Furto dati email
Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
Ovidio 14-10-24 19.32
@ giannirsc
Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
Mi è successo a giugno Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
È un malware che "ruba" username e password memorizzati nel browser (per intenderci, quelli che tu fai memorizzare al browser per non digitarli a ogni login)... poi sti criminali i tuoi dati li mettono in vendita sui black market... ho fatto pure segnalazione alla polizia... per fortuna non ho avuto conseguenze economiche, ma ho dovuto cancellare praticamente tutti gli account (compreso un servizio mail che usavo regolarmente da anni) e ricrearli ex-novo. È stata una brutta esperienza.
MicTastiera 14-10-24 23.22
@ giannirsc
Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
Ciao mi è capitata la stessa identica cosa con altro provider qualche tempo fa. Cominciato con mail da vari siti di tentativi di accesso e di cambi psw da convalidare con mail. Lì per lì ho cambiato le psw di quei siti. Poi ho ricevuto messaggi di tentativi di iscrizione a vari siti con la mia mail, anche lì non è successo niente. Ad un certo punto non sono più riuscito ad entrare nella mail, a quel punto ho visto, dalla mail secondaria di appoggio, il messaggio che la password della mail (principale) era stato cambiato con successo (non da me!!). Panico! Ho controllato l' home banking ma lì era tutto a posto (non basta la mail, meno male che c'è l' autentificazione a doppio fattore!). A quel punto ho resettato la password della mail principale (col mio provider si poteva fare) e leggendo un tutorial ho notato che si poteva abilitare l' autentificazione a doppio fattore (psw più autentificazione con cellulare). A seguire ho cambiato le psw di tutti i siti / servizi sensibili ed il giorno dopo ho fatto denuncia ai carabinieri.
Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
MicTastiera 14-10-24 23.27
@ MicTastiera
Ciao mi è capitata la stessa identica cosa con altro provider qualche tempo fa. Cominciato con mail da vari siti di tentativi di accesso e di cambi psw da convalidare con mail. Lì per lì ho cambiato le psw di quei siti. Poi ho ricevuto messaggi di tentativi di iscrizione a vari siti con la mia mail, anche lì non è successo niente. Ad un certo punto non sono più riuscito ad entrare nella mail, a quel punto ho visto, dalla mail secondaria di appoggio, il messaggio che la password della mail (principale) era stato cambiato con successo (non da me!!). Panico! Ho controllato l' home banking ma lì era tutto a posto (non basta la mail, meno male che c'è l' autentificazione a doppio fattore!). A quel punto ho resettato la password della mail principale (col mio provider si poteva fare) e leggendo un tutorial ho notato che si poteva abilitare l' autentificazione a doppio fattore (psw più autentificazione con cellulare). A seguire ho cambiato le psw di tutti i siti / servizi sensibili ed il giorno dopo ho fatto denuncia ai carabinieri.
Leggendo i consigli del servizio clienti ho verificato che i dati di registrazione della mail non fossero cambiati, e ho verificato che non fossero stati settati dei filtri/ inoltro messaggi ad altre mail.
Ciao mi è capitata la stessa identica cosa con altro provider qualche tempo fa. Cominciato con mail da vari siti di tentativi di accesso e di cambi psw da convalidare con mail. Lì per lì ho cambiato le psw di quei siti. Poi ho ricevuto messaggi di tentativi di iscrizione a vari siti con la mia mail, anche lì non è successo niente. Ad un certo punto non sono più riuscito ad entrare nella mail, a quel punto ho visto, dalla mail secondaria di appoggio, il messaggio che la password della mail (principale) era stato cambiato con successo (non da me!!). Panico! Ho controllato l' home banking ma lì era tutto a posto (non basta la mail, meno male che c'è l' autentificazione a doppio fattore!). A quel punto ho resettato la password della mail principale (col mio provider si poteva fare) e leggendo un tutorial ho notato che si poteva abilitare l' autentificazione a doppio fattore (psw più autentificazione con cellulare). A seguire ho cambiato le psw di tutti i siti / servizi sensibili ed il giorno dopo ho fatto denuncia ai carabinieri.
Morale: abilitare sempre dove possibile l'autenticazione a doppio fattore, in modo che il solo furto di psw non sia sufficiente a fare danni.
