#haking

La cybersécurité est plus cruciale que jamais dans notre monde numérique en constante évolution. Les menaces en ligne sont de plus en plus sophistiquées, mettant en péril nos informations personnelles et la sécurité de nos données. Dans cet article, nous explorerons des étapes simples mais efficaces pour renforcer votre cybersécurité et assurer une protection en ligne robuste.

Les bases de la cybersécurité

La cybersécurité englobe toutes les mesures prises pour protéger les systèmes informatiques, les réseaux, et les données contre les cybermenaces. Ces menaces incluent les logiciels malveillants, les attaques de phishing, et d'autres formes de cyberattaques de plus en plus sophistiquées.

Pourquoi renforcer votre cybersécurité ?

Les conséquences des cyberattaques peuvent être dévastatrices. De la perte de données personnelles à l'usurpation d'identité, les risques sont nombreux. Renforcer votre cybersécurité devient ainsi une nécessité pour préserver la confidentialité de vos informations et garantir une utilisation sécurisée d'Internet.

Étapes essentielles pour renforcer la cybersécurité

Utilisation de mots de passe forts

L'une des premières lignes de défense est la création de mots de passe robustes. Optez pour des combinaisons complexes de lettres, chiffres, et caractères spéciaux. Évitez d'utiliser les mêmes mots de passe pour plusieurs comptes.

Activation de l'authentification à deux facteurs (2FA)

L'authentification à deux facteurs ajoute une couche supplémentaire de sécurité en exigeant une vérification secondaire après la saisie du mot de passe. Cette mesure renforce considérablement la protection de vos comptes en ligne.

Navigation sécurisée

Importance des connexions HTTPS

Assurez-vous que les sites web que vous visitez utilisent une connexion HTTPS. Cela garantit le chiffrement des données échangées entre votre navigateur et le site, renforçant ainsi la confidentialité.

Éviter les liens suspects dans les emails

Restez vigilant face aux emails suspects. Ne cliquez pas sur les liens ou ne téléchargez pas les pièces jointes provenant d'expéditeurs inconnus. La prudence en ligne est essentielle pour éviter les pièges des cybercriminels.

Gardez un œil sur vos comptes

Une surveillance régulière de vos comptes en ligne est cruciale. Réagissez rapidement à toute activité suspecte pour minimiser les éventuels dommages en cas de compromission de votre compte.

Sauvegardez régulièrement vos données

L'importance des sauvegardes fréquentes

Effectuez des sauvegardes régulières de vos données importantes. En cas de perte de données due à une cyberattaque, vous pourrez restaurer vos informations sans subir de pertes irréparables.

Réduction des risques liés aux pertes de données

Les sauvegardes régulières contribuent également à minimiser les risques de perte de données en cas de défaillance matérielle ou de suppression accidentelle.

Éducation en cybersécurité

Restez informé des dernières menaces en ligne et des meilleures pratiques en matière de cybersécurité. Une connaissance approfondie vous permettra de prendre des décisions éclairées pour protéger votre vie numérique.

Utilisation d'un logiciel antivirus fiable

Importance de la protection proactive

Installez un logiciel antivirus fiable et assurez-vous qu'il est constamment mis à jour. La protection proactive est essentielle pour détecter et éliminer les menaces avant qu'elles ne compromettent votre système.

Mise à jour constante du logiciel antivirus

Les mises à jour régulières du logiciel antivirus garantissent une protection efficace contre les nouvelles formes de logiciels malveillants en constante évolution.

Limitez les informations personnelles en ligne

Réduire les risques liés aux fuites de données

Évitez de partager des informations personnelles sensibles sur les réseaux sociaux. Ajustez les paramètres de confidentialité pour limiter l'accès à vos données personnelles.

Ajuster les paramètres de confidentialité sur les réseaux sociaux

Prenez le contrôle de votre vie privée en ajustant les paramètres de confidentialité sur les plateformes de médias sociaux. Limitez l'accès aux informations personnelles et partagez uniquement ce qui est nécessaire.

