“Gli esseri umani sono molto vulnerabili.” Lo afferma Yuliya Novikova, responsabile della Fingerprint Intelligence della società di sicurezza informatica Kaspersky, dopo uno studio esaustivo su 193 milioni di password che ha dimostrato che solo due su dieci sono sicure. La maggior parte può essere trovata in un’ora e molti in appena un minuto. E il costo è minimo, i canali del rete oscura (la rete nascosta ai motori di ricerca convenzionali) e Telegram dove si vendono le armi del crimine informatico, offrono pacchetti “tutto compreso”: programmi, server cloud e dati sulle potenziali vittime a soli 80 euro a settimana.
“I nostri dati sono come le nostre case. Lo lasceresti aperto a chiunque possa entrare?”, chiede Lilian Balatsou, esperta di linguistica dell’intelligenza artificiale e dottore in Neuroscienze Cognitive dell’Università di Bangor durante una riunione della società di sicurezza informatica ad Atene. La risposta, dopo lo studio di Kaspersky, è sì, lasciamo la casa aperta la metà del tempo.
Novikova spiega che il 40% degli attacchi (un terzo dei quali seguiti da rapimenti ed estorsioni) iniziano con un account compromesso. I dipendenti e i fornitori delle aziende dotati di nome utente e password per operare riconoscono di violare le norme aziendali sulla sicurezza, per noia o svolgendo i propri compiti senza ulteriori complicazioni.
In questo modo, i possessori delle chiavi di casa ne abusano e lasciano la serratura aperta o si lasciano copiare, più di una volta nel 21% dei casi. “L’errore umano è la principale causa di incidenti”, avverte Novikova, precisando che l’anno scorso sono stati infettati 10 milioni di sistemi, il 32% in più rispetto all’inizio del decennio.
Secondo i dati di Kaspersky, il 45% delle password vengono compromesse in meno di un minuto, il 14% in meno di un’ora e un altro 14% in più in un giorno o meno di un mese. In questo modo, solo poco più di due chiavi di accesso su dieci ai sistemi critici sono robuste.
Il resto utilizza nomi o parole comuni o termini del dizionario che, anche se alterati da numeri o segni che sostituiscono le lettere, sono facilmente vulnerabili. Non c’è nessun pirata dietro (pirata) passano il tempo a decifrarli. “I criminali informatici sono molto creativi, ma anche pigri”, afferma l’esperto dell’azienda di sicurezza, sottolineando che i canali di vendita di armi per attacchi informatici offrono già, per 80 euro a settimana, pacchetti di abbonamento che includono non solo i database delle vittime vulnerabili, ma anche i programmi e i server per poterli eseguire senza una propria infrastruttura. Questi sistemi sono in grado di violare anche i protocolli di autenticazione a più fattori, che facilitano l’accesso di un utente solo quando fornisce due o più prove diverse della propria identità.
Soluzioni
Marco Preuss, vicedirettore del Global Research and Analysis Team (GReAT) e capo del Kaspersky Europe Research Center, è diffidente anche nei confronti dei sistemi di identificazione biometrica, che a suo avviso implicano anche l’uso di informazioni personali.
In questo modo, gli esperti che hanno partecipato all’incontro di Atene optano per la generalizzazione dei gestori di password, programmi in grado di memorizzare in modo sicuro utenti unici e codici di accesso e persino generarli in modo robusto per ogni utilizzo.
Oltre a queste, le tattiche più efficaci sono: utilizzare una password diversa per ogni servizio in modo che, in caso di furto, venga compromesso un solo account, utilizzare parole insolite o confonderle, verificare la robustezza di quella scelta utilizzando online servizi, impedire loro di rispondere ai dati personali a cui gli hacker potrebbero avere accesso (come nomi personali e dati accessibili tramite social network) e abilitare l’autenticazione a due fattori (2FA).
Rafael Conde del Pozo, direttore dell’innovazione di Softtek, aggiunge un ulteriore elemento di rischio: i telefoni. Come spiega, “i dispositivi mobili sono diventati estensioni di noi stessi e richiedono una protezione completa contro le vulnerabilità emergenti”.
In questo senso propone di dotarli di avanzati sistemi di autenticazione biometrica, diffusi nel mobile payment; comportamentale, che analizza modelli che non si adattano all’utente; e intelligenza artificiale per identificare anomalie, crittografare i dati e limitare l’accesso.
Per quanto riguarda le vulnerabilità mobili, la divisione Threat Intelligence di Check Point ha identificato diverse campagne che sfruttano Rafel RAT, uno strumento open source per dispositivi Android sviluppato per campagne di sicurezza. phishing (inganno) attraverso messaggi e conversazioni allo scopo di consentire all’utente di installare applicazioni dannose mascherate sotto falsi nomi e icone. Richiedono autorizzazioni estese, visualizzano pagine Web legittime o le imitano, quindi monitorano segretamente il dispositivo per esfiltrare i dati.
Le misure di sicurezza coinvolgono tutti i tipi di programmi, comprese le applicazioni di social networking. La stessa società di sicurezza, dopo aver rilevato accessi illegali tramite messaggi diretti su TikTok, consiglia di stabilire password complesse, configurando l’autenticazione a due fattori attraverso la pagina di sicurezza della rete per attivare la funzione “accedi con verifica” e segnalare eventuali attività strane. Una vulnerabilità in questa rete ha recentemente colpito gli account dei media e personaggi famosi.
Puoi seguire Tecnologia EL PAÍS In Facebook E X oppure iscriviti qui per ricevere il nostro notiziario settimanale.
