Incarichi di ingegneria sociale e account collegati: come proteggersi dal furto di identità

In questo giorno ed età, Internet ha uno stretto legame con la maggior parte degli aspetti della nostra vita e identità. Praticamente tutti hanno un profilo Facebook, oltre a possibilmente un account Twitter, una pagina LinkedIn, account di controllo online, account con rivenditori online e probabilmente molti vecchi profili su altri siti che raccolgono solo polvere virtuale. La maggior parte di noi è arrivata a fidarsi di Internet con le nostre informazioni. Siamo sicuri che aziende globali e sofisticate come PayPal, Facebook, Amazon e tutti gli altri grandi nomi non lasceranno le nostre informazioni aperte agli hacker. Ma la forza di volontà collettiva degli hacker di tutto il mondo viene messa alla ricerca di modi nuovi e innovativi per violare i sistemi di quelle aziende.

È stato detto prima, ma lo dirò di nuovo: la sicurezza è forte quanto il tuo anello più debole. Esattamente quanto è debole la catena che porta alle tue informazioni personali? Ci sono numerose vulnerabilità da considerare nella tua presenza online: alcune delle quali potresti essere a conoscenza e altre a cui non hai mai pensato. La protezione e la prevenzione sono fondamentali nel processo di sicurezza online: è molto più facile prevenire un attacco che riparare il danno dopo che uno si è verificato.

Cos'è l'ingegneria sociale?

In questo contesto, l'ingegneria sociale è un metodo utilizzato per manipolare le persone nella divulgazione di informazioni personali. Un recente articolo di Mat Honan di Wired ha descritto come sia stato vittima di un hack di ingegneria sociale che ha fatto crollare la sua vita digitale. Le vulnerabilità in Amazon e il protocollo di sicurezza di Apple consentivano a un hacker di accedere a una serie di account dello scrittore. L'hacker è riuscito a entrare nel suo account Amazon, che ha fornito un indirizzo di fatturazione e le ultime quattro cifre del numero di una carta di credito. Questa informazione era tutto ciò che era necessario per convincere Apple che l'hacker era Honan e quindi gli ha permesso di reimpostare la password dell'ID Apple. Da lì, l'hacker ha ottenuto l'accesso al suo account e-mail Apple, che poi ha portato al suo account Gmail, che era l'hub di ancora più informazioni online. Questa è ingegneria sociale al lavoro. Come gli hacker sapevano che Mr. Honan aveva un account Amazon non è del tutto chiaro, ma vale la pena notare la catena di eventi che li ha portati alla sua vulnerabilità:

"Dopo aver scoperto il mio account [Twitter], gli hacker hanno fatto alcune ricerche di base. Il mio account Twitter è collegato al mio sito web personale, dove hanno trovato il mio indirizzo Gmail. Supponendo che questo fosse anche l'indirizzo e-mail che ho usato per Twitter, Phobia [l'hacker] è andato alla pagina di recupero dell'account di Google. Non ha nemmeno dovuto effettivamente tentare una guarigione. Questa era solo una missione di ricognizione. Poiché non avevo attivato l'autenticazione a due fattori di Google, quando Phobia ha inserito il mio indirizzo Gmail, poteva visualizzare l'e-mail alternativa che avevo impostato per il recupero dell'account. Google oscura parzialmente tali informazioni, mettendo in risalto molti personaggi, ma c'erano abbastanza caratteri disponibili, m -•••[email protected]. Montepremi."

Pensaci due volte sugli account collegati

La stringa della tua vita digitale inizia e finisce da qualche parte e, se viene rilevata una vulnerabilità facile, verrà sfruttata. Da allora Amazon ha affermato di aver modificato le sue procedure di sicurezza in modo che questo tipo di exploit non sia più possibile (tuttavia, dopo aver letto la storia di Wired, ho eliminato tutte le mie informazioni da Amazon e le inserirò manualmente ogni volta da ora in poi. Non esiste una cosa troppo attenta). Apple, d'altra parte, non ha detto che ha cambiato alcuna politica di sicurezza - Apple ha solo detto che le sue misure di sicurezza non sono state seguite completamente. Ci sono molte altre società che sono sensibili alle tattiche di ingegneria sociale, e i tuoi account collegati dicono loro da dove cominciare. A volte l'exploit più semplice può essere il tuo account Facebook.

