Mai condividere i codici di verifica

Consigli Minacce

“Non condividete questo codice con altre persone!” E quando si parla di codici usa e getta o password, questo consiglio sembra abbastanza scontato, vero? Eppure…

Un’educata richiesta di aiuto

Recentemente ci siamo imbattuti in una nuova truffa di phishing. Una persona riceve un SMS con il seguente messaggio (grossomodo):

“Ciao, non mi conosci ma una volta il tuo numero di telefono apparteneva a me. Sto cercando di accedere a un vecchio account collegato a questo numero e mi dice che verrà inviato un codice di verifica via SMS a questo numero. Vorrei sapere se per te non è un problema se faccio richiesta di questo codice e se poi potessi inviarmelo. Se hai qualcosa in contrario, non fa nulla”.

È vero che, se non si usa un numero di telefono per molto tempo, l’operatore telefonico potrebbe disattivarlo e venderlo a qualcun altro. Per cui esiste la possibilità che il numero possa essere appartenuto a un’altra persona, soprattutto se avete cambiato numero di recente. E in molti sono al corrente di questo fenomeno.

Il messaggio è gentile ed educato, sembra essere convincente. Una persona a modo apprezza l’educazione e, dal momento che sembra essere una richiesta ragionevole, molti accetterebbero senza reticenze.  Il codice arriva e il destinatario lo invia alla persona che ha chiesto questo favore, che risponde ringraziando caldamente. E invece l’utente ha consegnato il proprio account direttamente nelle mani dei cybercriminali.

 Cosa è successo davvero

È vero, esiste la possibilità di ricevere un messaggio da qualcuno che sia stato proprietario in precedenza del numero e che abbia bisogno di aiuto. Ma si tratta di una possibilità davvero remota e il phishing è probabilmente la spiegazione più plausibile. Ecco cosa succede.

Nei meandri di Internet, il cybercriminale trova un indirizzo email (diciamo il vostro) collegato a un numero di telefono (anche quello è vostro). Se avete o avete avuto un account su Yahoo, Twitter o LinkedIn (o su uno tra centinaia di servizi meno conosciuti e che sono stati protagonisti di fughe di dati), non è difficile scoprire il numero di telefono collegato alla vostra email.

Il cybercriminale vuole l’accesso alla vostra casella di posta elettronica e, per fare ciò, ha bisogno di reimpostare la password. E per reimpostarla, il servizio invia un SMS con il codice di verifica al numero collegato all’account per confermare che è stato il proprietario dell’account a chiedere di reimpostare la password.

Ma prima di avanzare in tal senso, il truffatore vi invia l’educato SMS di cui vi abbiamo parlato. Il codice è valido solo pochi minuti per questo cerca di persuadervi con le buone maniere, per far sí che inoltriate il codice al cybercriminale senza indugi.

Grazie all’accesso alla vostra email, il cybercriminale può reimpostare la password di tutti gli account collegati a quell’indirizzo (social network, altri servizi email, portafogli online etc) perché i link per la reimpostazione della password sono inviati proprio a quell’indirizzo email. In sostanza, il cybercriminale riesce ad avere accesso a tutti i vostri account (e voi li avete persi per sempre).

Per questo motivo non dovete mai condividere i codici di verifica che vi arrivano via SMS, non importa se c’è qualcuno che vi sta chiedendo una mano. Se condividete anche un solo codice, qualcuno potrebbe appropriarsi della vostra intera vita online.

 Come tenervi ben stretti i vostri account

  • Non inviate mai a nessuno i codici di veridica, via SMS o a voce per telefono. Questi codici servono per verificare la veridicità della vostra identità;
  • Attivate l’autenticazione a due fattori dove possibile. Anche se perdete l’accesso al vostro account email, almeno potrete proteggere i vostri account dai furti;
  • Avvaletevi di soluzioni di sicurezza adeguate su tutti i vostri dispositivi, anche quelli mobili. Tra le varie funzionalità, potete essere avvisati quando un Trojan sta cercando di estrarre codici dagli SMS.