Conclusion

Un nuovo post è stato pubblicato su https://www.staipa.it/blog/browser-in-the-browser-nuova-tecnica-di-attacco/

“Browser in the Browser” nuova tecnica di attacco

I metodi di attacco, o più prosaicamente i modi che hanno per fregarti mentre navighi, sono molti e sono in continua evoluzione. Prima dell’avvento dei certificati SSL era difficile distinguere a colpo d’occhio un sito affidabile da uno non, poi nel tempo sono stati aggiunti degli accorgimenti tecnici come “il lucchettino” accanto all’indirizzo web

che viene messo dal browser nel momento in cui i certificati di sicurezza sono a posto, c’è anche la possibilità cliccando sul lucchetto stesso di avere maggiori informazioni

ma l’inventiva dei malfattori della rete (Cos’è un Hacker e cosa un Cracker?: https://short.staipa.it/fbt12) è sempre all’opera ed è bene conoscere un nuovo tipo di attacco che sembra poter bypassare questo genere di controllo ed è sorprendentemente semplice.

Si applica tipicamente a quei siti che chiedono di fare accesso con l’account di un social network o di google. Il classico “Accedi con Facebook” o “Accedi con Google”. Normalmente questi siti aprono una piccola finestra popup in cui inserire i dati.

L’attacco “Browser in the Browser” è piuttosto semplice. Il sito apre un popup simile a questo, in cui però la finestra del browser viene ridotta in modo da non mostrare l’indirizzo web e il famoso lucchetto. Al suo posto però viene messa un’immagine che rappresenta esattamente il lucchetto e l’indirizzo del sito facendo risultare visivamente indistinguibile la finestra falsa da una vera. La vittima inserirà quindi i dati e questi verranno salvati dall’attaccante.

Questo tipo di attacco è già stato usato almeno una volta per rubare utenze della piattaforma di giochi Steam (https://short.staipa.it/7mz6k)

In questo video vengono spiegati tutti i semplici passaggi per creare un sito che rubi una password con questo sistema, e può essere utile per capirne meglio la tecnica.

Un nuovo post è stato pubblicato su https://www.staipa.it/blog/cose-il-social-engineering/

Cos’è il social engineering?

Nei miei articoli ho parlato più e più volte di sicurezza informatica, di haking, di problemi di privacy, di truffe. Una cosa che ho spesso detto è che la protezione più importante è la propria testa: ragionare prima di fare qualunque cosa. Il motivo è semplicemente perché è su questo che si basa la grande maggioranza degli attacchi. Informatici e no.

Cos’è il social engineering?

Il social engineering è la capacità di trovare un punto debole dell’utente e sfruttarlo a proprio vantaggio facendogli fare qualcosa di sbagliato. In genere, come già ampiamente discusso per le fake news (Come riconoscere una Fake News? Parte 3: Come sono fatte https://wp.me/pQMJM-2bD) e per gli altri attacchi in genere il social engineering fa leva sulle nostre debolezze con lo scopo di farsi rivelare informazioni che possono in un secondo tempo essere usate per un attacco di altro genere.

Alcuni attacchi di social engineering possono richiedere settimane o mesi di analisi in cui l’attaccante cercherà di ricavare il più possibile informazioni sulla vittima, anche attraverso tecniche che abbiamo visto in Cosa può scoprire una persona dai miei profili social? (https://wp.me/pQMJM-2ab). In una seconda fase l’attaccante verifica se e quanto siano attendibili tali informazioni, e nella terza fase verrà effettuato l’attacco reale. Spesso tuttavia le prime due fasi vengono saltate e si effettua un attacco alla cieca sulla massa nella speranza di trovare vittime in maniera casuale, come spiegato in Perché un criminale informatico dovrebbe scegliere proprio me? (https://wp.me/pQMJM-22w)

Quali strategie usa chi fa social engineering

Nel social engineering vengono usare prevalentemente tecniche di tipo psicologico su specifiche debolezze tipiche. Ognuna di queste debolezze, se conosciuta, può aiutare la vittima a riconoscere un possibile attacco. Le tecniche sono principalmente

Autorevolezza: l’informazione o la richiesta vengono mandate da un messaggio tipico di determinate autorità: polizia postale, ente governativo, banca, responsabile alto in grado a lavoro… più l’attaccante è in grado di simulare un messaggio reale, magari con loghi o toni tipici più la vittima si sentirà vulnerabile e intimorita con il rischio di cedere alla richiesta. Si applica spesso a casi di phishing dove la parte più importante è appunto che la mail o la richiesta siano convincenti.

