La brutta notizia è che ci sono parecchie persone là fuori che vogliono le vostre password. La notizia ancora più brutta è che hanno un sacco di motivi per volerle, ma nessuno di questi è rassicurante. Cerchiamo di capire insieme chi sono questi brutti ceffi, perché mai vogliono le vostre password, come possono rubarvele e in che modo potete contenere l’eventuale impatto di un colpo andato a segno.
Per semplificarci la vita, li suddivideremo in tre categorie principali: Stati-nazione, criminali informatici e insider fraudolenti. Anche se ogni categoria può avere motivi diversi, ciò che le accomuna è lo scopo finale: ottenere l’accesso a dati e/o sistemi riservati.
Stati-nazione
Questo termine è un modo ricercato per riferirsi ai governi nell’ambito dell’informatica (come delle scienze politiche e degli affari internazionali). Vogliono le password per poter accedere ai sistemi, ai dati o a entrambi. Lo scopo di questo accesso può essere rubare quelle informazioni, mantenere una presenza stabile in quei sistemi, una combinazione delle due cose oppure, in casi relativamente rari, distruggere i dati e/o i sistemi in modo permanente. Quest’ultimo scopo può avere conseguenze devastanti, specialmente se i dati o i sistemi in questione sono collegati a infrastrutture critiche (immaginate, ad esempio, se venisse disattivata l’intera rete elettrica).
Criminali informatici
Il nome la dice tutta, qui. Il motivo in questo caso è facile da indovinare: sono criminali spinti da un movente finanziario, quindi vogliono soldi. Con le password, possono fare soldi in due modi: venderle direttamente (in media, una coppia di credenziali vale circa $ 10 sul dark web) oppure usarle per accedere agli account o ai sistemi e poi generare profitti in tanti modi diversi, come infettando con ransomware per chiedere un riscatto, esfiltrando dati a scopo di estorsione o ancora, nel caso di account finanziari, prosciugando completamente i conti.
Insider fraudolenti
Anche in questo caso, il termine la dice lunga; ma, per chi non mastica l’inglese, si tratta di persone che lavorano presso un’azienda e mirano a procurarle un danno dall’interno accedendo abusivamente alle sue reti. Potrebbero volere le vostre password per attuare comportamenti illeciti attraverso i vostri account e farvi passare per i colpevoli, complicando le attività forensi; oppure potrebbero volerle perché avete accesso ad aree riservate della rete aziendale, che includono informazioni sensibili di carattere finanziario, ad esempio, oppure i sistemi di controllo industriali, con conseguente possibilità di danni materiali.
Come possono rubarvele?
Vi sono alcune caratteristiche che accomunano il modo in cui questi autori di minacce possono tentare di rubarvi le password, come ad esempio usando commodity malware che acquistano online oppure comprando le vostre credenziali direttamente da un fornitore che le vende sul dark web dopo una violazione di dati. Ma vi sono anche alcune differenze: esaminiamole insieme!
Gli Stati-nazione possono contare sul numero maggiore di risorse umane e finanziarie, dunque hanno la più ampia possibilità di scelta. Spesso sviluppano i propri malware specifici, che sfruttano vulnerabilità software nuove o non ancora divulgate, per ottenere l’accesso a reti o dispositivi e trafugare password. Possono anche colpire qualcuno direttamente con un’e-mail di spear phishing confezionata ad arte per indurlo a fornire le proprie password senza rendersene conto. E possono perfino arrivare a prendere di mira un fornitore di servizi a monte, come un fornitore di servizi cloud, per accedere in blocco a un elevato numero di account e credenziali.
I criminali informatici, come potete immaginare, adottano un approccio più imprenditoriale alla questione. Alcuni gruppi si dedicano principalmente a ottenere le password tramite infostealer o e-mail di phishing, per poi venderle sul dark web (per saperne di più sugli infostealer, consultate l’
articolo dedicato sul nostro blog). Altri sfruttano malware creati da gruppi di hacker che sviluppano kit di phishing o infostealer e li vendono come servizi, alla stregua dei software per ufficio. Queste offerte malware come servizio (ovvero MaaS, acronimo di “Malware as a Service”) sono progettate per consentire anche a chi non ha molte conoscenze tecniche di configurare e lanciare campagne di phishing o malware con estrema facilità, anche grazie alle interfacce pulite che semplificano le procedure di attacco.
Gli insider fraudolenti sono avvantaggiati rispetto alle altre categorie prese in esame perché, solitamente, hanno già accesso agli uffici e alle reti di un’azienda. Hanno la possibilità di scrutare la vostra scrivania alla ricerca di password appuntate oppure le cartelle condivise sulla rete aziendale per vedere se qualcuno ha salvato password in un sito SharePoint o in un’altra area con accesso in comune. Possono pure verificare la presenza di password codificate all’interno degli archivi di codice e l’intento è sempre lo stesso: accedere illecitamente per nuocere in qualche modo al datore di lavoro e/o ai colleghi.
Come potete contenere i danni?
La risposta non vi sorprenderà affatto: usando un gestore di password! Con uno strumento che vi aiuta a gestire le password, ne avete una sola da ricordare per l’accesso principale, potete creare e salvare password univoche e complesse per ciascuno dei vostri account e, se una password viene compromessa in una violazione, potete facilmente crearne una nuova. LastPass inoltre offre a tutti i clienti il monitoraggio gratuito delle credenziali. Se attivate il monitoraggio del dark web, il servizio confronta costantemente le vostre credenziali con quelle violate presenti in un’apposita base di dati e vi informa se rileva una corrispondenza in modo che possiate intervenire in modo proattivo per proteggervi. Nell’eventualità che le vostre credenziali vengano compromesse, avere password univoche per ogni account contribuisce a ridurre i danni al minimo perché limita ciò che un malintenzionato può farci se riesce a impossessarsene. Ci troviamo in un’epoca in cui ritrovarsi con credenziali compromesse diventa solo una questione di tempo – non di probabilità – quindi l’approccio migliore è farsi trovare pronti quando arriverà il momento. E noi siamo al vostro fianco per aiutarvi ad affrontarlo al meglio!