La traccia digitale che riconduce alla tua vita non digitale

Supponendo che il tuo profilo Facebook sia pubblico o che accetti richieste di amicizia da persone che non conosci, il tuo profilo include il tuo compleanno completo? Il tuo indirizzo e-mail personale, l'indirizzo di casa e il numero di telefono? Hai foto di un vecchio animale domestico di famiglia in cui le chiami, o sei amico di tua madre, che usa ancora il suo nome da nubile? Ci sono foto di te della prima elementare che mostrano il nome della scuola, tu con la tua prima ragazza o la tua migliore amica?

Sì, e perché sto facendo tutte queste domande personali? Bene, la tua data di nascita e l'indirizzo possono darmi informazioni sufficienti per iniziare a spacciarti in altre società o online. In alcuni casi potrei aver bisogno delle ultime quattro cifre del tuo numero di previdenza sociale, ma questo non è il problema che pensi sia. Quindi, perché dovrebbe importare il tuo primo animale domestico di famiglia, il nome da nubile di tua madre, la tua prima scuola elementare, la prima ragazza o il nome del tuo migliore amico? Sono tutte risposte alle domande di sicurezza per i processi di recupero dell'account. Se ti è sconosciuto, ho violato la tua email, ma il mio vero obiettivo è il tuo conto bancario, ora ho le risposte alle tue domande sulla sicurezza e potrò cambiare la password sul tuo conto bancario per accedervi.Per buona misura probabilmente cambierò anche la password sulla tua e-mail, o se ho finito di sfruttarla, potrei cancellare completamente l'account. Naturalmente, ci sono molti fattori per rendere questa situazione ideale, e ci sono altri metodi che possono essere utilizzati per assumere la tua identità.

Se hai password deboli come "bucketKid", come un esempio completamente casuale, un attacco di forza bruta sul tuo account impiegherebbe circa otto giorni per decifrare la tua password (più su come lo so nella sezione Raccomandazione). Aggiungere semplicemente un numero per renderlo "bucketKid7" aggiunge sei anni al tempo necessario a un hacker per decifrarlo.

È anche possibile che le tue informazioni vengano esposte come danni collaterali nell'hack di un'altra società. Se si utilizza la stessa password su più siti, uno dei quali include la propria e-mail, allora è il momento di cambiare tutte le password e indagare fino a che punto il danno potrebbe fuoriuscire. Ora che hai gli scenari peggiori nella tua mente, passiamo a come puoi effettivamente proteggerti.

La nostra raccomandazione sul sito

Non usare mai la stessa password due volte! So che ne hai sentito parlare un milione di volte e potresti pensare che non sia pratico avere decine di password uniche su numerosi siti. Bene, ci sono due cose che puoi fare per renderlo pratico:

Il primo è che puoi utilizzare un programma per aiutarti a creare e memorizzare password uniche per tutti i tuoi siti. 1Password è uno di questi programmi: quando accedi a uno dei tuoi profili online, puoi semplicemente selezionare il login che ti serve e 1Password fornirà la password e ti concederà l'accesso. Tuttavia, forse non vuoi che tutte le tue password siano memorizzate in un database, è una preoccupazione valida.

L'opzione successiva è creare una serie di password correlate. Una password può essere "Treez4Eva" il prossimo "Trees4eVer" e così via. Ricordando quale sito usa quale versione può essere un po 'complicata, ma è fattibile e sicuramente vale la pena provarlo. Ricorda che puoi sempre recuperare le password che hai dimenticato. Ciò potrebbe richiedere molto tempo, ma non lasciare che le password di dimenticanza ti impediscano di creare quelle uniche e sicure.

Ora è la password stessa: puoi usare How Secure Is My Password come un utile riferimento per valutare quanto sei sicuro. Usa sempre combinazioni alfanumeriche con lettere maiuscole e caratteri speciali. Se il sito lo consente, usa anche gli spazi. "BucketKid" è molto più sicuro quando è "bu (k3t K! 4 15 r3a!" Quella password richiederebbe 3 quintilioni di anni per craccare, secondo How Secure Is My Password, che è così tanti anni che suona finta. pensa che ti ci vorranno tanti anni per ricordare una password del genere - ma pensa a come puoi usare trucchi di memoria per semplificare il processo.L'esempio sopra dice: "bucket kid is real", tutto quello che devi ricordare è quali lettere hai capitalizzato e come hai sostituito le lettere con numeri o caratteri speciali.Se desideri ancora utilizzare la stessa password su numerosi siti, utilizza la tua più forte, come nell'esempio sopra, per i siti che usi frequentemente come e-mail. password come "umbrella boy 15 fake" per altri siti che non usi spesso o che ritieni non siano sicure.

