Il furto di credenziali è ancora uno dei principali obiettivi del cyber crime, come emerge dal nuovo Report Data Breach Investigations 2020 di Verizon.
Il successo di questi attacchi hacker è principalmente dovuto a una insidiosa strategia che combina tecniche di Phishing che servono a veicolare Malware creati a questo scopo.
Sono sempre di più i Malware, anche di nuova generazione, progettati per rubare tutti i dati relativi ad account, nickname e password salvati nei browser web. Inoltre negli ultimi anni le loro capacità si sono evolute, riuscendo a rubare informazioni anche dagli account di Facebook, Amazon, ebay, Paypal, Youtube, cronologia di navigazione, ecc.
Considerando che circa il 50% dei dipendenti usa la stessa password sia per scopi lavorativi che personali, è facile immaginare quali possano essere i rischi per qualunque organizzazione.
Phishing e Malware per rubare le vostre credenziali
Le modalità con cui un hacker può infettare i computer con questa tipologia di malware sono essenzialmente due:
- Le mail di Phishing: contengono un allegato che, se scaricato, attiva del codice malevolo che, appropriandosi delle credenziali da amministratore, è in grado di trafugare informazioni come password, numeri di carte di credito, informazioni di pagamento e molto altro ancora.
- Siti Web “trappola”: sono siti che hanno come obiettivo quello di attrarre l’utente a cliccare su link contenuti nelle loro pagine. Una volta cliccato il link il Malware responsabile del furto di credenziali viene scaricato e attivato.
Come proteggere le proprie credenziali
- Non aprire mai allegati presenti in una mail se non si è certi della loro provenienza
- Ricontrollare i mittenti e gli indirizzi delle mail per assicurarsi che provengano da fonti legittime
- Non cliccare mai su link presenti in mail sospette
- Navigare solo su siti web autorevoli e ufficiali, evitando di scaricare software o filmati da siti illegali
- Aggiornare gli antivirus e i browser del vostro device con regolarità
- Adottare un password manager
Il fattore umano per difendere soldi, privacy e business
Difendersi da questa tipologia di attacchi cyber è possibile solo attraverso dei percorsi formativi di consapevolezza sulle minacce.
Imparare a riconoscere le minacce cyber è necessario per attuare un cambiamento comportamentale e per creare una cultura della consapevolezza informatica, entrambe necessarie per difendere se stessi e la propria organizzazione.
Tornando, alla questione iniziale, e cioè se le password salvate nel browser siano al sicuro, possiamo fornire un’indicazione generale, e cioè che questo metodo non viene considerato molto sicuro, proprio per la possibilità che queste informazioni vengano violate da Malware sviluppati per questo specifico scopo.
Chiaramente, più saremo in grado di tutelare la sicurezza del nostro dispositivo, con comportamenti consapevoli e con software antivirus/antimalware professionali (che vanno mantenuti sempre all’ultimo livello di aggiornamento), minore sarà la probabilità di subire un attacco.
Rispetto alla “funzione positiva” di salvare delle password nel browser, evitando la difficoltà di memorizzarle tutte, come comportarsi?
- ovviamente evitate comportamenti sbagliati come quello di “annotare” le password su fogli di carta per poterle ricordare
- preferite invece un Password Manager di livello professionale, molto più sicuri e difficili da violare.