MicTastiera 14-10-24 23.32
@ giannirsc
Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
Però mi sembra molto strano che sul tuo provider (Tiscali?) non sia possibile fare una procedura di reset psw veloce.
Non so se è già capitato a qualcuno di voi, giovedì scorso mi sono iniziata ad arrivare dei messaggi sul cellulare di tentato accesso su Netflix, poi su Booking... sono andato a controllare la mia mail e non avevo più accesso era stata cambiata la password, sono andato sulla mia Home Banking e anche lì non potevo più accedere per fortuna sono riuscito a risolvere subito telefonando e non è stata fatta nessuna transazione a mia insaputa.. Il problema è che vorrei riaccendere alla mia email di Tiscali Milanese e non so come fare virgola c'è un Form dove chiede la verifica del cellulare con le mail l'ho fatta già da venerdì ma non ho più ricevuto notizie..possibile che non posso rientrare in possesso della mia email?
Prova a martellare (se non già fatto...) il servizio clienti, spero almeno che a seguito del form compilato abbiano bloccato l' accesso alla mail.
MicTastiera 14-10-24 23.40
@ Ovidio
Mi è successo a giugno
È un malware che "ruba" username e password memorizzati nel browser (per intenderci, quelli che tu fai memorizzare al browser per non digitarli a ogni login)... poi sti criminali i tuoi dati li mettono in vendita sui black market... ho fatto pure segnalazione alla polizia... per fortuna non ho avuto conseguenze economiche, ma ho dovuto cancellare praticamente tutti gli account (compreso un servizio mail che usavo regolarmente da anni) e ricrearli ex-novo. È stata una brutta esperienza.
Ho riflettuto su come abbiano potuto fare.
Mi è successo a giugno
È un malware che "ruba" username e password memorizzati nel browser (per intenderci, quelli che tu fai memorizzare al browser per non digitarli a ogni login)... poi sti criminali i tuoi dati li mettono in vendita sui black market... ho fatto pure segnalazione alla polizia... per fortuna non ho avuto conseguenze economiche, ma ho dovuto cancellare praticamente tutti gli account (compreso un servizio mail che usavo regolarmente da anni) e ricrearli ex-novo. È stata una brutta esperienza.
Nel mio caso ho seri dubbi so trattasse di un malware, perché non salvo la psw della mail e dei servizi sensibili nei browser apposta, le digito ogni volta.
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Effettivamente una volta che hai un indirizzo mail in mano se non c'è un'autentificazione a doppio fattore prima o poi la psw la buchi ed entri
Concordo sul fatto che si tratti di una brutta esperienza, ho passato un paio d'ore di panico.
Brutte storie: pericolose e danno un sacco di noie, nella vita attuale tutta account e digitale una situazione del genere può causare disastri.
Raccomando anche io fortemente l'autenticazione in due fattori, almeno per gli account più importanti, e aggiungo che è fondamentale l'utilizzo di password "forti", cioè successivamente lunghe e composte da sequenze casuali di caratteri alfanumerici con tanto di maiuscole, minuscole, cifre e caratteri speciali.
Fate questo, attivate l'antivirus integrato di Windows, utilizzate soltanto software rigorosamente originale, evitate chiavette USB "losche" (avete presente quelle che date al fotografo o al medico e poi rimettete nel vostro computer? Ecco...) e siti web poco sicuri, occhio alle mail di phishing e siete al sicuro dalla maggior parte dei problemi.
È anche importante evitare di salvare le password nei browser, e personalmente a costo di sembrare paranoico evitare i gestori di password, specie quelli closed source. Acquisendo comodità si perde sicurezza, poi sta a ognuno trovare il suo equilibrio...personalmente ritengo che certe abitudini dovrebbero andare a braccetto con l'utilizzo del PC, ma è una battaglia persa. Inoltre la sicurezza informatica al 100% esiste soltanto prendendo a martellate il PC e dandogli fuoco a una temperatura molto alta...
Raccomando anche io fortemente l'autenticazione in due fattori, almeno per gli account più importanti, e aggiungo che è fondamentale l'utilizzo di password "forti", cioè successivamente lunghe e composte da sequenze casuali di caratteri alfanumerici con tanto di maiuscole, minuscole, cifre e caratteri speciali.
