"Quasi il tempo per il pranzo" pensò Cameron, mentre cliccava tramite la sua e-mail. "Revisione documento... Revisione del documento in corso... deposizione..." Le piaceva essere una paralegale, ma desiderava che la sua azienda assumesse altre persone per aiutare con il carico di lavoro.
Si fermò un attimo per guardare un messaggio di posta elettronica da Tailwind Toys che era arrivato il giorno prima. A quanto pare, avevano avuto un qualche tipo di violazione della sicurezza, ma non pensano che gli utenti malintenzionati hanno ricevuto informazioni di pagamento. "Fantastico", pensò con una risata:"Ora sanno quali sono i giocattoli preferiti di mio figlio".
Qualche tempo dopo ha incontrato la sua amica Akihito per pranzo. Tirando fuori la sedia Akihito lasciò casualmente il portachiavi sul tavolo.
"Ehi!" Davide esclamò: "Dove hai avuto quel fantastico cubo di puzzle sul portachiavi?".
"È piuttosto divertente", risponde Akihito. "Sono stati 5 dollari a Tailwind Toys".
"Ooh" disse Cameron, ricordando improvvisamente l'e-mail che aveva visto in precedenza. "Hai sentito che sono stati violati e hanno perso un sacco di informazioni sui clienti?"
"Davvero? Wow".
"Sì, sono sicuro che siano entusiasti di sapere che A Ethan piacciono i blocchi blu". Davide risponde ridendo.
"È tutto quello che hanno?"
"Oh, anche i soliti "Nomi dei clienti, indirizzi di posta elettronica, password". Ma a quanto pare non ci sono carte di credito". Davide ha risposto.
"Hmmm.. ma messaggi di posta elettronica e password?" Akihito sembrava interessato.
"Sì, hanno ottenuto la mia password davvero eccezionale. Probabilmente lo stanno usando tutti per se stessi ora! È lunga 23 caratteri e sembra scritta in Klingon. Uso questa cosa ovunque".
"Ovunque? Il tuo indirizzo e-mail e quella password sono l'account di accesso per la tua banca o i tuoi social media?"
"Bene... sì..." Davide ha risposto: "Ma questi sono siti diversi".
"Non importa". Akihito ha detto. "C'è un tipo di attacco chiamato "Credential stuffing". Quando i truffatori ottengono nomi utente e password in un sito, visitano tutti gli altri siti e provano le combinazioni di nome utente e password per vedere quanti di essi funzionano. Se si usa la stessa password ovunque e sanno che corrisponde al proprio indirizzo di posta elettronica, possono accedere agli account in qualsiasi sistema che usa lo stesso nome utente e la stessa password".
Ora Davide era preoccupato. "Credo che il mio indirizzo di posta elettronica sia il mio nome utente in molte posizioni, anche al lavoro. Cosa devo fare?"
"La verifica in due passaggi è attivata per questi siti?" Akihito ha chiesto.
"Sembra un problema, quindi non l'ho attivata". Ha ammesso.
"Oh. Bene, allora non perderei tempo e inizierei a cambiare le password, a partire dalla password di lavoro. Usare password univoche per tuttoe attivare la verifica in due passaggi ovunque sia possibile. Non ti inseriamo molto spesso nel secondo passaggio e vale la pena di impedire ai truffatori di infrangere il tuo conto corrente bancario o il tuo lavoro".
"Odio solo dover ricordare tutte queste password. So solo che faccio costantemente clic su "password dimenticata"". Si sentiva un po' sopraffatta dall'attività che ci attendeva.
"Ottieni un gestore delle password. Possono ricordare le password e persino suggerire nuove password complesse". Akihito ha suggerito. "Uso il browser Microsoft Edge per questo. Rende la mia vita molto più facile e persino la sincronizzazione con tutti i miei dispositivi". Disse, tenendo in mano lo smartphone.
"OK, credo di poter fare questo". Ha detto.
"Si dovrebbe andare a farlo ora, vado a pranzo". Ha detto di aver raggiunto il suo portafoglio. "Miss... può avere il suo ordine di andare?"
"Grazie bud, otterrà il prossimo". Disse, andando verso il bancone per raccogliere il suo cibo.
Riassunto
Il riutilizzo delle password è estremamente pericoloso. I criminali possono avere difficoltà a entrare nei sistemi della tua banca, ma basta un sito con una sicurezza debole per essere infranti e potrebbero ottenere il tuo nome utente e la password. In poche ore potrebbero provare la combinazione di nome utente e password a centinaia o migliaia di siti sul Web. È probabile che si imbatteranno in almeno un paio di altri siti in cui il nome utente e la password funzionano.
Se non si ha un'ulteriore protezione, ad esempio la verifica in due passaggi (a volte nota come autenticazione a più fattori)abilitata, potrebbero essere presenti negli account dell'utente prima ancora di sapere che il primo sito è stato violato.
Ecco cos'è un attacco di tipo credential stuffing.
Cosa avrebbe potuto fare meglio Cameron?
La cosa importante non è riutilizzare la password, indipendentemente dalla sua grandezza.
Poteva anche aver attivato la verifica in due passaggi ovunque fosse disponibile. In questo modo, anche se i maltesi ottenevano la password, sarebbe molto più difficile per loro accedere ai suoi account.
Cosa ha fatto Bene Davide?
Dopo aver compreso il potenziale pericolo, ha subito cambiato le password,ha abilitato la gestione delle password in Microsoft Edge e ha iniziato a usare la verifica in due passaggi.
Per altre informazioni, visita https://support.microsoft.com/security.
Se ti è piaciuto questo...
Se ti piace conoscere la sicurezza informatica in brevi storie come questa, potresti anche consultare Una storia di phish.È la storia di un dirigente dell'account che ha un incontro straziante con un attacco di phishing al lavoro.
