![\"protezione](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/02\/06002317\/protezione-account.jpg\")
<\/a><\/p>\nHiroshima aveva un nome utente su Twitter di una sola lettera, @N, per il quale gli \u00e8 stato offerta una grande somma di denaro. Purtroppo non si conosce l\u2019identit\u00e0 della persona, ma Hiroshima afferma che gli sono stati offerti 50.000 dollari (circa 35.000 euro) per l\u2019accesso al profilo e che in seguito \u00e8 stato vittima di una serie infinita di tentativi di violazioni dell\u2019account, ricevendo email non richieste con le istruzioni per la reimpostazione della propria password.<\/p>\n
Potete trovare maggiori informazioni su Next Web<\/a> (notizia in inglese). Quel che \u00e8 successo, brevemente, \u00e8 che un hacker ha cercato di violare l\u2019account email di Hiroshima e i domini web di GoDaddy autenticandosi con le ultime quattro cifre della carta di credito di Hiroshima, dati che l\u2019hacker pare abbia ottenuto attraverso ingegneria sociale. Questa storia assomiglia a quella di Matt Honan (nome utente su Twitter: @mat) a cui, in un\u2019ora, secondo l\u2019articolo di Wired del 2012, \u00e8 stata violata l\u2019intera vita digitale. Gli account di Hon erano tutti collegati tra loro, di modo che l\u2019hacker violandone uno, li ha hackerati tutti.<\/p>\n Prima di continuare \u00e8 necessario avvisarvi che purtroppo non esiste un modo per proteggere al 100% tutti gli account o beni online. Ogni utente ha diverse necessit\u00e0 e diversi tipi di account e profili che rispondono a determinate esigenze. Quello che si pu\u00f2 fare \u00e8 esaminare uno per uno i servizi online pi\u00f9 utilizzati e cercare di stabilire una serie di regole generali da seguire per evitare truffe e ingegneria sociale.<\/p>\n Questo post ha dunque l\u2019intenzione di offrirvi alcune linee guida e misure di sicurezza per poter proteggere i vostri account. Il metodo che suggeriamo \u00e8 quello olistico dato che si considera necessario adottare una metodologia che prenda in considerazione l\u2019insieme delle parti nella sua totalit\u00e0. Prossimamente approfondiremo l\u2019argomento pubblicando alcuni tutorial ed esaminando come proteggere specifici account web. Potete farvi un\u2019idea di come questo progetto prender\u00e0 forma dando un\u2019occhiata al tutorial in inglese pensato per Twitter<\/a> disponibile su Threatpost (i tutorial saranno in inglese).<\/p>\n In primo luogo, ricordate di installare sempre un antivirus moderno e affidabile che vi possa proteggere contro software keylogger, Trojan e altri tipi di minacce e malware. In secondo luogo, eseguite sempre gli aggiornamenti. Senza queste precauzioni di base tutte le altre misure di cui ora vi parleremo saranno inutili.<\/p>\n Ora, prima di entrare nello specifico, qualche altro consiglio generico: ricordate di utilizzare una password diversa per ciascuno dei vostri account. Se non riuscite a memorizzarle tutte, potete usare un password manager<\/a>, un programma che vi aiuter\u00e0 a gestire le password e le ricorder\u00e0 al posto vostro.<\/p>\n Stabilire un account email con il solo scopo di recuperare le password degli altri account \u00e8 certamente molto consigliato; si raccomanda di creare un account separato con una mail segreta che conoscete solo voi. \u00c8 una buona idea avere pi\u00f9 di un account di recupero di modo da non perdere tutto in un solo colpo. \u00c8 comprensibile comunque che non vogliate avere 1.000 account email. Con Microsoft o Yahoo \u00e8 possibile, per esempio, creare degli account con alias<\/a>. Se per esempio, la vostra email \u00e8 lucagentili@outlook.com, potreste creare un account alias [indirizzo segreto]@outlook.com che porta alla stessa cartella di posta.<\/p>\n L\u2019email di recupero \u00e8 fondamentale, da custodire gelosamente. Se qualcuno ottiene il controllo dell\u2019account con il quale resettare tutti i vostri account, siete nei guai. Tutti i vostri account saranno automaticamente compromessi.<\/p>\n Google<\/b><\/p>\n Iniziamo con Google. La prima cosa da fare \u00e8 realizzare un backup del vostro account email con l\u2019email di recupero di cui parlavamo poc\u2019anzi. In questo modo, se il vostro account viene violato, potrete inviare una password per la reimpostazione al vostro indirizzo di recupero e riottenere l\u2019accesso all\u2019account. Doveste inoltre collegare l\u2019account con un dispositivo mobile di modo da abilitare la doppia autenticazione o verifica in due passaggi<\/a>, di cui parleremo a breve.