Fate questo, attivate l'antivirus integrato di Windows, utilizzate soltanto software rigorosamente originale, evitate chiavette USB "losche" (avete presente quelle che date al fotografo o al medico e poi rimettete nel vostro computer? Ecco...) e siti web poco sicuri, occhio alle mail di phishing e siete al sicuro dalla maggior parte dei problemi.
È anche importante evitare di salvare le password nei browser, e personalmente a costo di sembrare paranoico evitare i gestori di password, specie quelli closed source. Acquisendo comodità si perde sicurezza, poi sta a ognuno trovare il suo equilibrio...personalmente ritengo che certe abitudini dovrebbero andare a braccetto con l'utilizzo del PC, ma è una battaglia persa. Inoltre la sicurezza informatica al 100% esiste soltanto prendendo a martellate il PC e dandogli fuoco a una temperatura molto alta...
A me la cosa che urta è che il servizio clienti chiami e c'è una voce predicata che non risolve nulla, sulla email mi dice che devono verificare il numero di telefono, ti ho mandato già tre volte tutti i dati sia dal loro sito che tramite WhatsApp ma non ho ricevuto risposte
MicTastiera ha scritto:
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Questo, che in gergo si chiama "attacco brute force", oppure più semplicemente in passato ti sei iscritto a qualche sito usando come nome utente il tuo indirizzo e-mail e mettendo come password la stessa che usi per la casella di posta in se, poi quel sito è stato aperto come una cozza da qualche pirata informatico e chi l'ha aperto ha avuto accesso a tutta la lista degli utenti iscritti con le loro password, magari salvate in chiaro nel database senza alcuna crittografia (cosa che ancora oggi succede e che negli scorsi anni spesso era la regola). E quella lista è stata venduta ad altri criminali informatici o pubblicata nel dark web.
C'è questo sito dove si può inserire il proprio indirizzo e-mail e verificare se sia finito o meno su qualche lista, il sito inoltre elenca quali sono le possibili piattaforme da cui è stato estratto. Quest'ultima funzione però non è precisa al 100%, il mio indirizzo e-mail per esempio risulta fuoriuscito da siti che manco conosco e quindi è impossibile che mi ci sia iscritto. Però altri li ha beccati correttamente.
Se il vostro indirizzo risulta compromesso non correte a strapparvi i capelli, probabilmente al momento sono pochi gli indirizzi e-mail rimasti ancora "sani". Se avete l'altrettanto sana abitudine di usare password diverse per ogni sito o servizio, il danno resta circoscritto ai siti che vi vengono indicati in quella pagina ed è sufficiente che cambiate le password solo su quei siti. Se invece usate la stessa password per tutto, e magari quella password è la stessa anche per cose come le vostre caselle e-mail, le piattaforme e-banking che usate, conti PayPal e via dicendo, cambiatele tutte immediatamente! Non aspettate, perché finché non lo fate il fatto che vi succeda qualcosa di brutto e scomodo non è questione di se, ma di quando.
Ovidio 15-10-24 10.00
@ d_phatt
Brutte storie: pericolose e danno un sacco di noie, nella vita attuale tutta account e digitale una situazione del genere può causare disastri.
Raccomando anche io fortemente l'autenticazione in due fattori, almeno per gli account più importanti, e aggiungo che è fondamentale l'utilizzo di password "forti", cioè successivamente lunghe e composte da sequenze casuali di caratteri alfanumerici con tanto di maiuscole, minuscole, cifre e caratteri speciali.
Fate questo, attivate l'antivirus integrato di Windows, utilizzate soltanto software rigorosamente originale, evitate chiavette USB "losche" (avete presente quelle che date al fotografo o al medico e poi rimettete nel vostro computer? Ecco...) e siti web poco sicuri, occhio alle mail di phishing e siete al sicuro dalla maggior parte dei problemi.
È anche importante evitare di salvare le password nei browser, e personalmente a costo di sembrare paranoico evitare i gestori di password, specie quelli closed source. Acquisendo comodità si perde sicurezza, poi sta a ognuno trovare il suo equilibrio...personalmente ritengo che certe abitudini dovrebbero andare a braccetto con l'utilizzo del PC, ma è una battaglia persa. Inoltre la sicurezza informatica al 100% esiste soltanto prendendo a martellate il PC e dandogli fuoco a una temperatura molto alta...
