Si può sempre contare sui cattivi per approfittarsi di brave persone in un momento di crisi, e quando si tratta di hacker e truffatori informatici, il coronavirus non ha fatto eccezione.
Nelle ultime settimane, abbiamo visto segnalazioni di aggressori che cercavano di rubare informazioni ai ricercatori del vaccino Covid-19, un picco di attacchi ransomware contro college e università del Regno Unito e attacchi di phishing progettati per assomigliare a richieste di donazioni da parte dei Centri per il Controllo delle Malattie.
Malware e campagne di phishing come queste esistono da anni, ma ciò che è diverso ora, è il contesto e il livello di esposizione, poiché milioni di persone lavorano e vanno a scuola virtualmente. Il confine tra dispositivi di lavoro e dispositivi personali, viene cancellato mentre lavoriamo, giochiamo e impariamo tramite di essi. I genitori condividono i loro dispositivi con gli studenti per la scuola virtuale. I bambini si girano e usano questi dispositivi per creare account su app per l’apprendimento e l’intrattenimento. Quasi dall’oggi al domani, gli account familiari e personali per Netflix, Nintendo e Facebook sono mescolati con Zoom, Microsoft Office e l’email di lavoro.
Il motivo principale per cui la mescolanza e la sovrapposizione di dispositivi e account è così pericolosa è la tendenza umana a riutilizzare le password su più account. È comprensibile perché oggigiorno abbiamo così tanti account: innumerevoli negozi e marketplace online, account di posta elettronica, siti di giochi, servizi di intrattenimento, social media e così via.
In un’analisi dei dati sulle violazioni legati alle e-mail dei dipendenti Fortune 1000, la nostra azienda ha rilevato che il 76,5% dei dipendenti aveva riutilizzato una password su più account. Questo è il sogno di un criminale che si avvera. Gli accessi e le password rubati durante le violazioni dei dati alla fine circolano sui mercati del dark web. Vengono acquistati e venduti da criminali che poi li testano su altri account per vedere a cos’altro possono accedere. Se una combinazione di login-password è stata esposta in una violazione dei dati, qualsiasi altro account con password uguale o simile è a rischio.
Lo abbiamo visto accadere ai titolari di account Nintendo all’inizio di quest’anno. Gli aggressori hanno avuto accesso a 160.000 account Nintendo che erano vulnerabili perché le persone avevano utilizzato password che erano state esposte in precedenti violazioni dei dati. Le cattive abitudini consentivano ai cattivi attori di ottenere informazioni specifiche sulla fatturazione e sull’account, inclusi i punti premio, i saldi del Nintendo eShop, gli ID dell’abbonamento PayPal, i tipi di carta di credito, le date di scadenza e le prime sei e le ultime quattro cifre delle carte di credito.
Quindi cosa succede quando un figlio di 10 anni ha uno dei suoi account online esposto a una violazione e ha usato le tue credenziali e-mail di lavoro per crearlo? All’improvviso, i dati sensibili della tua azienda sono vulnerabili. L’azienda può monitorare le credenziali dell’account aziendale per le esposizioni a violazioni e bloccare gli account quando sono a rischio, ma ciò non è possibile per gli account personali. Diventa un pericoloso punto cieco per i team di sicurezza aziendale.
Mentre il lavoro e l’istruzione da casa continuano per milioni di persone, tutti devono essere consapevoli di queste minacce e impiegare pratiche intelligenti di sicurezza e password. In effetti, questa è una grande opportunità non solo per praticarli da soli, ma anche per insegnarli ai propri figli. Proprio come viene detto loro di non fare mai clic sui link se non sanno chi li ha inviati e di non avere sessioni di chat con estranei, si dovrebbe insegnare loro i rischi del riutilizzo delle password. E poi mettere pratica ciò che si insegna.
Contattaci per avere una consulenza su come prevenire questi pericoli.
