In che modo i criminali informatici aggirano le domande di sicurezza?

Molti siti Web e app pongono domande di sicurezza quando ti registri per la prima volta. Quindi usano le risposte che fornisci per verificare la tua identità ogni volta che richiedi di modificare una password smarrita. Ma gli aggressori informatici spesso trovano il modo di aggirare le domande di sicurezza.

Come fanno a svelare le tue risposte segrete e ad accedere al tuo account? Come aggirano queste domande per hackerare i tuoi profili?

Un aspetto negativo dei social media è che è difficile dire chi è reale. Non è atipico per i criminali informatici usarlo per indurre le vittime a rivelare le loro risposte alle domande di sicurezza.

Un modo comune in cui gli hacker ottengono questo risultato è mostrarsi come amici o seguaci delle loro vittime su piattaforme di social media come Facebook, LinkedIn, Instagram o Twitter. Usando forme di manipolazione psicosociale, inducono una vittima a fidarsi di loro. Questo è un altro livello di ingegneria sociale.

Una volta che un cyberattaccante diventa amico del suo obiettivo sui social media, avvia chat con la vittima e divulga informazioni false su se stesso prima di apparire degno di fiducia. In quello che sembra più uno di quelli

truffe di app di incontri, si impegnano in conversazioni sugli interessi e sui Mi piace della vittima.

A volte, l'aggressore potrebbe fingere di condividere gli stessi interessi, hobby e simpatie con una vittima, che potrebbe finiscono per condividere informazioni segrete inconsapevolmente, il che, ovviamente, probabilmente includerà risposte alla sicurezza domande. Questo potrebbe variare da quelli che usano per accedere alle risorse sul posto di lavoro a quelli utilizzati per gli acquisti online o altre transazioni online sensibili.

2. Phishing

Phishing e ingegneria sociale vanno di pari passo. Il phishing si verifica quando l'hacker si presenta come una persona diversa, ovvero una persona falsa. Ad esempio, un utente malintenzionato potrebbe dirti tramite una chiamata, un SMS o un'e-mail che rappresenta l'azienda che detiene uno dei tuoi profili.

Potrebbero chiederti di rispondere ad alcune domande entro un determinato lasso di tempo per rafforzare la tua sicurezza. Oppure potrebbero persino inviarti un collegamento a un modulo online, principalmente una replica falsa del sito Web originale con cui hai un profilo. Ci sono persino casi in cui gli hacker chiedono alle loro vittime di compilare Moduli Google o qualsiasi questionario online con la scusa di condurre ricerche.

Gli hacker utilizzano spesso questa tecnica per sfruttare le persone meno esperte di sicurezza. Naturalmente, una volta ottenute le informazioni richieste, diventa facile aggirare le domande di sicurezza e ottenere il controllo illimitato dell'account del bersaglio.

3. Informazioni dai tuoi profili online

Sebbene le domande di sicurezza dovrebbero essere private e note solo a te, probabilmente hai lasciato molti indizi sulle loro risposte su Internet. Un hacker può facilmente decifrare le risposte alle tue domande di sicurezza se lasci spesso informazioni sensibili su di te sui tuoi profili sui social media.

Questa tecnica di solito prevede che l'hacker conduca ricerche approfondite sui tuoi dettagli online. Per raggiungere questo obiettivo, ti cercano su motori di ricerca come Google e controllano i tuoi contatti sui social media, inclusi LinkedIn, Facebook, Twitter, Instagram e altri, per tutti i suggerimenti che riescono a raccogliere.

Quella volta che hai risposto a una domanda scherzosa su Facebook abbinando il nome da nubile di tua madre al nome del tuo primo animale domestico? Questo è davvero utile per i criminali informatici.

A questo punto, l'attaccante torna alle domande di sicurezza per rispondere in base alle informazioni raccolte dai tuoi profili pubblici.