Dici che keepass non è affidabile? Io sinceramente non ce la faccio a ricordare tutte le password (a parte quella del login a supportimusicali Brutte storie: pericolose e danno un sacco di noie, nella vita attuale tutta account e digitale una situazione del genere può causare disastri.
Raccomando anche io fortemente l'autenticazione in due fattori, almeno per gli account più importanti, e aggiungo che è fondamentale l'utilizzo di password "forti", cioè successivamente lunghe e composte da sequenze casuali di caratteri alfanumerici con tanto di maiuscole, minuscole, cifre e caratteri speciali.
Fate questo, attivate l'antivirus integrato di Windows, utilizzate soltanto software rigorosamente originale, evitate chiavette USB "losche" (avete presente quelle che date al fotografo o al medico e poi rimettete nel vostro computer? Ecco...) e siti web poco sicuri, occhio alle mail di phishing e siete al sicuro dalla maggior parte dei problemi.
È anche importante evitare di salvare le password nei browser, e personalmente a costo di sembrare paranoico evitare i gestori di password, specie quelli closed source. Acquisendo comodità si perde sicurezza, poi sta a ognuno trovare il suo equilibrio...personalmente ritengo che certe abitudini dovrebbero andare a braccetto con l'utilizzo del PC, ma è una battaglia persa. Inoltre la sicurezza informatica al 100% esiste soltanto prendendo a martellate il PC e dandogli fuoco a una temperatura molto alta...
)... e anche se ci riuscissi, sono lunghe e laboriose da digitare, accedere a una risorsa ogni volta diventa uno stress... comunque ho letto che con l'autenticazione a due fattori la lunghezza e complessità della password è ininfluente.
@ Ovidio
Dici che keepass non è affidabile? Io sinceramente non ce la faccio a ricordare tutte le password (a parte quella del login a supportimusicali)... e anche se ci riuscissi, sono lunghe e laboriose da digitare, accedere a una risorsa ogni volta diventa uno stress... comunque ho letto che con l'autenticazione a due fattori la lunghezza e complessità della password è ininfluente.
Non ho esperienza diretta con i gestori di password, però vedo che KeePass (a questo punto ti ringrazio per la segnalazione) è software libero e open source sviluppato da più di 20 anni, per cui con tutta probabilità potrai farne uso senza problemi.
Dici che keepass non è affidabile? Io sinceramente non ce la faccio a ricordare tutte le password (a parte quella del login a supportimusicali
)... e anche se ci riuscissi, sono lunghe e laboriose da digitare, accedere a una risorsa ogni volta diventa uno stress... comunque ho letto che con l'autenticazione a due fattori la lunghezza e complessità della password è ininfluente.
In ogni caso, una via di mezzo può essere quella di ricordare a memoria e inserire manualmente soltanto le password più importanti, tipo quelle della banca, l'email personale a cui altri account fanno riferimento, eccetera, e utilizzare un gestore per tutte le altre. Tra l'altro saperle a memoria può essere importante a volte, quindi quelle "chiave" (scusa il gioco di parole) è bene ricordarle.
Ovidio ha scritto:
comunque ho letto che con l'autenticazione a due fattori la lunghezza e complessità della password è ininfluente.
comunque ho letto che con l'autenticazione a due fattori la lunghezza e complessità della password è ininfluente.
Two levels of security is meglio che one...
Ovidio 15-10-24 10.26
@ MicTastiera
Ho riflettuto su come abbiano potuto fare.
Nel mio caso ho seri dubbi so trattasse di un malware, perché non salvo la psw della mail e dei servizi sensibili nei browser apposta, le digito ogni volta.
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Effettivamente una volta che hai un indirizzo mail in mano se non c'è un'autentificazione a doppio fattore prima o poi la psw la buchi ed entri
Concordo sul fatto che si tratti di una brutta esperienza, ho passato un paio d'ore di panico.
