La Polizia Postale lancia l'allarme: per proteggersi dagli hacker attenti alle password. Ecco cosa sapere per difendersi al meglio.

Per molti anni, le password sono state considerate una forma accettabile per proteggere la propria privacy quando si trattava del mondo digitale. Tuttavia, quando la crittografia e la biometria hanno iniziato a diventare più ampiamente disponibili al pubblico, i difetti di questo semplice metodo di autenticazione sono diventati più evidenti.

Vale la pena considerare il ruolo di una password trapelata in una delle più grandi storie di sicurezza informatica degli ultimi anni, l'hack di SolarWinds. È stato rivelato che "solarwinds123", una password creata e trapelata da uno stagista, era accessibile pubblicamente tramite un repository GitHub privato da giugno 2018, consentendo agli hacker di pianificare ed eseguire il massiccio attacco alla catena di approvvigionamento.

Tuttavia, anche se la password non fosse trapelata, non sarebbe stato difficile indovinarla per gli aggressori. Nelle parole della politica statunitense Katie Porter, la maggior parte dei genitori usa una password più forte per impedire ai propri figli di "guardare troppo YouTube sul proprio iPad".

Le password deboli o facili da indovinare sono più comuni di quanto ci si potrebbe aspettare. Recenti analisi dell'NCSC hanno rilevato che circa una persona su sei usa i nomi dei propri animali domestici come password, il che le rende altamente prevedibili. A peggiorare le cose, queste password tendono a essere riutilizzate su più siti, con una persona su tre (32%) che ha la stessa password per accedere ad account diversi.

Non dovrebbe sorprendere che le password siano il peggior incubo di un esperto di sicurezza informatica. Per rimediare a questo problema, è necessario intraprendere alcune azioni, come l'implementazione di una robusta autenticazione multilivello.

Per mitigare i rischi, vale la pena considerare i passaggi che i criminali informatici devono eseguire per hackerare il tuo account. Abbiamo messo insieme le 12 principali tecniche di cracking delle password utilizzate dagli aggressori per aiutare te o la tua azienda a essere meglio preparati.

Forse la tecnica di hacking più comunemente usata oggi. Il phishing è la pratica di tentare di rubare le informazioni dell'utente mascherando il contenuto dannoso come una comunicazione affidabile.

Sebbene il termine sia generalmente associato all'e-mail e ci siano termini per descrivere altri mezzi, come "smishing" (SMS phishing), il phishing può verificarsi attraverso qualsiasi tipo di comunicazione elettronica.

La tattica tipica è quella di indurre un utente a fare clic su un collegamento incorporato o a scaricare un allegato. Invece di essere indirizzato a una risorsa utile, un file dannoso viene scaricato ed eseguito sul computer dell'utente. Quello che succede dopo dipende interamente dal malware in esecuzione. Alcuni possono crittografare i file e impedire all'utente di accedere alla macchina, mentre altri possono tentare di rimanere nascosti per fungere da backdoor per altri malware.

Poiché l'alfabetizzazione informatica è migliorata nel corso degli anni e gli utenti si sono abituati alle minacce online, le tecniche di phishing hanno dovuto diventare più sofisticate. Il phishing odierno di solito comporta una qualche forma di ingegneria sociale, in cui il messaggio sembrerà essere stato inviato da un'azienda legittima, spesso ben nota, che informa i propri clienti che devono intraprendere un'azione di qualche tipo. Netflix, Amazon e Facebook vengono spesso utilizzati per questo scopo, poiché è molto probabile che la vittima abbia un account associato a questi marchi.

Parlando di ingegneria sociale, questo si riferisce in genere al processo di indurre gli utenti a credere che l'hacker sia un agente legittimo.

Una tattica comune per gli hacker è chiamare una vittima e presentarsi come supporto tecnico, chiedendo informazioni per fornire assistenza. Questo può essere altrettanto efficace se fatto di persona, utilizzando un'uniforme e credenziali false, anche se oggi è molto meno comune.

Gli attacchi di ingegneria sociale di successo possono essere incredibilmente avvincenti e molto redditizi.

Keylogger, screen scraper e una serie di altri strumenti dannosi rientrano tutti sotto l'ombrello del malware: software dannoso progettato per rubare dati personali.

Oltre al software dannoso altamente distruttivo come il ransomware, che tenta di bloccare l'accesso a un intero sistema, esistono anche famiglie di malware altamente specializzate che prendono di mira specificamente le password.

I keylogger e i loro simili registrano l'attività di un utente, tramite sequenze di tasti o tramite screenshot, che vengono poi condivisi con un hacker. Alcuni di questi cercheranno anche in modo proattivo nel sistema di un utente. La ricerca riguarderà dizionari password o dati associati ai browser web.

