Navigaweb.net

Migliori siti, programmi e applicazioni su Navigaweb.net

Tecniche più usate per rubare password su internet

Aggiornato il:

Come rubare password dei siti web: 5 tecniche principali usate dagli hacker per accedere a un account e come difendersi

rubare password La figura dell'"hacker" viene spesso associata ad un personaggio con cattive intenzioni che ruba o che minaccia furti di password e account personali. Anche se nel mondo esistono persone nel mondo capaci di fare qualsiasi cosa con un computer, nel 99% dei casi è difficile si abbia a che fare con dei criminali informatici, soprattutto se si adotta un atteggiamento prudente.
Il furto di password e account è basato quasi esclusivamente sull'ingenuità delle vittime che, spesso per sbadataggine o poca competenza tecnica, si lasciano ingannare aprendo loro stessi un varco facile da superare. Una volta che qualcuno trova la password di un account online, può utilizzarlo per spiare gli account (se si pensa alle Email o Facebook) o, peggio, per modificare informazioni o sfruttare l'account con scopi pubblicitari o commerciali. Per capire come difendersi e come non cadere nelle trappole più comuni, è importante prima di tutto sapere quali sono i metodi e le tecniche più usate per rubare password su internet.
In questa guida abbiamo raccolto le tecniche più comuni che possono essere utilizzate da un hacker, con i consigli su cosa fare per evitare di cadere in queste trappole.

Indice Articolo


Password semplici

Se utilizziamo una password molto semplice, essa sarà indovinata in pochi minuti dall'hacker, che può disporre di un database di password comuni. Di fatto l'hacker prova tutte le password più comuni a partire al suo database e, una volta trovata quella giusta, può accedere all'account che ha preso sotto mira in maniera molto semplice.
Questa è una tecnica bruteforce con attacco a dizionario, una delle più utilizzate per scovare le password più semplici e comuni che gli utenti possono utilizzare. Questa vulnerabilità è ancora più grave se abbiamo utilizzato la stessa password su più siti diversi: una volta scoperta una password su un sito, esso può essere testato anche sugli altri che si sospetta possano essere collegato alla nostra persona o ai nostri account.

Per questo consigliamo sempre di scegliere una password robusta e possibilmente diversa per ogni account che creiamo, così da non compromettere tutti i nostri siti. Sull'argomento raccomandiamo di leggere le nostre guide su come testare la sicurezza di una password e Come scegliere una password sicura per qualsiasi account.

Un'altra opzione è usare un gestore di password ossia un programma che nasconde tutte le diverse chiavi di accesso utilizzate dietro un'unica password master, che diventerà l'unica da ricordare a memoria.

Hacking siti

Altra tecnica con cui gli hacker possono entrare in possesso delle nostre password non riguarda il nostro PC o la nostra rete in particolare: l'hacker o un gruppo di hacker possono decidere di attaccare un sito e di forzare l'accesso al database con tutte le password, gli indirizzi email e i dati degli utenti iscritti. In questo modo il sito viene compromesso e la nostra password d'accesso ad esso entra in possesso dei malintenzionati, che possono utilizzarla per accedere al nostro account o possono rivenderla sul mercato nero per fare soldi.

Il discorso è simile a quello del primo capitolo: se abbiamo utilizzato la stessa password su siti diversi, se uno di essi viene compromesso saranno compromessi anche tutti gli altri siti. Per evitare questo consigliamo di cambiare le password d'accesso ai siti più utilizzati e sensibili (home banking, e-commerce etc.) almeno una volta all'anno, così da annullare gli effetti dell'hacking su un sito compromesso (di cui probabilmente non sappiamo ancora nulla).

Se invece i proprietari del sito compromesso si accorgono del danno, spesso invieranno un'email a tutti gli utenti iscritti per notificarli l'accaduto e procedere al cambio di password immediato: quando riceviamo questo tipo di email, assicuriamoci che siano autentiche quindi procediamo al cambio di password immediato (più veloci siamo, meno rischi correremo).

Per scoprire se le nostre password sono compromesse, possiamo effettuare un controllo sul sito HaveIBeenPwned, in cui basterà inserire l'email che utilizziamo più spesso sui siti per vedere se siamo già stati compromessi in passato.

Email false

Una delle tecniche più usate prevede l'utilizzo di email contraffate, con loghi e simboli del tutto simili a quelli dei siti legittimi. Riagganciandoci al discorso fatto nel capitolo precedente, l'hacker potrebbe inviarci un'email mascherata da sito sicuro e famoso (PayPal, Amazon, sito della banca etc.) spiegando di un presunto attacco hacker che ha messo a rischio i nostri dati personali o i nostri soldi, con toni spesso troppo sensazionalistici.

