Account Twitter, ecco come difendersi dagli attacchi degli hacker
Dopo i recenti attacchi hacker agli account Twitter di alcuni dei principali media internazionali, il popolare Social Network lancia le linee guida per difendersi dallo spear-phishing, una forma più sofisticata di phishing che mira a specifici obiettivi individuali o aziendali. Ma secondo gli esperti del Centro Ricerche ESET, uno dei principali produttori di software per la sicurezza digitale, le raccomandazioni di Twitter potrebbero non essere sufficienti a ridurre i rischi e rilancia con nuove contromisure, utili a tutto il popolo dei tweet. L’episodio più eclatante è stato il falso tweet partito ad aprile scorso dall’account ufficiale dell’Associated Press, che annunciava due esplosioni alla Casa Bianca provocando il crollo della Borsa americana, mentre l’ultima vittima illustre è il quotidiano inglese The Guardian, oggetto di attacco da parte di un gruppo hacker autodefinitosi ‘Esercito Elettronico Siriano’, lo stesso gruppo che all’inizio dell’anno ha colpito la BBC. Stando alle dichiarazioni dello stesso Twitter, questi potrebbero essere i primi di una lunga serie di attacchi ai grandi gruppi editoriali di tutto il mondo con un tipo particolare phishing (email esca inviate dai cyber criminali per catturare dati sensibili dell’utente, quali password, numeri di carta di credito, spingendolo ad esempio a effettuare il login attraverso falsi siti ufficiali). Nell’email di allarme, inviata ai più importanti media internazionali, Twitter traccia una serie di linee guida per proteggersi da attacchi: “Ridurre la vulnerabilità al phishing dei computer aziendali con misure di sicurezza più forti, designare un solo computer all’uso di Twitter per impedire che la password si diffonda su diversi dispositivi, evitare di navigare sul web e leggere la posta da quello stesso computer”. Secondo i ricercatori ESET però queste misure potrebbero non essere sufficientemente adeguate per prevenire gli attacchi, in quanto non tutti gli account Twitter vengono attaccati con phishing o spear-phishing. Gli hacker possono inviare falsi tweet anche quando riescono ad attaccare una sessione non cifrata, dunque talvolta le violazioni della sicurezza sono dovute a errori e superficialità da parte degli stessi utenti. Si può allora ridurre il rischio connettendosi tramite VPN o accedendo ai siti via SSL, sebbene questo possa rendere il processo meno immediato. Può inoltre essere utile non avere l’account Twitter permanentemente aperto in background mentre si lavora ad altro, anche se questo potrebbe risultare scomodo per molti utenti che usano i social network. In definitiva per ESET “che si tratti di spear-phishing o meno, l’unico modo per rendere più difficile il lavoro degli hacker è l’accurata formazione e consapevolezza dell’utente”. Dopo l’attacco hacker all’Associated Press Twitter ha annunciato il test di un sistema di autenticazione a due fattori, anche detto autenticazione multi-fattoriale, più efficace di quello basato su un’unica password perché richiede, oltre ad essa, l’uso di un secondo device (di solito uno smartphone) sul quale viene invitato, via SMS o APP, un codice generato casualmente da inserire durante il log in.