<\/p>\n Il vostro account Google ha una sezione che riguarda le autorizzazioni, dove potete osservare tutte le app e i servizi che hanno accesso al vostro account Google. Controllate periodicamente che tutto quello che compare in questa sezione vi stia bene. Se notate qualcosa che non riconoscete, informatevi. Se anche dopo la ricerca non capite di che cosa si tratta, revocate l\u2019accesso all\u2019account a questi elementi. Forse si tratta di un\u2019app legittima, ma potrebbe anche essere dannosa e consentire a un hacker l\u2019accesso al vostro profilo Google.<\/p>\n La ragione per cui poco prima vi consigliavamo di collegare il vostro account al dispositivo mobile \u00e8 per poter attivare la doppia autenticazione. Con questo metodo, vi verr\u00e0 chiesto di inserire un codice di 6 cifre inviato al vostro telefono cellulare ogni volta che accedete all\u2019account. Bisogna ammettere che la doppia autenticazione pu\u00f2 sembrare una seccatura, ma rappresenta un\u2019ottima barriera per bloccare i ficcanasi. In questo modo se un hacker volesse entrare nel vostro account, dovrebbe prima rubarvi il telefono o hackerare Google, il che \u00e8 piuttosto improbabile. Un\u2019altra misura che potete adottare \u00e8 impostare una password specifica per l\u2019app con cui accedete a Gmail dal vostro iPhone o qualsiasi altro telefono cellulare (dove l\u2019autenticazione a doppio fattore via SMS non \u00e8 disponibile). Sicuramente inserire la password ogni volta \u00e8 una noia, ma \u00e8 decisamente consigliabile. Approfondiremo presto l\u2019argomento con uno dei nostri video tutorial.<\/p>\n Oltre all\u2019autenticazione a doppio fattore, potete impostare un avviso e far s\u00ec che vi venga inviato un messaggio di testo ogni volta che qualcuno cerca di cambiare la vostra password o accedere al vostro account da una localit\u00e0 sospetta. Tenete sempre d\u2019occhio le attivit\u00e0 recenti e verificate che tutto sia a posto. Se osservate qualche cosa di strano, come attivit\u00e0 che non sono state svolte da voi, forse \u00e8 tempo di cambiare la vostra password. I dispositivi Android e Google Wallet, entrambi accessibili attraverso il vostro account Google, custodiscono moltissime informazioni sensibili come i dati di carte di credito; assicuratevi che tutto sia ben protetto.<\/p>\n Vale la pena, infine, dare un\u2019occhiata alle misure di sicurezza relative ai pagamenti e verificare i parametri insieme alla vostra banca online, l\u2019ente che vi ha concesso la carta di credito o all\u2019interno dei specifici servizi di Google. Ci sono poi molte persone che utilizzano Google in concomitanza con il proprio dominio. A questo proposito vale la pena ripetere che un hacker potrebbe cercare di violare il vostro dominio e usarlo come riscatto per accedere ad altri account di vostra propriet\u00e0 (come nel caso di @N) o per fare leva su quell\u2019accesso per violare altri account (come nel caso di @mat).<\/p>\n Apple<\/b><\/p>\n Volete proteggere il vostro Apple ID. Per accedere, potete visitare appleid.apple.com\/it\/. Si consiglia nuovamente di attivare la doppia autenticazione. In questo modo riceverete un codice di accesso sul vostro dispositivo mobile ogni volta che cercherete di cambiare qualcosa nel vostro account Apple ID. Questo \u00e8 buono per due ragioni. In primo luogo rappresenta una seconda barriera oltre alla vostra password. L\u2019altra \u00e8 che se ricevete un SMS quando non state effettuando l\u2019accesso al vostro Apple ID (o quando non ne state aspettando uno), significa che ci sono buone probabilit\u00e0 che qualcuno stia cercando di accedere al vostro account al vostro posto. Inoltre, probabilmente avrete gi\u00e0 impostato le domande di sicurezza. Assicuratevi che siano domande a cui \u00e8 difficile rispondere. Le domande di sicurezza prestabilite sono le peggiori, ma quando non si pu\u00f2 farne a meno, cercate di scegliere quella pi\u00f9 soggettiva, una a cui gli hacker non possono rispondere facendo una semplice ricerca su Internet. Raccomandiamo inoltre di stabilire un indirizzo email di recupero nel caso in cui le cose si mettano male. La mail che avete gi\u00e0 collegato al vostro account Apple dovrebbe funzionare come mail di recupero, ma \u00e8 bene averne due. Infine, non ci sarebbe nemmeno bisogno di dirlo, ma la password che utilizzate per il vostro Apple ID deve essere molto forte e diversa da quella della vostra email o da altre password.