Gli attacchi di forza bruta si riferiscono a una serie di diversi metodi di hacking che implicano l'indovinare le password per ottenere l'accesso a un sistema.

Un semplice esempio di attacco di forza bruta sarebbe un hacker che semplicemente indovina la password di una persona sulla base di indizi rilevanti. Tuttavia, possono essere più sofisticati di così. Il riciclaggio delle credenziali, ad esempio, si basa sul riutilizzo delle password da parte di molte persone. Il rischio è che alcuni di questi possano essere stati esposti da precedenti violazioni dei dati. Gli attacchi di forza bruta inversa coinvolgono gli hacker che prendono alcune delle password più comunemente utilizzate e tentano di indovinare i nomi utente associati.

La maggior parte degli attacchi di forza bruta impiega una sorta di elaborazione automatizzata, che consente di iniettare grandi quantità di password in un sistema.

L'attacco del dizionario è un esempio leggermente più sofisticato di attacco di forza bruta. Questo utilizza un processo automatizzato di immissione di un elenco di password e frasi di uso comune in un sistema informatico finché qualcosa non si adatta. La maggior parte dei dizionari sarà costituita da credenziali ottenute da precedenti hack, sebbene conterranno anche le password e le combinazioni di parole più comuni.

Questa tecnica sfrutta il fatto che molte persone utilizzeranno frasi memorabili come le password, che di solito sono parole intere attaccate insieme. Questo è in gran parte il motivo per cui i sistemi sollecitano l'uso di più tipi di caratteri durante la creazione di una password.

Gli attacchi con maschera sono molto più specifici nel loro ambito.

Spesso affinando ipotesi basate su caratteri o numeri, solitamente basate su conoscenze esistenti. Ad esempio, quando un hacker sa che una password inizia con un numero. Questo sarà, infatti, in grado di personalizzare la maschera per testare solo quei tipi di password.

La lunghezza della password, la disposizione dei caratteri, se sono inclusi caratteri speciali o quante volte viene ripetuto un singolo carattere sono solo alcuni dei criteri che possono essere utilizzati per configurare la maschera.

L'obiettivo qui è ridurre drasticamente il tempo necessario per decifrare una password e rimuovere qualsiasi elaborazione non necessaria.

Ogni volta che una password viene archiviata su un sistema, viene in genere crittografata utilizzando un "hash" o alias crittografico, rendendo impossibile determinare la password originale senza l'hash corrispondente. Per aggirare questo problema, gli hacker mantengono e condividono directory che registrano le password e i loro hash corrispondenti, spesso creati da precedenti hack, riducendo il tempo necessario per entrare in un sistema, utilizzato negli attacchi di forza bruta.

Le tabelle Rainbow fanno un ulteriore passo avanti, poiché invece di fornire semplicemente una password e il relativo hash, memorizzano un elenco precompilato di tutte le possibili versioni in testo normale delle password crittografate basate su un algoritmo di hash. Gli hacker sono quindi in grado di confrontare questi elenchi con qualsiasi password crittografata che scoprono nel sistema di un'azienda.

Gran parte del calcolo viene eseguito prima che l'attacco abbia luogo, rendendo molto più facile e veloce lanciare un attacco rispetto ad altri metodi. Lo svantaggio per i criminali informatici è che l'enorme volume di possibili combinazioni significa che le tabelle arcobaleno possono essere enormi, spesso centinaia di gigabyte.

Gli analizzatori di rete sono strumenti che consentono agli hacker di monitorare e intercettare i pacchetti di dati inviati su una rete e rimuovere le password in testo normale contenute all'interno.

Un tale attacco richiede l'uso di malware o l'accesso fisico a uno switch di rete, ma può essere molto efficace. Non si basa sullo sfruttamento di una vulnerabilità del sistema o di un bug di rete e come tale è applicabile alla maggior parte delle reti interne. È anche comune utilizzare gli analizzatori di rete come parte della prima fase di un attacco, seguita da attacchi di forza bruta.

Naturalmente, le aziende possono utilizzare questi stessi strumenti per scansionare le proprie reti, il che può essere particolarmente utile per la diagnostica o la risoluzione dei problemi. Gli amministratori, utilizzando un analizzatore di rete, possono identificare quali informazioni vengono trasmesse in modo chiaro e mettere in atto politiche per evitare che ciò accada.

L'unico modo per prevenire questo attacco è proteggere il traffico instradandolo tramite una VPN o qualcosa di simile.

