{"id":28527,"date":"2024-02-19T12:36:19","date_gmt":"2024-02-19T10:36:19","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28527"},"modified":"2024-02-19T12:36:19","modified_gmt":"2024-02-19T10:36:19","slug":"unexpected-login-codes-otp-2fa","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/unexpected-login-codes-otp-2fa\/28527\/","title":{"rendered":"Cosa fare quando si ricevono messaggi non richiesti che contengono codici di accesso"},"content":{"rendered":"

Negli ultimi anni ci siamo abituati ad accedere ai sistemi di online banking, e ad altri siti Web e app importanti, utilizzando sia una password che un ulteriore metodo di verifica: pu\u00f2 trattarsi di una password monouso (OTP) ricevuta tramite SMS, e-mail o notifica push, di un codice generato da un\u2019app di autenticazione<\/a> o anche di uno speciale dispositivo USB (il cosiddetto \u201ctoken\u201d). Questo metodo di accesso \u00e8 denominato autenticazione a due fattori<\/a> (2FA) ed \u00e8 stato pensato per complicare la vita agli hacker, perch\u00e9 ora non \u00e8 pi\u00f9 sufficiente rubare o indovinare una password per poter violare un account. Ma cosa \u00e8 meglio fare se inaspettatamente riceviamo un codice monouso, o la richiesta di inserirlo, senza aver nemmeno tentato di accedere a uno dei nostri account?<\/p>\n

Questa situazione potrebbe verificarsi per tre motivi:<\/p>\n

    \n
  1. Hai subito un tentativo di violazione.<\/strong> Un hacker ha in qualche modo scoperto, indovinato o rubato la password e ora sta cercando di utilizzarla per accedere al tuo account. Il messaggio che hai ricevuto \u00e8 legittimo e ti \u00e8 stato inviato dal servizio a cui il criminale sta tentando di accedere.<\/li>\n
  2. Qualcuno sta preparando una violazione.<\/strong> Un hacker \u00e8 venuto a conoscenza della tua password o sta cercando di indurti a rivelarla. In questo caso, l\u2019invio del codice OTP \u00e8 una tecnica di phishing. Il messaggio che hai ricevuto \u00e8 falso, anche se sembra molto simile a quelli autentici.<\/li>\n
  3. Un possibile errore. <\/strong>A volte i servizi online sono impostati per richiedere l\u2019immissione prima di un codice di conferma ricevuto tramite SMS e poi l\u2019inserimento di una password oppure per eseguire l\u2019autenticazione con un solo codice. Il codice potrebbe essere stato inviato al tuo dispositivo perch\u00e9 a causa di un errore di battitura, anzich\u00e9 il proprio numero di telefono (o indirizzo e-mail) un altro utente potrebbe aver inserito il tuo.<\/li>\n<\/ol>\n

    In sostanza, se \u00e8 vero che il messaggio che hai ricevuto potrebbe nascondere un intento dannoso, \u00e8 altrettanto vero che in questa fase agendo in modo corretto puoi ancora evitare qualsiasi problema.<\/p>\n

    Cosa fare quando si riceve una richiesta di codice<\/h2>\n

    La cosa pi\u00f9 importante \u00e8 evitare di fare clic<\/strong> sul pulsante di conferma (nel caso dei messaggi che presentano due opzioni per approvare o negare l\u2019accesso), evitare di eseguire l\u2019accesso a qualsiasi account<\/strong> e evitare di condividere con chiunque i codici ricevuti<\/strong>.<\/p>\n

    Se il messaggio di richiesta del codice contiene uno o pi\u00f9 collegamenti, non fare clic.<\/p>\n