Senso di colpa: se l’attaccante riesce a far sentire la vittima in colpa lo spingerà a tentare di risolvere una situazione spiacevole con ogni mezzo. Si tratta ad esempio del caso in cui si minacci la vittima di rendere pubbliche navigazioni su siti pornografici, relazioni segrete scoperte tramite mail o altro. In questo caso l’attaccante non deve avere necessariamente in mano delle prove per tentare l’attacco, a volte è sufficiente dare per scontato che qualcosa da nascondere esista per scoprire che davvero c’era qualcosa da nascondere.

Panico: quando si spaventa una persona a sufficienza è facile fargli fare qualcosa di inconsulto che non farebbe normalmente. Si può ottenerlo spaventando in merito a qualche pericoloso virus informatico e inviando un programma che lo risolverebbe, si può ottenerlo inviando informazioni false. Il limite è ovviamente la fantasia. La cosa tipica sono gli enormi banner su alcuni siti che vi terrorizzano dicendo che il vostro sistema è infetto.

Ignoranza: spesso basta usare della terminologia complicata per far credere di sapere di cosa si sta parlando. In questo modo è facile convincere qualcuno che ha bisogno di qualcosa che non conosce e farglielo installare. Hai fatto l’upgrade della release del firmware del firewall, mi sono sentito dire una volta. Nel dubbio è sempre meglio chiedere un consiglio a qualcuno di cui ci si fida che rischiare di cadere in pericolose truffe.

Desiderio: il desiderio spesso fa fare gravi errori, ma per fare un esempio dovrò svelare un terribile segreto di molte persone che ognuno di noi conosce. L’esempio più tipico di un attacco da desiderio è quello che negli scorsi anni ha portato molti profili Facebook di insospettabili a pubblicare immagini pornografiche. Non si trattava di un virus come i malcapitati poi raccontavano ma il meccanismo funzionava in maniera piuttosto semplice. La vittima vedeva sul profilo di un amico un link a un sito con immagini provocanti, ci cliccava, il sito chiedeva le credenziali di Facebook, la vittima faceva accesso con le credenziali e queste venivano rubate. Da quel momento sul suo profilo comparivano immagini e link provocanti e qualcun’altro ci cascava. E così, di desiderio in desiderio, il finto virus si estendeva come una malattia venerea informatica.

Avidità: Offerte imperdibili, eredità da lontani parenti sconosciuti, occasioni irripetibili. Un caso famoso in cui cadono ancora moltissime persone è quello in cui l’azienda Ray-Ban metterebbe in offerta occhiali a bassissimo costo, funziona in maniera simile al caso spiegato sulle immagini provocanti e rubava i dati di chi effettua l’accesso o scarica il programma. Altri casi sono quelli di chi sembra regalare buoni amazon, o la famosa truffa alla nigeriana discussa in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD)

Compassione, gratitudine e buoni sentimenti: un modo per acquisire fiducia in una persona è quello di fingersi parte di un help desk e voler fornire aiuto, la vittima rassicurata sarà disposta a fidarsi. Un altro è quello di fingersi una persona innamorata o in difficoltà come discusso in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD). In questo caso la leva dei buoni sentimenti può facilmente convincere a fare azioni sbagliate, donazioni economiche o altro. Un attacco di massa di qualche anno fa, nel 2000 è stato ILOVEYOU, si diffondeva semplicemente attraverso mail con allegato apparentemente un file di testo dal titolo “LOVE-LETTER-FOR-YOU.TXT”, ovviamente conteneva un eseguibile con malware e si è diffuso moltissimo grazie alla speranza nei cuori di tanti utenti.