Lo spidering si riferisce al processo in cui gli hacker conoscono intimamente i loro obiettivi per acquisire credenziali in base alla loro attività.

Il processo è molto simile alle tecniche utilizzate negli attacchi di phishing e di ingegneria sociale, ma comporta una quantità di lavoro molto maggiore da parte dell'hacker, anche se generalmente hanno più successo come risultato.

Il modo in cui un hacker potrebbe utilizzare lo spidering dipenderà dal bersaglio. Ad esempio, se l'obiettivo è una grande azienda, gli hacker potrebbero cercare di trovare documentazione interna, come manuali per principianti. Il tutto con l'obiettivo di avere un'idea del tipo di piattaforme e della sicurezza utilizzata dal target. È in queste che spesso trovi guide su come accedere a determinati servizi o note sull'utilizzo del Wi-Fi in ufficio.

Accade spesso che le aziende utilizzino in qualche modo password relative alla propria attività o al proprio marchio. Ciò è principalmente dovuto al fatto che li rendono più facili da ricordare per i dipendenti. Gli hacker sono in grado di sfruttarlo studiando i prodotti creati da un'azienda per creare una lista di possibili combinazioni di parole, che possono essere utilizzate per supportare un attacco di forza bruta.

Come nel caso di molte altre tecniche in questo elenco, il processo di spidering è normalmente supportato dall'automazione.

È importante ricordare che non tutto l'hacking avviene tramite una connessione Internet. In effetti, la maggior parte del lavoro si svolge offline. Ciò è dovuto principalmente al fatto che la maggior parte dei sistemi pone limiti al numero di tentativi consentiti prima di bloccare un account.

L'hacking offline di solito comporta il processo di decrittografia delle password utilizzando un elenco di hash probabilmente presi da una recente violazione dei dati. Senza la minaccia di rilevamento o restrizioni sulla forma della password, gli hacker possono prendersi il loro tempo.

Ovviamente, questo può essere fatto solo dopo aver lanciato con successo l'attacco iniziale, che si tratti di un hacker che ottiene privilegi elevati e accede a un database, utilizzando un attacco SQL injection o imbattendosi in un server non protetto.

Potresti pensare che l'idea di qualcuno che ti guardi alle spalle per vedere la tua password sia un prodotto di Hollywood, ma questa è una vera minaccia, anche nel 2021.

Le aziende più piccole sono forse quelle più a rischio, poiché non sono in grado di controllare i propri siti con la stessa efficacia di un'organizzazione più grande.

Gli esperti di sicurezza hanno recentemente segnalato una vulnerabilità nel processo di autenticazione utilizzato da WhatsApp. Gli utenti che desiderano utilizzare WhatsApp su un nuovo dispositivo devono prima inserire un codice univoco inviato tramite un messaggio di testo. Questo può essere utilizzato per ripristinare l'account di un utente e la cronologia chat da un backup. I ricercatori hanno scoperto che se un hacker è in grado di ottenere il numero di telefono di un utente, è in grado di scaricare l'app su un dispositivo pulito e inviare una richiesta per un nuovo codice, che, se rientra nel raggio d'azione. spiando, potrebbero copiare non appena arriva sul dispositivo dell'utente.

Se tutto il resto fallisce, un hacker può sempre provare a indovinare la tua password.

Sebbene siano disponibili molti gestori di password che creano stringhe impossibili da indovinare, molti utenti si affidano ancora a frasi memorabili. Questi sono spesso basati su hobby, animali domestici o famiglia, molti dei quali sono spesso contenuti nelle stesse pagine del profilo che la password sta cercando di proteggere.

Il modo migliore per rimuovere questa potenziale strada per i criminali è mantenere l'igiene delle password e utilizzare gestori di password, molti dei quali sono gratuiti.

Millennial classe 1997 laureata in Interpretariato e Comunicazione. Creativa e dinamica, amo l'arte in tutte le sue forme e sfaccettature. Il mio hobby preferito? Fare lunghe passeggiate in compagnia del mio amico a quattro zampe.

Do il mio consenso affinché un cookie salvi i miei dati (nome, email, sito web) per il prossimo commento.

Scrivici a redazione@sicurezza.net Esamineremo i tuoi articoli e, se ritenuti idonei e interessanti, li inseriremo volentieri nel portale a tuo nome. Ti stiamo aspettando!

Chi siamo Contatta un esperto Diventa un editore Sii protagonista Segnala Video Security Glossario Contatti

Security.net Via G. Zucchi 39 G - Int. 3 20095 Cusano Milanino (Mi) tel: (+39) 0289745374 - www.sicurezza.net Policy Privacy