13.02.2024 - L’UFCS riceve continuamente segnalazioni di account violati sui social media o di ordini indesiderati negli shop online. In molti casi, la frode può essere ricondotta a un account e-mail hackerato. Purtroppo, spesso si sottovaluta l’importanza di proteggere questi account.
Un ordine indesiderato...
Gli utenti segnalano puntualmente di aver ricevuto fatture per ordini che non hanno mai effettuato, come per esempio delle carte regalo digitali. I truffatori approfittano del fatto che queste carte regalo non devono essere inviate per posta, ma possono essere semplicemente scaricate in forma digitale dopo l’ordinazione, il tutto ai danni del malcapitato, che si ritrova con una fattura per un prodotto che non ha mai ordinato. Per riuscire nel loro intento, i criminali devono prima aver ottenuto l’accesso allo shop online.
... o un account sui social media hackerato
I titolari di account sui social media segnalano regolarmente all’UFCS che dei truffatori si sono impossessati dei dati di accesso. Questi account vengono poi utilizzati, ad esempio, per scrivere a dei conoscenti tra i contatti chiedendo denaro con un pretesto, oppure per pubblicare annunci fraudolenti. Purtroppo, in molti casi è difficile e laborioso riprendere il controllo degli account sui social media, e talvolta risulta persino impossibile riattivarli.
Miniera d’oro
Spesso l’attacco non è rivolto direttamente contro questi account; i truffatori utilizzano piuttosto un diversivo servendosi di un indirizzo di posta elettronica hackerato. In molti casi, un account di posta elettronica rappresenta una vera e propria miniera d’oro per i truffatori, che possono così accedere ai dati relativi alla vita quotidiana e ai contatti dell’utente. Controllando la posta in arrivo, il cestino e l’archivio, i criminali possono quindi scoprire gli account della vittima presso vari provider, social media, shop online e altri servizi online. Nella maggior parte dei casi, gli autori dell’attacco riescono a reperire ciò che stanno cercando e possono concentrarsi sugli obiettivi a cui sono interessati. Altrimenti, possono rivendere a loro volta l’accesso sul dark web.
Il problema con il ripristino della password
I criminali non hanno bisogno della password dell’account della vittima per accedere ai servizi online: gli basta inserire l’indirizzo e-mail sul sito web del fornitore di servizi e poi cliccare sul link «Password dimenticata».
Questa azione genera una nuova password o un link per reimpostare la password. In entrambi i casi, la password o il link sono inviati proprio alla casella di posta elettronica a cui i truffatori hanno già accesso.
Non c’è dubbio: un account e-mail hackerato può valere molto. I criminali hanno inizialmente bisogno di una password, che possono ottenere in vari modi:
- con un attacco di phishing tramite il quale la vittima stessa rivela la password del suo account;
- la password è troppo corta e semplice e può essere facilmente indovinata o azzeccata per tentativi;
- le combinazioni e-mail/password vengono rubate approfittando di una fuga di dati da un fornitore di servizi online. I truffatori proveranno a verificare se possono accedere all’account di posta elettronica con questa password.
Misure precauzionali
L’UFCS raccomanda le seguenti misure per proteggere il proprio account di posta elettronica.
- Utilizzare una password di almeno 12 caratteri, composta da lettere maiuscole e minuscole, numeri e, se possibile, caratteri speciali.
- Evitare di riutilizzare le password.
- Utilizzare l’autenticazione a due fattori. Oltre alla password, ad esempio, viene richiesto un codice numerico che viene generato e visualizzato in un’app («Authenticator app»). Niente paura: il processo di configurazione è semplice e deve essere svolto una volta sola. Inoltre, in molti casi il codice non deve essere inserito sistematicamente, ma solo quando si accede da un dispositivo sconosciuto. Con l’autenticazione a due fattori, ai criminali risulta molto più difficile potersi impadronire dell’account.
- La password dell’account di posta elettronica deve essere inserita solo nella webmail (controllare l’URL) o nei programmi di posta elettronica su PC e cellulare. Non accettare mai di inserire la propria password sui siti web aperti tramite i link ricevuti per e-mail.
- Se possibile, utilizzare più indirizzi e-mail a seconda dello scopo.
Ulteriori informazioni sono consultabili sulle pagine internet dell’UFCS.
Potete scoprire autonomamente se il vostro indirizzo e-mail figura in una fuga di dati (già nota) sul sito web del progetto «Have I Been Pwned» (https://haveibeenpwned.com/). Non spaventatevi: è molto probabile che sia così. È fondamentale scoprire quali altri dati sono stati trafugati assieme all’indirizzo. Se una password è stata rubata, l’UFCS consiglia di cambiarla.
Se possibile, verificate anche con un altro strumento se il vostro indirizzo e-mail è stato oggetto di una fuga di dati, ad esempio sul sito "Identity Leak Checker"dell’Istituto Hasso Plattner, Potsdam, Germania. Anche se in un determinato tool il vostro indirizzo e-mail non risulta «rubato», è possibile che altri lo segnalino come tale.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 13.02.2024