    Queste sono le regole fondamentali. Finch\u00e9 non confermi l\u2019accesso, il tuo account \u00e8 al sicuro. Poich\u00e9, tuttavia, \u00e8 molto probabile che gli autori dell\u2019attacco siano a conoscenza della password dell\u2019account in questione, la seconda cosa da fare \u00e8 cambiare immediatamente la password di quell\u2019account. Accedi al relativo servizio immettendo l\u2019indirizzo Web manualmente, anzich\u00e9 seguendo un collegamento. Immetti la password e (importante!) ottieni un nuovo codice di conferma, quindi inseriscilo. Vai alle impostazioni relative alla password e imposta una nuova password complessa e sicura<\/a>. Se utilizzi la stessa password per pi\u00f9 account, ricordati di cambiarla anche in tutti gli altri. Ancora meglio, assicurati di creare una password univoca per ogni account. Poich\u00e9 ricordare a memoria cos\u00ec tante password \u00e8 difficile, il nostro consiglio \u00e8 di utilizzare uno specifico strumento di gestione delle password<\/a>\u00a0per conservarle.<\/p>\n

    La modifica delle password, non \u00e8 cos\u00ec urgente: non \u00e8 necessario farlo immediatamente, ma \u00e8 meglio rimandare troppo. Per gli account pi\u00f9 importanti (come quelli bancari), i criminali possono tentare di intercettare l\u2019OTP, se questo viene inviato tramite SMS. Questa operazione in genere richiede uno scambio della SIM<\/a> (ovvero la registrazione di una nuova scheda SIM sul numero della vittima) o il lancio di un attacco tramite la rete di servizi dell\u2019operatore<\/a> sfruttando un difetto del protocollo di comunicazione SS7. \u00c8 quindi importante modificare la password prima che i malintenzionati provino a sferrare un attacco di questo tipo. In generale, i codici monouso inviati tramite SMS sono meno affidabili delle app di autenticazione e dei token USB. \u00c8 consigliabile utilizzare sempre il pi\u00f9 sicuro metodo 2FA disponibile. A questo proposito, leggi questa recensione dei diversi tipi di autenticazione a due fattori<\/a>.<\/p>\n

    Cosa fare se si ricevono molte richieste OTP<\/h2>\n

    Nel tentativo di farti approvare una richiesta di accesso, gli hacker potrebbero bombardarti di codici. Nella speranza di approfittare di un tuo momento di distrazione che ti porti a confermare l\u2019accesso, o a disabilitare la verifica 2FA del servizio per evitare fastidi, continuano ripetutamente a tentare di accedere. \u00c8 importante mantenere la calma ed evitare di commettere l\u2019errore di fare proprio quello che i criminali si augurano che tu faccia. La cosa migliore \u00e8 accedere al sito del servizio come descritto sopra (cio\u00e8 aprendo il sito manualmente, non tramite un collegamento) e modificare velocemente la password. A questo scopo, ovviamente, dovrai ricevere e inserire un codice OTP legittimo. Alcune richieste di autenticazione (ad esempio gli avvisi relativi all\u2019accesso ai servizi Google) presentano un pulsante del tipo \u201cNo, non ho richiesto io il codice\u201d. In genere, se si seleziona questo pulsante i sistemi automatici del servizio bloccano automaticamente l\u2019autore dell\u2019attacco e qualsiasi nuova richiesta di verifica 2FA. In alternativa, anche se non si tratta di un sistema molto pratico, potresti impostare il telefono in modalit\u00e0 silenziosa o addirittura in modalit\u00e0 aereo per una mezz\u2019ora, in attesa che l\u2019ondata di codici si plachi.<\/p>\n

    Cosa fare se involontariamente si autorizza una richiesta di accesso indesiderata<\/h2>\n

    Questo \u00e8 lo scenario peggiore, poich\u00e9 probabilmente hai consentito a un criminale di accedere al tuo account. Gli autori degli attacchi sono agiscono rapidamente: in men che non si dica modificheranno le tue impostazioni e le password. Dovrai pertanto cercare di recuperare e affrontare le conseguenze della violazione. Leggi questo articolo per sapere cosa fare se uno dei tuoi account \u00e8 stato violato<\/a>.<\/p>\n

