come rubare la password su internet

Rubare le password su internet: le 5 tecniche più usate

La figura dell'"hacker" viene spesso associata ad un personaggio con cattive intenzioni che ruba o che minaccia di rubare password e account personali.
Anche se nel mondo esistono persone nel mondo capaci di fare qualsiasi cosa con un computer, nel 99% dei casi è difficile si abbia a che fare con magiche tecniche informatiche perchè, in linea generale, chiunque sia dotato di furbizia e volontà può catturare informazioni private registrate online di un'altra pesona.
Il furto di password e account è basato soprattutto sull'ingenuità delle vittime che, spesso per sbadatezza o poca competenza tecnica, si lasciano ingannare aprendo loro stessi un varco facile da superare.
Una volta che qualcuno trova la password di un account online, può utilizzarlo per spiare fatti privati (se si pensa alle Email o Facebook) o, peggio, per modificare informazioni o sfruttare l'account con scopi pubblicitari o commerciali.

Per capire come difendersi e come non cadere nelle trappole più comuni, è importante prima di tutto sapere quali sono i metodi e le tecniche più usate per rubare la password.

1) Provare le password più comuni e più frequentemente utilizzate statisticamente.
Anche per un hacker con improvvisato, il primo modo per trovare la password di un account è provare quelle più comuni.
Diventa molto facile trovare su internet liste delle parole più usate come password.
Può sembrare incredibile ma, statisticamente, la password più usata è "password" mentre tanti altri usano parole come: 123456, qwerty e abc123.
Anche se siti web come Facebook o Gmail bloccano l'accesso dopo un certo numero di tentativi sbagliati, ci sono tanti altri casi in cui possono essere utilizzati programmi automatici che tentano di accedere usando enormi liste di password fatte da parole semplici.
Per proteggersi, è importante scegliere una password complessa, fatta di numeri, lettere maiuscole e minuscole e simboli.
In un altro articolo è scritto come testare la sicurezza di una password.

2) Astuzia sociale
Se, chi vuole rubare la password, conosce la sua potenziale vittima, può usare l'ingegno per trovare la password di accesso ad un account.
Per esempio molti utilizzano il loro nome oppure quello della fidanzata, la data di nascita, la città dove vivono, la squadra di calcio preferita, il nome dell'animale domestico o il nome di un giocatore.
Inoltre, se questo non funzionasse, la vittima poco preparata potrebbe essere aggirata con attacchi basati sull'inganno.
Per esempio si potrebbe creare un semplice attacco di phishing inviando alla vittima una mail finta dove si chiede di inserire o confermare la password dell'account prima che esso sia disattivato.
Tra le tecniche più usate per accedere negli account di persone inesperte ci sono la paura, spaventando le vittime con messaggi di pericolo ed i soldi, promettendo vincite e premi facili.
Per evitare di farsi rubare la password su Facebook avevo scritto un lungo articolo di consigli che potrebbe essere il caso di leggere.
In generale, per proteggersi è importante: tenere privati i propri account tenendo lontano gli sconosciuti, ignorare Email non autentiche o non certificate e usare come password parole senza significato e non riconducibili alla propria vita.

3) Forzare pagine web non protette.
Siti come Facebook, Gmail o Paypal, proteggono gli account limitando il numero di tentativi falliti per accedere.
Altri siti invece hanno protezioni molto deboli che, un hacker più esperto e capace potrebbe facilmente violare.
Siccome molte persone utilizzano la stessa password su più siti, e molti usano solo una password per tutto, gli hacker possono approfittarne visto che è facile, per loro, sapere in quali siti debolmente protetti una persona è iscritta e registrata.
Una delle regole più importanti per la sicurezza online è quella di non utilizzare mai una sola password per tutti i siti Web.
Idealmente si dovrebbe usare una password diversa per ogni sito, ma, per evitare di complicarsi troppo la vita, si può scegliere di usare una password complessa per gli account più importanti ed una debole per siti non importanti oppure per commentare in forum e blog.
Un'altra opzione è usare un gestore di password ossia un programma che nasconde tutte le diverse chiavi di accesso utilizzate dietro un'unica password master che diventa l'unica da ricordare a memoria.

4) Sniffare pacchetti nelle reti Wi-Fi
Di questo argomento ho già parlato diffusamente nell'articolo: Entrare in una rete wifi protetta per catturare pacchetti e spiare.
Come dimostrato, se più computer accedono a internet con la stessa rete wireless, è possibile tramite semplici programmi, catturare tutte le informazioni della navigazione internet dei computer collegati.
Le informazioni (password comprese) trasmesse in rete wifi possono essere catturate da chiunque.
Per proteggersi bisognerebbe evitare le reti wifi aperte o, comunque, non accedere sui siti web che non mostrano nel loro indirizzo internet https.
HTTPS indica una connessione cifrata che, quindi, se pure venisse intercettata da altri, sarebbe comunque illeggibile.

5) Keylogger
In questo caso l'hacker utilizza un virus sul computer della vittima per rubare password e dati.
Un keylogger è un programma che registra tutti i tasti digitati sulla tastiera, si nasconde nel sistema attaccato e invia i dati catturati all'esterno, magari tramite email.
Con l'inganno o con altri metodi si può far scaricare o inviare il keylogger alla vittima senza che egli se ne accorga.
Un keylogger può anche essere installato come malware accompagnato da foto o da programmi veri.
in altri articoli ho scritto:
- come usare un Keylogger per registrare i tasti premuti al computer;
- come spiare un pc e vedere come il computer viene usato dagli altri
- Come proteggere il computer dai Keylogger

Altri consigli generali per proteggere le password sono: usare un antivirus aggiornato sul computer, cambiare frequentemente le password più importanti, fare attenzione a non lasciare il pc incustodito e non protetto se usato in luoghi pubblici o in ufficio, diffidare da chi afferma di poterti entrare nel computer quando vuole (minaccia senza senso), evitare l'opzione "ricorda password" se si utilizza un computer non proprio.
Se avete altri consigli che possono aiutare a rafforzare la sicurezza delle password lasciate pure un commento.