<\/p>\n NB: come indica quello che \u00e8 accaduto a @N, alcuni servizi accettano le ultime 4 cifre della carta di credito come prova della propriet\u00e0 dell\u2019account. Apple non \u00e8 uno di questi servizi, ma per quegli account che lo accettano, \u00e8 forse una buona idea avere una carta che si usa solo per questo scopo. In questo modo, se un hacker indovina le ultime 4 cifre della tua carta di credito, questi comprometter\u00e0 solo quel servizio piuttosto che ogni servizio che accetta questo metodo di verifica.<\/p>\n PayPal<\/b><\/p>\n Ci sono due scuole di pensiero. Da un lato, un account PayPal apre una nuova strada per accedere al conto in banca online degli utenti. Dall\u2019altro lato, \u00e8 un modo efficace per limitare l\u2019esposizione dei dati bancari online a vendor esterni<\/a>. Per esempio, se comprate qualcosa in un piccolo sito, non c\u2019\u00e8 nessun modo per sapere che cosa stia succedendo nel backend o con il sistema che processa il pagamento. In questi casi, nessun pu\u00f2 realmente garantirvi che non stiano immagazzinando informazioni sensibili, come il vostro CVV in plain text e in formato non criptato. Per questa ragione, potrebbe essere una buona idea usare PayPal solo per quelle transazioni online in cui non vi sentite del tutto sicuri del rivenditore o del sito.<\/p>\n Inoltre, a favore di PayPal si pu\u00f2 affermare che il servizio \u00e8 conveniente e ampiamente utilizzato dai consumatori, nonch\u00e9 accettato da molti commercianti. Come molti altri servizi, il loro motto \u00e8 \u201cfidati di noi\u201d, e bisogna ammettere che offre alcune buone misure di sicurezza. La prima \u00e8 il limite di prelievo (a meno che l\u2019account non venga hackerato, in tal caso un hacker pu\u00f2 aumentare quel limite). \u00c8 raccomandabile stabilire un limite massimo per il prelievo.<\/p>\n La seconda misura di sicurezza, decisamente importante, \u00e8 la \u201cchiave di accesso\u201d di PayPal. Non ne parlano in questo modo, ma la funzionalit\u00e0 \u00e8 molto simile alla doppia autenticazione. Gli utenti possono scegliere tra due opzioni. La prima \u00e8 gratuita e standard, e prevede l\u2019invio dell\u2019SMS per la doppia verifica. Bisogna dare a PayPal il numero di cellulare, accettare i termini e le condizioni, e PayPal vi invier\u00e0 un codice usa e getta ogni volta che cercherete di effettuare il login. Si tratta di una misura molto forte, un barriera in pi\u00f9 tra il tuo account e il criminale, un sistema che vi avviser\u00e0 se qualcuno tenta di rubare la vostra password e cerca di entrare nel vostro account. Se pagate, potete inoltre ricevere da PayPal un creatore di codici della dimensione di una carta di credito. Spingete un bottone sulla card e essa genera automaticamente codici usa e getta per accedere all\u2019account.<\/p>\n PayPal offre inoltre opzioni per cambiare il meccanismo di validazione per le telefonate al customer service. Di default, \u00e8 il numero della carta di credito, tuttavia esiste un\u2019opzione che permette di impostare uno speciale codice numerico per questo scopo. \u00c8 una misura intelligente per le ragioni che vi abbiamo indicato in precedenza.<\/p>\n Oltre a questo, come sempre, assicuratevi che la vostra password sia forte e che il vostro account sia associato a un dispositivo mobile di modo che PayPal vi possa inviare avvisi sul cambiamento di password o attivit\u00e0 sospette.<\/p>\n Twitter<\/b><\/p>\n Su Threatpost potete trovare molti articoli sulle impostazioni di privacy e sicurezza per Twitter. In linea di massima \u00e8 auspicabile impostare una password forte e usare l\u2019autenticazione a doppio fattore per tutte le ragioni sopra menzionate. Su Twitter, potete attivare la doppia autenticazione con invio di SMS in \u201cSicurezza e Privacy\u201d e \u201cVerifica d\u2019accesso\u201d.<\/p>\n Sempre in questa sezione, dovreste inoltre abilitare la funzionalit\u00e0 che vi obbliga a inserire informazioni personali prima di reimpostare la password. Oltre a questo, \u00e8 possibile attivare le notifiche via email o SMS per le menzioni o i messaggi diretti perch\u00e9 se qualcuno hackera il vostro account e inizia a inviare tweet con malware o di spam, i vostri amici e follower probabilmente vi scriveranno. Si tratta di una notizia che probabilmente vorrete sapere presto per poter risolvere il problema il prima possibile.