    Come proteggersi<\/h2>\n

    La miglior difesa in questo caso \u00e8 cercare di stare un passo avanti ai criminali: si vis pacem, para bellum<\/a>. \u00c8 qui che la nostra soluzione di sicurezza<\/a> torna utile. Monitora le fughe di dati in cui possono essere stati coinvolti i tuoi account collegati sia agli indirizzi e-mail che ai numeri di telefono, anche nel Dark Web. Kaspersky Premium<\/a>\u00a0consente di aggiungere i numeri di telefono e gli indirizzi e-mail di tutti i membri della famiglia. Inoltre, avvisa immediatamente e offre consigli su come procedere se i dati di un account risultano pubblicamente disponibili o sono presenti nei database delle fughe di dati.<\/p>\n

    Incluso nell\u2019abbonamento, Kaspersky Password Manager<\/a>\u00a0segnala le password compromesse e suggersice come modificarle, generando nuove password inviolabili. \u00c8 anche possibile aggiungere i token per l\u2019autenticazione a due fattori o trasferirli facilmente da Google Authenticator con pochi clic. L\u2019archiviazione sicura per i documenti personali assicura la protezione dei documenti e file pi\u00f9 importanti (ad esempio, scansioni del passaporto e foto personali) in formato criptato, consentendo solo a te di accedervi.<\/p>\n

    Inoltre, potrai accedere a credenziali, password, codici di autenticazione e documenti salvati da qualsiasi dispositivo: computer, smartphone o tablet. Anche se smarrisci il telefono, non perderai n\u00e9 i dati n\u00e9 l\u2019accesso e sarai in grado di ripristinarli facilmente su un altro dispositivo. Per accedere a tutti i tuoi dati, dovrai ricordare una sola password: quella principale. La password principale non viene salvata da nessuna parte e viene utilizzata per il sistema di criptaggio dei dati di livello bancario AES.<\/p>\n

    Secondo il \u201cprincipio di divulgazione zero\u201d, nessuno pu\u00f2 accedere alle tue password o ai tuoi dati, nemmeno i dipendenti di Kaspersky. L\u2019affidabilit\u00e0 e l\u2019efficacia delle nostre soluzioni di sicurezza sono state confermate nel corso di numerosi test indipendenti<\/a>. Ad esempio, di recente le nostre soluzioni per la protezione degli utenti privati hanno conseguito il massimo riconoscimento di Prodotto dell\u2019anno 2023<\/a> nei test condotti dal laboratorio europeo indipendente AV-Comparatives<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    I codici monouso e l’autenticazione a due fattori proteggono i tuoi account dai furti. Se ricevi un codice di questo tipo, o la richiesta di inserirlo, ma non stai effettuando l’accesso, potrebbe trattarsi di un tentativo di violazione del tuo account.<\/p>\n","protected":false},"author":2722,"featured_media":28529,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16],"tags":[1899,1900,3728,638,3805,62,116,26,67],"class_list":{"0":"post-28527","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-2fa","9":"tag-autenticazione-a-due-fattori","10":"tag-messaggi-di-testo","11":"tag-minacce","12":"tag-otp","13":"tag-password","14":"tag-phishing","15":"tag-sms","16":"tag-suggerimenti"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/unexpected-login-codes-otp-2fa\/28527\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/unexpected-login-codes-otp-2fa\/27058\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/22368\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/11408\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/29724\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/unexpected-login-codes-otp-2fa\/27230\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/27031\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/unexpected-login-codes-otp-2fa\/29635\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/unexpected-login-codes-otp-2fa\/36946\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/unexpected-login-codes-otp-2fa\/12049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/50526\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/unexpected-login-codes-otp-2fa\/21519\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/unexpected-login-codes-otp-2fa\/22235\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/unexpected-login-codes-otp-2fa\/30889\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/unexpected-login-codes-otp-2fa\/35805\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/unexpected-login-codes-otp-2fa\/27439\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/unexpected-login-codes-otp-2fa\/33240\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/unexpected-login-codes-otp-2fa\/32863\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28527","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=28527"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28527\/revisions"}],"predecessor-version":[{"id":28530,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/28527\/revisions\/28530"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/28529"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=28527"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=28527"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=28527"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}