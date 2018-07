“Paga o manderemo dei video che ti ritraggono mentre guardi dei porno a tutti i tuoi contatti”. Inizia così una delle mail che nessuno vorrebbe ricevere e che migliaia di utenti si sono visti recapitare nelle ultime settimane nelle proprie caselle di posta elettronica. E se la buona notizia è che si tratta solo di un infondato raggiro (gli attaccanti non sono in possesso di alcun video), la brutta - non poteva non essercene una -, è che i bersagli di questa truffa sono gli utenti coinvolti in un massiccio furto di dati ai danni della piattaforma Linkedin avvenuto nel 2012, come segnalato dalla società canadese di cybersecurity ThreeShield .

Cosa c’entra Linkedin

Tutto ha avuto inizio sei anni fa, quando degli hacker sono riusciti a impossessarsi delle informazioni di 6,5 milioni di utenti Linkedin , poi messe in vendita su dei forum russi. I dati conservati dal social network erano stati debolmente protetti e quindi erano particolarmente ambiti dai pirati informatici. Oggi si apprende che un altro archivio di dati, risalente allo stesso furto e che riguarda più di cento milioni di utenti, è stato reso pubblico. Linkedin ha provveduto a imporre il reset delle password degli utenti coinvolti, ma il pericolo riguarda prima di tutto chi utilizza la stessa chiave d’accesso per più servizi.

Cosa fare e non fare

“Conosco la tua password e ho installato un malware su un sito per adulti”. Si chiama “sextortion” (estorsione sessuale), ed è una tecnica di ricatto che colpisce dove siamo più fragili: nella sfera dell’intimità. Ma in questo caso le minacce servono solo a terrorizzare e indurre l’utente a pagare senza pensarci due volte. In realtà i truffatori non hanno alcun materiale compromettente sul bersaglio, e stanno solo cercando di manipolarlo per ottenere il pagamento.

Minaccia falsa dunque, ma chiavi d’accesso vere. Ragione per la quale è indispensabile smettere di utilizzare quelle password e, cosa più importante, smettere di utilizzare la stessa per più servizi online. Tipicamente infatti gli hacker che entrano in possesso di una mail e di una password vanno a tentativi fino a che non trovano un servizio per il quale l’utente abbia usato la stessa chiave di autenticazione. Modo in cui riescono ad accedere alle caselle di posta elettronica o ad altri profili sui social network.

Finora questa nuova truffa ha fruttato agli attaccanti più di 32 mila euro , ricevuti in bitcoin su almeno nove account tracciati da ThreeShield.

Per questo sarebbe bene adottare alcune misure di protezione del proprio ambiente digitale:

1. Utilizza l'autenticazione a due fattori ovunque sia possibile. Qui di seguito i link ad alcuni dei servizi online più diffusi che offrono questo servizio:

2. Utilizza un gestore di password come KeePass o LastPass, per generare codici di accesso casuali. L’utente dovrà solamente copiare e incollare le password senza doverle ricordare.

3. Cambia le tue password ogni volta che ricevi una notifica di violazione o almeno una volta all'anno. Gli utenti di LinkedIn che l'hanno fatto nel 2012 sono stati protetti per un massimo di 4 anni in più rispetto a quelli che non lo hanno fatto.

4. Verifica se il tuo account è stato coinvolto in un furto di dati utilizzando il servizio Have I Been Pwned.

Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it