<\/p>\n Dovreste inoltre sempre tenere d\u2019occhio le app associate al vostro account per assicurarvi che siano aggiornate. Se ci sono app che non usate pi\u00f9, \u00e8 consigliabile revocare loro l\u2019accesso. Le app inutili rappresentano solo una possibilit\u00e0 in pi\u00f9 per poter penetrare nel vostro account.<\/p>\n Facebook<\/b><\/p>\n La stessa idea si applica a Facebook<\/a>. In primo luogo \u00e8 bene abilitare la \u201cNavigazione protetta\u201d se non lo avete gi\u00e0 fatto. Impostate una \u201cNotifica di accesso\u201d per sapere quando qualcuno cerca di accedere da un browser sconosciuto e le \u201cApprovazioni degli accessi\u201d che \u00e8 la variante di Facebook dell\u2019autenticazione a doppio fattore. Questo permetter\u00e0 a Facebook di inviare un codice al vostro telefono cellulare nel caso qualcuno cerchi di effettuare il login da un browser sconosciuto. Un\u2019altra misura da considerare \u00e8 il generatore di codici; si tratta di un altro metodo per gestire i tentativi di login con la doppia autenticazione.<\/p>\n Invece di ricevere un codice SMS, potete effettuare il login dall\u2019app mobile di Facebook ed essa genera un codice di accesso per voi. Come nel caso di Google, potete anche impostare una password specifica per l\u2019applicazione. A differenza di Google, per\u00f2, Facebook ha una funzionalit\u00e0 che vi permette di indicare degli \u201camici fidati\u201d. Questo \u00e8 solo un altro modo per recuperare il vostro account in caso d\u2019emergenza. Un caso potrebbe essere quello in cui non avete accesso alla email attraverso la quale resettare la password se l\u2019account viene violato. Infine, come gi\u00e0 detto, tenete d\u2019occhio le sessioni delle vostre attivit\u00e0 per assicurarvi che le avete iniziate voi (o una persona conosciuta); assicuratevi che tutti dispositivi compresi nella lista dei dispositivi di fiducia siano a tutti gli effetti dispositivi di cui vi fidate.<\/p>\n Amazon<\/b><\/p>\n Amazon viene utilizzato come proxy per venditori online. Il primo consiglio in questo caso, indipendentemente dal venditore, \u00e8 evitare di immagazzinare i dati della carta di credito al suo interno \u2013 quando possibile. Pare infatti che molti rivenditori non danno la possibilit\u00e0 di scegliere; una volta che inserite il numero della vostra carta di credito o debito, la salvano nei propri sistemi. Altri rivenditori vi chiedono se volete immagazzinare le informazioni della carta di credito o usarle solo per quell\u2019acquisto. La maggior parte dei retailer immagazzinano i dati della carta, ma in genere permettono di gestirli, come Amazon. In questo caso, potete salvare la carta di credito nel server e poi cancellarla.<\/p>\n Oltre a questo, pare che i servizi di web hosting di Amazon offrano la doppia autenticazione, ma il loro servizio di shopping no. Assicuratevi che la vostra password sia forte, realizzate il backup al vostro account configurando in modo sicuro l\u2019indirizzo email e collegate l\u2019account a un dispositivo mobile.<\/p>\n LinkedIn<\/b><\/p>\n Come nel caso di Facebook, bisogna andare nella sezione \u201cPrivacy e impostazioni\u201d. Poi \u201cAccount\u201d e \u201cGestisci le impostazioni di sicurezza\u201d e qui abilitare la \u201cConnessione sicura\u201d; in questo modo potete navigare su LinkedIn via HTTPS. Potete anche abilitare l\u2019autenticazione a doppio fattore che su LinkedIn si chiama \u201cProcesso di verifica di due passi per l\u2019accesso\u201d. Oltre a queste indicazioni, vi consigliamo in linea di massima di limitare la quantit\u00e0 di informazioni personali pubblicate, specialmente su LinkedIn dove le informazioni personali probabilmente includono dati sensibili su dove lavorate e cosa fate nella vita. Maggiori sono le informazioni che pubblicate, pi\u00f9 facile sar\u00e0 per un hacker spacciarsi per voi e ingannare persone o sistemi informatici ottenendo l\u2019accesso ad account che non gli appartengono. Inoltre, maggiore \u00e8 la quantit\u00e0 di informazioni relative al vostro lavoro, pi\u00f9 facile sar\u00e0 per il criminale realizzare attacchi di phishing ai vostri colleghi di lavoro. Yahoo<\/b><\/p>\n Di recente, Yahoo ha implementato il protocollo HTTPS. Dispone inoltre dell\u2019autenticazione a doppio fattore. Non dimenticate di impostare un indirizzo email di recupero. Yahoo \u00e8 un altro servizio che richiede le domande di sicurezza. Di nuovo, indipendentemente dalla risposta alla domanda, assicuratevi che questa risposta non possa essere desumibile dai social o altrove su Internet.<\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n