scrivete https://www.facebook.com . Quella semplice “s” fa la differenza tra una connessione sicura (e quindi cifrata) ed una connessione normale, potenzialmente pericolosa. Questo vale per tantissimi siti.
  • Mantenete sempre aggiornati antivirus e antispyware. Benchè capisca anche io quanto è palloso aspettare che termini una scansione completa, è buona norma farne almeno una ogni 1-2 settimane al massimo. Magari lasciate acceso il computer e segnate l’opzione di spegnimento automatico a scansione terminata (praticamente tutti gli antivirus la prevedono).
  • Evitate come la peste bubbonica i siti che vi promettono di farvi scoprire chi vi ha cancellato o bloccato in MSN. Sono solo truffe organizzate per rubare nome utente e password a chi ci cade. Il funzionamento è semplice: il sistema fa una interrogazione al server di MSN per controllare se il contatto di cui si vuole scoprire l’informazione è in linea o meno, ma lo fa con il vostro username e password! In pratica, è come guardare dal vostro MSN se il contatto è in linea o meno. Con l’unica differenza che stavolta vi hanno rubato username e password.
  • Quando un vostro contatto MSN vi manda un link sospetto (un link al cui interno è contenuto anche il vostro username, generalmente), chiedetegli bene se è stato lui a inviarvelo. I virus di MSN si diffondono ad una velocità allarmante. Se il link è sospetto e il messaggio vi arriva quando il contatto non è in linea, i dubbi sono pochi. Si tratta di un virus.

Parte quarta: dinamica di un attacco.
Immedesimatevi nella mente di un malintenzionato: è il modo più semplice di prevenire un attacco.

  • Supponete che il malintenziato sia la persona che più vi conosce sulla faccia della Terra: quali tentativi effettuerebbe, sfruttando le informazioni personali che conosce?
  • Nascondete bene i dati personali che avete sparso qua e là per i siti web. Il social engineering è una delle tecniche di attacco più efficaci, e si basa proprio sul raccogliere semplici informazioni personali lasciate qua e là, oppure contattando qualcuno che vi conosce o addirittura chiedendo a voi le informazioni personali e che potreste inavvertitamente lasciar scappare! Fornite i dati personali ai siti che ve li chiedono, solo se è veramente necessario.
  • Evitate di iscrivervi a qualsiasi servizio esistente su internet, se qualcuno riesce a scoprire un problema di sicurezza in quel servizio e a rintracciare la vostra password, è probabile che avrà accesso anche a tutti gli altri servizi a cui avete aderito (difficilmente vengono usate password diverse per ogni sito a cui si è registrati, anche se sceglierne più di una e cambiarle spesso è un buon modo per proteggersi).
  • Se io fossi un malintenzionato, probabilmente svilupperei un sito identico in tutto e per tutto ad un servizio reale in cui vi viene chiesto di inserire i vostri username e password. Proprio per questo ragionate sempre bene, non clickate mai a cuor leggero.

Note finali: evitate come la peste le insicurezze sulla password di cui ho parlato nella prima parte. Ricordate che la prudenza non è MAI troppa e su internet il detto “fidarsi è bene, non fidarsi è meglio” è assolutamente veritiero.

7 Commenti

  1. Domanda:se mi bloccano l’account per tentativi di password errata superati, esiste un modo per risalire all’inidrizzo IP di chi ha provato a violare il mio account?

  2. Non so a quale servizio fai riferimento, ma in generale è possibile farlo parlando direttamente con il supporto tecnico.

  3. Salve, sono Lorenzo Sinisi del Team Profiloblogger.com.
    Visualizzando le pagine del tuo blog abbiamo pensato che meriti un profilo personale sul nuovo social network.

    Con la presente mail ti invito a creare il tuo profilo nelle pagine del nuovo social network gestito, fatto e pensato esclusivamente per blogger.

    Potrai interagire con altre persone che hanno la tua stessa passione (il web) creare gruppi, instaurare amicizie, contattare blogger che fino a ieri ti sembravano irraggiungibili, discutere con loro, ampliare le tue conoscenze ecc.

    Aspettiamo di vedere il tuo profilo.

    – Team Profiloblogger.com –

  4. Ebbravo Gioggi, bella guida per i neofiti della sicurezza.
    Mi permetto di suggerire anche l’utilizzo di un buon “gestore di password”. Non ne conosco per Win, ma so che ci sono. Per OSX invece c’è il “portachiavi”, che è già integrato nel sistema.
    Questi SW permettono di archiviare in modo sicuro tutte le password che abbiamo inserito nei vari siti, servizi e applicativi. hanno un accesso sicuro e criptato. Il vantaggio è evidente: ci si può iscrivere ai più variati servizi, utilizzando password sempre diverse, senza obbligatoriamente ricordarle tutte. Casomai qualcuno “bucasse” un account, gli altri, sarebbero al sicuro.

    Saluti, complimenti e continua così

    Bai Bai

  5. Qua la composizione latita….io pensavo di averlo trascurato, il blog, ma ragazzuoli, voi mi date parecchie lunghezze di distanza… ;)

  6. Figghiuzzo caro, qui si lavora sodo altro chè. E poi vuoi mettere che primato record di trascuratezza (parlo per me eh)???

  7. Ah ragazzi miei, qui si lavora sodo, come dice il buon Evil.

    Sto comunque cercando di fare un po’ d’ordine per ritrovare il tempo per tenere vivo e (almeno minimamente) interessante questo blog, quindi stay tuned. ;)


Pubblica un Commento

*
*