Da asporto chiave
- I codici di autenticazione vengono violati da robot vocali che chiamano e chiedono le tue informazioni.
- Gli hacker possono utilizzare i codici per entrare in account che vanno da Apple ad Amazon.
- Non inviare informazioni personali tramite SMS e riagganciare a tutte le chiamate che insistono per consegnarle, dicono gli esperti.
Potresti stare più attento con chi parli al telefono.
Gli hacker utilizzano sofisticati robot vocali per rubare le password. Gli aggressori prendono sempre più di mira i codici di autenticazione a due fattori (noti anche come 2FA) utilizzati per proteggere qualsiasi cosa, dagli account Apple agli account Amazon.
"I robot vocali sono così efficaci che gli utenti possono facilmente credere di essere autentici, soprattutto quando sembra aiutare a fermare attività dannose, come un acquisto sospetto", ha detto a Lifewire Joseph Carson della società di sicurezza informatica ThycoticCentrify in un colloquio via e-mail. "Purtroppo, in re altà, gli hacker ti stanno rubando i soldi."
Bot chatty
Gli hacker utilizzano bot personalizzati per effettuare chiamate automatiche chiedendo la tua password temporanea, ha detto a Lifewire Jonathan Tian, il co-fondatore di Mobitrix Perfix, una soluzione per iPhone. Alcuni bot ti fanno pensare che stai parlando con un vero rappresentante del servizio clienti prima di chiedere il tuo codice. Il problema è stato recentemente evidenziato in Motherboard.
"L'hacker potrebbe facilmente connettersi al tuo account ed eseguire transazioni o qualsiasi altra cosa desideri una volta inviato il codice di verifica", ha aggiunto Tian.
Un utente malintenzionato che utilizza un bot può mettere le mani su un elenco di account compromesso che contiene e-mail, nomi e numeri di telefono, ha detto a Lifewire l'esperto di sicurezza informatica Steve Tcherchian. L'hacker può quindi provare ad accedere a servizi come Amazon o Google. Facendo clic sul collegamento "reimposta password" verrà inviato un messaggio di testo all'ignaro proprietario.
"L'attaccante chiama quindi il proprietario utilizzando un bot dicendo che il suo account è stato compromesso e per inserire il codice inviato al suo telefono per convalidare la proprietà dell'account", ha aggiunto. "Quando il proprietario inserisce il codice, il ladro ora ha il secondo fattore mancante per compromettere l'account dell'utente."
Gli esperti affermano che i robot vocali degli hacker sono un problema crescente.
"Ci sono molti più robot vocali sul mercato ora rispetto a dieci mesi fa, anche se rimangono un investimento costoso", ha detto a Lifewire l'esperta di privacy Hannah Hart.
I bot possono imitare tutti i tipi di servizi per gli hacker che ne pagano il prezzo, il che significa che esiste la possibilità che un'ampia fascia di clienti venga contattata e indotta a consegnare un codice 2FA o OTP (password monouso), Hart ha detto.
Ci sono molti più robot vocali sul mercato ora rispetto a dieci mesi fa.
Poiché i robot vocali non richiedono che gli hacker siano eccezionalmente abili nell'uso delle tecniche di ingegneria sociale, chiunque potrebbe utilizzarne uno, "quindi è probabile che vedremo hacker imitatori che vogliono tentare la fortuna", Hart aggiunto.
Le frodi e gli attacchi informatici di ogni tipo sono aumentati rapidamente negli ultimi anni, ha detto a Lifewire Bob Lyle, vicepresidente senior della società di sicurezza informatica SpyCloud. E l'uso delle credenziali rubate da parte dei criminali è diventato sempre più sofisticato.
"Una delle sfide principali è la mancanza di comprensione della minaccia", ha detto. "A causa della proliferazione di truffe di telemarketing e chiamate automatizzate, molti consumatori presumono che il loro numero di telefono sia già stato compromesso senza rendersi conto di come potrebbe essere utilizzato per accedere ai propri account."
Proteggiti
Ci sono modi per impedire ai robot vocali di rubare i tuoi preziosi codici di sicurezza.
Non inserire mai il tuo codice 2FA a meno che tu non abbia avviato la richiesta, ha detto Carson. Suggerisce inoltre di essere sempre sospettoso di qualsiasi richiesta che richieda il codice 2FA che non ti aspettavi.
"Assicurati di modificare periodicamente le tue password e di utilizzare un gestore di password per aiutarti a creare password uniche e complesse per ciascun account", ha aggiunto.
Non inviare informazioni personali via SMS e riagganciare a tutte le chiamate che insistono per consegnarle, ha detto Hart. Invece, controlla direttamente il servizio per tenere sotto controllo l'attività del tuo account e segnalare eventuali sospetti o dubbi al team di assistenza clienti.
"Vale anche la pena spargere la voce ad amici e parenti su questi brutti tentativi di hacking", ha aggiunto Hart. "Dopotutto, potremmo ritrovarci tutti presi di mira da un aspirante truffatore e non è sempre facile determinare se un sistema automatizzato sia legittimo o meno."