Ho spulciato interi siti per capire di cosa si trattasse. Nel mio caso è stato un malware specifico, beccato purtroppo tramite un file zippato scaricato dalla rete e non riconosciuto da Windows Defender. La cronaca è simile alla tua, email che mi arrivano da Ebay che si complimenta per l'acquisto di un Iphone da 900 euro, tentativi di accesso ovunque (molti andati a buon fine). La mia preoccupazione principale verteva su Google Drive, in cui erano memorizzati file personali (copie patente, carta d'identità, etc.) e in cui sono riusciti - ahimé - ad accedere. Da qui la decisione successiva di segnalare le intrusioni alla polizia.
Ho riflettuto su come abbiano potuto fare.
Nel mio caso ho seri dubbi so trattasse di un malware, perché non salvo la psw della mail e dei servizi sensibili nei browser apposta, le digito ogni volta.
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Effettivamente una volta che hai un indirizzo mail in mano se non c'è un'autentificazione a doppio fattore prima o poi la psw la buchi ed entri
Concordo sul fatto che si tratti di una brutta esperienza, ho passato un paio d'ore di panico.
Due ore di panico? Magari. Per almeno un paio di settimane ho ricevuto quotidianamente svariati avvisi di tentativi di accesso su decine di siti a cui ero/sono iscritto. Roba da non chiudere occhio la notte, credimi.
Adesso i file personali li tengo su una chiavetta usb ben chiusa in cassaforte e al bisogno la prendo. Per il resto, autenticazione a due fattori ovunque.
@ Ovidio
Ho spulciato interi siti per capire di cosa si trattasse. Nel mio caso è stato un malware specifico, beccato purtroppo tramite un file zippato scaricato dalla rete e non riconosciuto da Windows Defender. La cronaca è simile alla tua, email che mi arrivano da Ebay che si complimenta per l'acquisto di un Iphone da 900 euro, tentativi di accesso ovunque (molti andati a buon fine). La mia preoccupazione principale verteva su Google Drive, in cui erano memorizzati file personali (copie patente, carta d'identità, etc.) e in cui sono riusciti - ahimé - ad accedere. Da qui la decisione successiva di segnalare le intrusioni alla polizia.
Due ore di panico? Magari. Per almeno un paio di settimane ho ricevuto quotidianamente svariati avvisi di tentativi di accesso su decine di siti a cui ero/sono iscritto. Roba da non chiudere occhio la notte, credimi.
Adesso i file personali li tengo su una chiavetta usb ben chiusa in cassaforte e al bisogno la prendo. Per il resto, autenticazione a due fattori ovunque.
Probabilmente hai sperimentato uno dei lati peggiori di tutto questo. Perdona l'ovvietà: se tieni i dati più importanti su una chiavetta (che ci può anche stare, capisco che dopo un'esperienza del genere uno va con i guanti), fanne un backup regolare su una seconda chiavetta (meglio ancora su un disco meccanico esterno) che utilizzi solo per i backup, perché, attacchi informatici a parte, senza backup rischi di perdere tutto al primo malfunzionamento.
Ho spulciato interi siti per capire di cosa si trattasse. Nel mio caso è stato un malware specifico, beccato purtroppo tramite un file zippato scaricato dalla rete e non riconosciuto da Windows Defender. La cronaca è simile alla tua, email che mi arrivano da Ebay che si complimenta per l'acquisto di un Iphone da 900 euro, tentativi di accesso ovunque (molti andati a buon fine). La mia preoccupazione principale verteva su Google Drive, in cui erano memorizzati file personali (copie patente, carta d'identità, etc.) e in cui sono riusciti - ahimé - ad accedere. Da qui la decisione successiva di segnalare le intrusioni alla polizia.
Due ore di panico? Magari. Per almeno un paio di settimane ho ricevuto quotidianamente svariati avvisi di tentativi di accesso su decine di siti a cui ero/sono iscritto. Roba da non chiudere occhio la notte, credimi.
Adesso i file personali li tengo su una chiavetta usb ben chiusa in cassaforte e al bisogno la prendo. Per il resto, autenticazione a due fattori ovunque.
Ovidio 15-10-24 10.35
d_phatt ha scritto:
Non ho esperienza diretta con i gestori di password, però vedo che KeePass (a questo punto ti ringrazio per la segnalazione) è software libero e open source sviluppato da più di 20 anni, per cui con tutta probabilità potrai farne uso senza problemi.
