- Il confronto
- Tutorial
- Dietro l'hack: come i giornalisti tecnologici sono stati hackerati (in nome delle indagini)
Il team di ricerca di CyberNews.com ha recentemente condotto un esperimento di hacking con tre giornalisti volontari del Regno Unito per mostrare quanto sia facile per i criminali sfruttare i dati personali. Ecco come l'hanno fatto e come evitare che accada a te. Sebbene la maggior parte delle persone sappia che il crimine informatico è in aumento, molti di noi sono ancora aperti agli attacchi. Analisi recenti suggeriscono che le violazioni dei dati costano alle organizzazioni in media quasi 4 milioni di euro, con oltre 17,000 euro persi ogni minuto in tutto il mondo a causa dei soli attacchi di phishing. Parte del problema è che molte persone credono di proteggere già i propri dati personali e che solo gli attacchi che coinvolgono metodi sofisticati e di alto livello possono causare danni. Informazioni sull'autore Edvardas Mikalauskas è uno scrittore e ricercatore senior presso CyberNews.com Questo è sbagliato: infatti, siamo tutti vulnerabili alle forme di attacco di base e potremmo fare di più per proteggere i nostri dati. Per dimostrare questo punto, abbiamo recentemente trascorso sei settimane cercando di hackerare tre giornalisti del Daily Mail, con il loro permesso ovviamente. Erano giornalisti esperti, ma siamo stati in grado di dimostrare che sfruttare i loro dati pubblicamente disponibili era relativamente facile. La fonte di dati più utile per i criminali sono le informazioni personali, che possono essere utilizzate per rubare la tua identità online o violare le tue credenziali di accesso. Le persone spesso rendono questi dati liberamente disponibili attraverso account di social media, profili pubblici e persino pagine di raccolte fondi passate. Quasi tutti noi siamo colpevoli di oversharing. Oltre a ciò, gli hacker possono anche sfruttare le precedenti violazioni dei dati dei servizi online per trovare i dati di cui hanno bisogno. Nella nostra esperienza, troviamo rapidamente numeri di telefono, dettagli dell'account e-mail, indirizzi di casa, date di nascita, nomi completi di familiari, nomi di animali domestici e vecchie password. . Alcuni dati, come i numeri di cellulare, possono essere raccolti reimpostando le password per diversi account. Ad esempio, un ripristino di Facebook ci ha fornito le ultime due cifre del numero di telefono allegato, PayPal fornisce un totale di sei cifre e così via. Questi dati sono stati più che sufficienti per lanciare un attacco ai giornalisti. Usando gli sforzi combinati di attacchi di phishing, reimpostazione della password con forza bruta, campagne di vishing e scambio di sim, il nostro team investigativo ha tentato di violare la sicurezza online dei tre giornalisti attraverso tecniche di cappello bianco.
Che aspetto hanno queste tecniche nella pratica?
Il phishing è un metodo che sfrutta la nostra fiducia in organizzazioni come HMRC o una banca. Gli attori malintenzionati tentano di ottenere in modo fraudolento informazioni personali fingendosi fonti attendibili, utilizzando comunicazioni online come e-mail e messaggi. Questo metodo spesso indirizza gli utenti a siti Web fraudolenti chiedendo alle persone di inserire i dettagli di accesso e altre informazioni personali, che vengono poi rubate dagli hacker. La reimpostazione della password con la forza bruta comporta l'ipotesi di una password provando possibili combinazioni di caratteri. Sebbene si tratti di un metodo piuttosto lento, poiché il malintenzionato avrebbe bisogno di conoscere i parametri della password (ad esempio caratteri maiuscoli e minuscoli, simboli speciali, lunghezza della password) per affinare la ricerca, c'è comunque un modulo praticabile per hackerare gli account. Un metodo particolarmente inquietante è il vishing, ovvero il phishing vocale, in cui un hacker si pone come fonte attendibile durante una telefonata diretta mirata. È probabile che i truffatori utilizzino lo spoofing dell'ID chiamante o un sistema automatizzato per far sembrare il numero affidabile, rendendone più difficile la tracciabilità. Lo scopo della comunicazione è ottenere informazioni personali allo scopo di rubare un'identità o denaro. Lo scambio di SIM è un tipo di truffa e furto di account che prende di mira i punti deboli dell'autenticazione a due fattori (2FA). In questo tipo di frode, gli attori sfruttano i fornitori di servizi di telefonia mobile e utilizzano i dati personali ottenuti in precedenza per impersonare la vittima. Una volta implementate le misure di sicurezza, gli hacker richiederanno l'invio di una scheda SIM secondaria, che li aiuterà a bypassare l'autenticazione dei social media, delle banche e degli account di posta elettronica.
Come hackeriamo i giornalisti?
Utilizzando il numero di cellulare ottenuto per un obiettivo, la nostra campagna di vishing ha portato a una conversazione telefonica diretta tra uno dei giornalisti e uno dei nostri ricercatori che si fingeva un rappresentante di PayPal: un tentativo di accedere al suo conto. Il giornalista si è insospettito all'ultimo momento e questa scappatoia è stata finalmente sventata poco prima di rivelare i dati del suo account personale. Nell'esperienza di scambio della SIM, il nostro team ha finto di essere due giornalisti e ha parlato con il loro operatore di telefonia mobile per ordinare una scheda SIM secondaria, chiedendo che fosse spedita al nostro indirizzo. Questo metodo ha richiesto più di 20 tentativi per metterlo al sicuro perché non disponevamo di tutti i dati personali necessari per il controllo di sicurezza. Alla fine, abbiamo trovato un impiegato del servizio clienti che si è fidato di noi e ha accettato di inviare la scheda SIM. Ricevendo e utilizzando questa scheda SIM, il nostro team potrebbe ignorare l'autenticazione del telefono per ristabilire le connessioni a più account per un rapido accesso ad essi. A questo punto, il nostro status di hacker etici ci ha impedito di utilizzare altri metodi preferiti dai criminali. Non abbiamo dubbi che le comuni tecniche criminali, come il controllo dei precedenti e il ricatto, avrebbero rapidamente ottenuto ancora più informazioni e reso relativamente facile ingannare queste persone. Quindi, come puoi ridurre il rischio di un attacco che sfrutta i tuoi dati?
Come proteggersi meglio
L'azione più importante è abilitare l'autenticazione a due fattori (2FA) su tutti i tuoi account, che richiede due passaggi di approvazione separati quando accedi ai tuoi account. Questo può essere fatto per i tuoi account social su Instagram, Facebook e Twitter, piattaforme di messaggistica come WhatsApp, così come la tua banca personale, la gestione dei file e gli account di gioco. Qualsiasi account in cui sono archiviati i dati personali deve avere 2FA. A meno che tu non riesca a ricordare password lunghe, individuali e univoche per ciascuno dei tuoi account, l'utilizzo di un gestore di password affidabile è fondamentale per garantire la sicurezza. I gestori di password aiutano gli utenti a creare password univoche e a memorizzarle in modo sicuro per la massima efficienza e privacy. Infine, un passaggio semplice ma efficace per proteggere le tue informazioni: mantieni privati i tuoi profili sui social media. Come abbiamo sottolineato durante questa esperienza di hacking, più dati personali sono liberamente disponibili, più facile è per gli hacker sfruttarli. Pubblicando liberamente informazioni personali, per quanto innocenti possano sembrare in quel momento, stai aumentando i pezzi del puzzle che gli hacker possono raccogliere sulla tua vita.