Utilizza sempre la verifica in due passaggi per qualsiasi sito che la supporta. Ricorda l'account dello scrittore Wired su come è stato hackerato perché non ha usato la verifica in due passaggi? Non commettere lo stesso errore. Google lo supporta, così come Yahoo e Facebook. La verifica in due passaggi indica che quando accedi al tuo account da un computer o un indirizzo IP non riconosciuto, ti verrà richiesto di inserire un codice che è stato inviato al tuo telefono. La cosa fantastica di questo è che funziona anche come sistema di allarme per i tuoi account. Se qualcuno tenta di accedere alla tua e-mail e all'improvviso ricevi un messaggio che ti fornisce un codice di accesso, sai che è ora di chiudere i boccaporti.

Infine, se hai qualche dubbio sulla tua sicurezza online, controlla Dovrei cambiare la mia password. Questo sito ti consente di inserire il tuo indirizzo e-mail e vedere se è mostrato in tutti gli elenchi che gli hacker hanno compilato dopo aver violato un sito. Hanno appena aggiunto una nuova funzione in cui è possibile archiviare il proprio indirizzo e-mail con loro e verranno incrociati con riferimento a eventuali attacchi futuri.

Tutto ciò potrebbe sembrare di andare fuori di testa e di essere troppo paranoico con te, ma essere paranoico su Internet può a volte metterti al sicuro. Esistono numerose altre misure che è necessario adottare per proteggere te stesso, ad esempio: crittografia del disco rigido, creazione di indirizzi e indirizzi e-mail usa e getta per siti di cui non ci si fida o si sentono carenti in sicurezza e che modificano le password ogni pochi mesi. Questa guida dovrebbe essere presa come un punto di partenza per renderti più sicuro, e se tutto ciò che fai è creare una password sicura e registrare la tua email con il database Dovrei cambiare la mia password, allora questo è almeno un buon primo passo per proteggersi dal furto di identità su Internet.

Raccomandazioni degli esperti

Ryan Disraeli, VP of Fraud Services presso TeleSign:

"La persona media è incredibilmente molto hackerabile, ma la realtà è che gli hacker cercheranno di attaccare l'obiettivo più semplice. Questo non è dissimile da offline. Un ladro ruberà una casa con guardie di sicurezza 24/7 o una casa che lascia sempre aperta la porta principale? La realtà è che un buon ladro può ancora rapinare una casa con una sicurezza superba, ma preferirà seguire una vittima più facile.Proprio come faresti con le precauzioni per salvaguardare la tua proprietà personale, le persone dovrebbero cercare di aggiungere alcuni livelli di prevenzione per proteggere la propria identità online."

Dodi Glenn, VIPRE Antivirus Manager di GFI Software:

"Tratta il tuo smartphone come un computer. Se esegui transazioni finanziarie di qualsiasi tipo sul telefono, verranno applicate le stesse "best practice" di sicurezza valide per un computer."

Shuman Ghosemajumder, VP of Strategy at Shape Security:

"Fai attenzione a come accedi ai siti web. Assicurarti che ti fidi di un sito è verificare che l'organizzazione dietro il sito web sia affidabile. Un'altra parte è fare in modo di fidarti della tua connessione a quel sito web. Assicurati che l'URL sia corretto, che ti sia indirizzato direttamente, e non hai fatto clic su un link da un'email, IM o pop-up non richiesti. Se puoi, usa solo i tuoi dispositivi e le tue connessioni. Dovresti evitare le connessioni Wi-Fi pubbliche e i computer pubblici condivisi, se possibile, dal momento che è facile per gli aggressori sniffare il traffico di rete o installare keylogger per acquisire password. Se è necessario utilizzare una connessione WiFi pubblica, assicurarsi di non inviare alcun accesso o informazioni personali a un sito che non utilizza una connessione HTTPS."