"Quasi ora di pranzo" pensò Cameron, facendo clic attraverso la sua e-mail. "Revisione del documento... revisione del documento... riposizionare..." Le piaceva essere un paralegale, ma voleva che la sua azienda assumesse altre persone per aiutare con il carico di lavoro.
Si fermò un attimo a guardare un messaggio di posta elettronica da Tailwind Toys che era arrivato il giorno prima. A quanto pare, avevano avuto una sorta di violazione della sicurezza, ma non pensano che gli aggressori hanno avuto informazioni di pagamento. "Ottimo", pensò con una risata"Ora sanno cosa sono i giocattoli preferiti di mio figlio."
Poco dopo incontrò la sua amica Akihito per pranzo. Tirando fuori la sedia Akihito casualmente caduto il portachiasci sul tavolo.
"Ehi!" Cameron esclamò: "Dove hai preso quel fantastico cubo di puzzle sul portachiavi?".
"È abbastanza divertente", rispose Akihito. "Era $5 a Tailwind Toys."
"Ooh" Disse Cameron, ricordando all'improvviso l'e-mail che aveva visto prima. "Hai sentito che sono stati violati e hanno perso un sacco di informazioni sui clienti?"
"Davvero? Wow.
"Sì, sono sicuro che siano entusiasti di sapere che A Ethan piacciono i blocchi blu." Cameron rispose ridendo.
"È tutto quello che hanno?"
"Oh, anche i soliti "Nomi dei clienti, indirizzi e-mail, password". Ma a quanto pare nessuna carta di credito. Cameron rispose.
"Hmmm.. ma e-mail e password?" Akihito sembrava preoccupato.
"Sì, hanno ottenuto la mia password davvero impressionante. Probabilmente stanno tutti usando per se stessi ora! È lunga 23 caratteri e sembra che sia stata scritta in Klingon. Io uso questa cosa ovunque.
"Ovunque? L'indirizzo e-mail e la password sono l'accesso per la tua banca o i tuoi social media?"
"Beh... Sì..." Cameron rispose: "Ma questi sono siti diversi".
"Non importa." Akihito ha detto. "C'è una sorta di attacco chiamato 'Credential stuffing'. Quando i truffatori ottengono nomi utente e password in un sito, vanno in giro per tutti gli altri siti e provare quelle combinazioni di nome utente e password per vedere quanti di loro funzionano. Se si usa la stessa password ovunque e questi sappiano che è associata al tuo indirizzo di posta elettronica, potrà accedere ai tuoi account in qualsiasi sistema che usa lo stesso nome utente e la stessa password".
Adesso Cameron era preoccupato. "Credo che il mio indirizzo e-mail sia il mio nome utente in molti posti, anche al lavoro. Cosa devo fare?"
"Hai attivato la verifica in due passaggi per quei siti?" Akihito chiese.
"Sembra una seccatura, quindi non l'ho acceso." Ha ammesso.
"Oh. Bene, allora non perderei tempo e inizierei a cambiare quelle password, a partire dalla tua password aziendale. Usa password univoche per tutto e dovresti attivare la verifica in due passaggi ovunque sia possibile. Non è davvero bug per il secondo passo molto spesso e vale la pena di impedire ai truffatori di irrompere nel tuo conto bancario o nel tuo lavoro."
"Ugh, odio solo dover ricordare tutte quelle password. So solo che faccio costantemente clic su "Password dimenticata". Si sentiva un po' sopraffatta dal compito che ci aspettava.
"Ottieni un gestore di password. Possono ricordare le password per te e anche suggerire nuove password complesse". Akihito ha suggerito. "Per questo uso il browser Microsoft Edge. Mi rende la vita molto più facile e si sincronizza persino con tutti i miei dispositivi. Ha detto, tenendo in mano il suo smartphone.
"Ok, credo che potrei farlo." Ha detto.
"Dovresti andare a farlo ora, io vado a pranzo." Ha detto, cercando di trovare il portafoglio. "Signorina... può avere il suo ordine di andare?
"Grazie amico, otterrò il prossimo." Ha detto, andando verso il bancone per raccogliere il suo cibo.
Riassunto
Il riutilizzo delle password è estremamente pericoloso. I criminali possono avere difficoltà ad irrompere nei sistemi della tua banca, ma basta un sito con sicurezza debole per farsi suddividere e potrebbero ottenere il tuo nome utente e la password. Nel giro di poche ore possono provare la combinazione di nome utente e password a centinaia, o migliaia, di siti Web. È probabile che si imbattano in almeno un paio di altri siti in cui il nome utente e la password funzionano.
Se non hai una protezione aggiuntiva, ad esempio la verifica in due passaggi (a volte nota come autenticazione a più fattori) abilitata, potrebbero essere presenti nei tuoi account prima ancora di sapere che il primo sito è stato violato.
Ecco cos'è un attacco credential stuffing.
Cosa avrebbe potuto fare meglio Cameron?
La cosa più grande è non riutilizzare la password, indipendentemente da quanto sia stata grande una password.
Avrebbe anche potuto attivare la verifica in due passaggi ovunque fosse disponibile. In questo modo, anche se i cattivi ricevessero la password, sarebbe molto più difficile per loro entrare nei suoi account.
Che cosa ha fatto Cameron nel modo giusto?
Una volta compreso il potenziale pericolo, ha subito cambiato le password, abilitato la gestione delle password in Microsoft Edge e iniziato a usare la verifica in due passaggi.
Per altre informazioni, visita https://support.microsoft.com/security.
Se ti è piaciuto questo...
Se ti piace imparare la sicurezza informatica in brevi storie come questa, potresti anche voler dare un'occhiata a Una storia di phishing.È la storia di un account executive che ha un incontro straziante con un attacco di phishing al lavoro.