4. Brute-Forcing

Sebbene gli hacker in genere usa attacchi di forza bruta per decifrare le password, c'è poco che impedisca loro di fare lo stesso con le domande di sicurezza. Mentre la forzatura bruta manuale richiede tempo e pazienza per essere raggiunta, i moderni algoritmi di forzatura bruta semplificano il processo.

Inoltre, mentre risolve le domande di sicurezza, un cyberattaccante deve concentrarsi solo sulle combinazioni di parole piuttosto che sulla manipolazione dei caratteri come avviene con le password. Ciò rende le domande di sicurezza meno difficili da decifrare poiché è facile inserire voci significative combinando parole diverse.

Inoltre, una volta che l'hacker sa quali domande pone un sito Web, tutto ciò che deve fare è forzare tutte le possibili risposte specifiche a una vittima. Potresti pensare che questo sia più difficile per l'hacker se il sito Web consente solo agli utenti di generare le loro domande. Sfortunatamente, questo è lontano dalla verità, poiché le domande generate dagli utenti sono spesso meno sicure. Quindi, le risposte sono probabilmente più facili da indovinare.

Come stare al sicuro

Quindi hai visto come gli aggressori informatici possono aggirare le tue domande di sicurezza e accedere al tuo account. Ma come puoi stare al sicuro online? Ecco alcuni punti che possono aiutare.

1. Usa l'autenticazione a due fattori

Sebbene gli hacker possano aggirare l'autenticazione a due fattori, è spesso più tecnico da decifrare rispetto alle domande di sicurezza. Inoltre, combinarlo con domande di sicurezza rafforza ulteriormente il tuo account. Una tale fusione del protocollo di sicurezza lascia un attaccante con enigmi più complicati da risolvere. In questi casi, tendono ad arrendersi in breve tempo.

Sei fortunato se il tuo fornitore di servizi supporta entrambi i metodi. Ma se no, ci sono molte terze parti provider di autenticazione a due fattori là fuori.

2. Evita di usare domande e risposte generiche

Molte domande di sicurezza sono facili da indovinare perché le vittime spesso forniscono risposte generiche. Peggiora quando un sito Web o un'app consente agli utenti di generare le proprie domande di sicurezza.

Le risposte a domande come hobby, colore preferito, animale domestico, film, musica o cibo sono relativamente facili da indovinare. Quindi potresti volerli evitare. E per domande più specifiche come il nome da nubile di tua madre e così via, puoi anche provare a fornire risposte più univoche; per esempio, questi non devono nemmeno essere quelli corretti, ma invece qualcosa a cui li associ.

Se è probabile che dimentichi le risposte che hai fornito per una domanda particolare perché è unica, puoi delinearle in un app per note crittografate per cercarli ogni volta che ne hai bisogno.

3. Rimuovi le informazioni sensibili dai tuoi profili

Le informazioni personali sui tuoi social media e altri profili online possono fornire indizi sulle tue risposte di sicurezza. Spesso è meglio rimuovere tali dettagli salienti dai tuoi profili per verificare una violazione della domanda di sicurezza. In definitiva, a cosa serve rispondere alle battute all'italiana su Facebook, Twitter e simili?

Proteggi le tue informazioni online

Come l'autenticazione a due fattori, le domande di sicurezza aggiungono un ulteriore livello di protezione ai tuoi profili online. Alcuni servizi richiedono domande di sicurezza prima di fornire un collegamento per la reimpostazione della password. E per alcuni, lo fanno dopo aver reimpostato la password. Tutti questi mirano a proteggere ulteriormente i tuoi account.

In ogni caso, gli scudi di secondo livello come le domande di sicurezza sono ciò che gli hacker spesso devono affrontare mentre tentano di accedere al tuo account. Inoltre, il modo in cui utilizziamo Internet influenza il potere delle domande di sicurezza.

10 semplici modi per ridurre la tua impronta online con pochi clic

Leggi Avanti

Circa l'autore