Quali tipologie di attacco esistono nel fa social engineering

Le strategie sono pressoché infinite e dipendono dal contesto. Molti si aspetterebbero che tutte le strategie prevedano l’utilizzo del computer o dello smartphone ma non è così. Proverò ad elencare alcuni esempi per rendere maggiormente l’idea

Baiting: vi viene offerto qualcosa di generalmente gratuito allo scopo di farvi installare qualcosa di dannoso. Versioni di software sbloccati, alterativi, non ufficiali ma con miglioramenti… un po’ la vecchia idea di farvi firmare per comprare una enciclopedia ma farvi pagare un mutuo.

Phishing e vishing: ne abbiamo già parlato, in generale è il concetto di inviare una mail falsa per convincere a inserire i propri dati o i dati di un account in qualche sito malevolo. Ma non è molto diverso se la cosa avviene al telefono fingendosi un operatore energetico, o fingendosi un operatore bancario, in questo caso si chiama vishing. Se vi chiedono dei dati, non vanno forniti, come abbiamo visto in Perché é necessaria un’educazione all’uso delle tecnologie (https://wp.me/pQMJM-2bq)

Pretexting: è quando si cerca di impressionare la vittima per convincerla a fare qualcosa. Ad esempio, una falsa mail della polizia postale che ti chiede di effettuare qualche azione, ma sarebbe lo stesso se vi telefonasse a lavoro qualcuno dicendo di essere stato mandato dal vostro responsabile per farvi fare un bonifico, o qualche strana azione non consueta.

Scareware: provare a convincere la vittima che il dispositivo è infetto da virus per convincerlo a installare un software o chiamare un servizio che infetterà davvero il sistema o ne ruberà i dati.

Il social engineering, tuttavia, è molto di più. Io potrei aver lavorato per anni in un’azienda che mi ha licenziato malamente e potrei usare le mie conscience, o fornirle ad altri per permettere a qualcuno di fare un furto, potrei chiacchierare con una persona e capire delle sue informazioni da usare successivamente per rubare o convincerlo a fare qualcosa, con le informazioni di cui ho parlato in Cosa può scoprire una persona dai miei profili social? (https://wp.me/pQMJM-2ab) sarebbe social engineering usare quelle informazioni per rapire un figlio, o entrare in casa, si tratta di social engineering quando I social possono influenzare la mia mente (https://wp.me/pQMJM-27V), si tratta di social engineering quando qualcuno crea un profilo falso come in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD) truffarmi, si tratta di social engineering quando fornite la vostra password dell’account del PC al vostro informatico di (s)fiducia e avendole tutte uguali gli avete regalato anche l’accesso alla vostra mail, il vostro conto bancario, le vostre foto private.

Come riconoscere il social engineering

Purtroppo, non è semplice. Il più delle volte, tuttavia, questo genere di tentativi sono sufficientemente generici e non puntati sulla nostra persona da lasciare qualche scappatoia. Se riceviamo consigli o proposte di aiuto non richieste e di cui non abbiamo davvero bisogno la cosa deve farci insospettire, soprattutto quando ci viene chiesto di cliccare da qualche parte, installare qualcosa o inserire dati. O nel mondo reale ci viene fatto firmare qualcosa, o ci vengono chiesti dati personali o su qualche servizio che usiamo. Qualunque richiesta di password o di dati finanziari è sicuramente una truffa perché gli istituti legittimi non chiedono mai dati di questo genere. Un operatore energetico o telefonico, se è il vostro, avrà già tutti i dati a disposizione.

Leggendo questo articolo ti sono venute delle domande a cui potrei rispondere nei prossimi articoli?

Premi qui per fare una domanda!

Il tuo nome La tua email La tua domanda Autorizzo l'utilizzo dei dati inseriti solo al fine di una eventuale risposta alla domanda inviata. Nome e indirizzo mail non verranno pubblicati né in un articolo, né altrove.

Qual'è la somma del numero 8 e del numero 6?