Lo scopo è generare paura: presi dal panico infatti cliccheremo sul link presente nell'email, che ci riporterà in una pagina dove inserire la vecchia password. Dopo aver inserito i dati richiesti la pagina "sparirà" e non sarà più accessibile: siamo appena caduti vittima di un attacco di phishing in piena regola. Riconoscere le email false può richiedere grande esperienza o una buona conoscenza informatica, ma a volte basta anche un po' di sana furbizia: se riceviamo l'email da parte di una banca su cui non abbiamo nessun tipo d'account, come può l'account essere compromesso e mettere a rischio i presunti soldi?

Se invece riceviamo un'email da un sito o da una banca in cui siamo effettivamente clienti, meglio evitare ogni link presente nelle email e procedere al cambio di password passando dal sito ufficiale: in questo modo, sia nel caso in cui l'email fosse falsa sia in cui l'email fosse vera, avremo provveduto a cambiare la password mettendoci al riparo da ogni possibile problema. Per aumentare la sicurezza delle nostre email possiamo utilizzare anche un filtro antispam consigliati nella nostra guida ai migliori servizi anti-spam per proteggere l'email aziendale e web.

Pagine Web non protette

Per fortuna questo tipo d'attacco sta cadendo in disuso, ma fino a qualche anno fa era uno dei più gettonati e facili da portare a termine. Le pagine Web senza cifratura (che iniziano con HTTP) forniscono i loro contenuti in chiaro sul Web, quindi quando ci colleghiamo ad esse tutti i dati sono intercettabili con uno sniffer di rete oppure intercettando il traffico Web (attacco Man-in-the-Middle).

Se inseriamo una password in una pagina non cifrata, essa sarà intercettabile senza problemi da un hacker, senza che sia per forza un maestro del settore: i programmi per sniffare i pacchetti sono accessibili e spesso offrono interfacce semplici, così da poter essere utilizzate anche da chi non conosce nulla d'informatica.

Per evitare questo tipo di attacco, assicuriamoci di utilizzare solo siti con accesso criptato e sicuro (pagine Web che iniziano con HTTPS): in questo modo tutti i dati scambiati tra il browser e il sito Web sarà cifrato e difficile da intercettare. Tutti i siti più famosi sono già passati a HTTPS, ma per forzare l'accesso alle pagine sicure su tutti i siti consigliamo di leggere la nostra guida per navigare in https su tutti i siti bancari, negozi, Facebook e altri, con connessione protetta.

Keylogger

In questo caso l'hacker utilizza uno speciale programma nascosto sul computer della vittima per effettuare il furto di password e dati; il keylogger registra tutti i tasti digitati sulla tastiera e invia i dati catturati all'esterno, sul sito dell'hacker. Con l'inganno (tramite email false) oppure con accesso diretto al PC da compromettere l'hacker può intercettare tutti i dati della vittima senza che egli se ne accorga.

Alcuni keylogger avanzati sono disponibili come piccoli dispositivi che si interpongono tra USB o porta PS/2, così da intercettare i dati a livello hardware: essi sono difficilissimi da individuare e praticamente impossibili da fermare, ma richiedono l'accesso fisico al computer per poter recuperare i dati.

Per proteggersi dai keylogger software, dobbiamo installare un buon antikeylogger, come quelli visti nella guida migliori Anti-keylogger gratis contro i malware che spiano il computer. Se non vogliamo installare altri programmi, può essere utile utilizzate la tastiera a schermo quando digitiamo le password, così da impedire la cattura da parte dei keylogger: qui di seguito troviamo l'articolo su come utilizzare la tastiera virtuale su schermo per scrivere protetti da keylogger e furti di password.

Altri consigli utili

Altri consigli generali per proteggere le nostre password sono:

Tutti i consigli visti in questa guida possono rendere molto difficile l'accesso da parte da parte degli hacker ai nostri dati e alle nostre password, ma ricordiamoci che un hacker davvero bravo entra ovunque senza problemi: l'unica cosa che possiamo fare è rallentarlo abbastanza da rendere il "gioco" sconveniente (il classico "il gioco non vale la candela").

LEGGI ANCHE -> Guida alla sicurezza online contro hacker, phishing e cyber-criminali

Scrivi un commento

Per commentare, si può usare un account Google / Gmail. Se vi piace e volete ringraziare, condividete! (senza commento). Selezionare su "Inviami notifiche" per ricevere via email le risposte
Info sulla Privacy