Non ho esperienza diretta con i gestori di password, però vedo che KeePass (a questo punto ti ringrazio per la segnalazione) è software libero e open source sviluppato da più di 20 anni, per cui con tutta probabilità potrai farne uso senza problemi.
Sì ovviamente poi esistono le varie "fork", come da tradizione. Mi sono documentato e mi sembra che Keepass2 sia la versione migliore e maggiormente supportata. Inoltre ha un sistema di shortcut da tastiera (Ctrl+Alt+A) che, una volta impostato a dovere, permette l'autofill a seconda del sito di pertinenza. L'immissione automatica avviene con un leggero ritardo in modo da eludere eventuali malware (non chiedermi come fa, non ricordo
però sulla guida online la spiegazione c'è). Ne esiste anche una versione traslata per Android che può "dialogare" con quella per pc tramite un db dedicato.
d_phatt ha scritto:
Two levels of security is meglio che one...
Two levels of security is meglio che one...
D'accordissimo
Ovidio ha scritto:
La mia preoccupazione principale verteva su Google Drive, in cui erano memorizzati file personali (copie patente, carta d'identità, etc.) e in cui sono riusciti - ahimé - ad accedere.
La mia preoccupazione principale verteva su Google Drive, in cui erano memorizzati file personali (copie patente, carta d'identità, etc.) e in cui sono riusciti - ahimé - ad accedere.
MAI tenere sul cloud file come questi. In generale file con informazioni sensibili, ma in particolare scansioni di documenti personali, elenchi di conti, PIN e password, e via dicendo. Tra l'altro quando tenuti sul proprio PC questi file per sicurezza andrebbero crittografati, perché un malware può sempre intrufolarsi anche nel proprio computer e rubare dati. I ransomware in particolare ora hanno la "simpatica" attitudine di mandare al loro gestore i file del tuo disco prima di crittografarli, così il riscatto ora non serve più solo per ottenere le chiavi per decrittare i file che sono stati cifrati, ma anche ad evitare che lo stronzo che sta dietro al ransomware renda pubblici i tuoi dati (tra l'altro non è garantito che pagando si otterranno le chiavi e i file non verranno pubblicati, si sta avendo a che fare con dei criminali dopotutto).
Ad ogni modo, dare in pasto file di qualunque tipo ad un servizio cloud significa sostanzialmente metterli sul computer di un altro e dargli tutte le possibilità di controllo. E se in qualsiasi modo il cloud viene bucato, perché riescono a rubarti l'account come successo a te o perché il cloud provider subisce un attacco generale, ecco che i tuoi file sono alla mercè di cani e porci.
Dobbiamo sempre ricordarci che Internet è l'esatto opposto della sicurezza.
mima85 ha scritto:
MAI tenere sul cloud file come questi. In generale file con informazioni sensibili, ma in particolare scansioni di documenti personali, elenchi di conti, PIN e password, e via dicendo.
MAI tenere sul cloud file come questi. In generale file con informazioni sensibili, ma in particolare scansioni di documenti personali, elenchi di conti, PIN e password, e via dicendo.
Ecco, io l'archiviazione su Cloud la eviterei anche per i documenti generici. Con meno di 100 € ti comperi un disco esterno da 4 TB e passi la paura...
@ paolo_b3
Ecco, io l'archiviazione su Cloud la eviterei anche per i documenti generici. Con meno di 100 € ti comperi un disco esterno da 4 TB e passi la paura...
Sfondi una porta aperta, io in casa ho un server intero. Non un "semplice" NAS, proprio un server di quelli che troveresti in un'azienda su cui gira Windows Server 2019 ed in cui tengo tutta la mia vita digitale. E ho qualcosa come una decina tra NAS e dischi esterni su cui faccio i backup, l'80% dei quali sono tutti automatizzati (per i backup sui dischi esterni, che faccio a rotazione, mi basta premere un pulsante su uno dei NAS per far partire la sincronizzazione automatica). Se qui c'è qualcuno a cui sta solennemente sulle scatole il cloud, quello sono io mima85 ha scritto:
MAI tenere sul cloud file come questi. In generale file con informazioni sensibili, ma in particolare scansioni di documenti personali, elenchi di conti, PIN e password, e via dicendo.
MAI tenere sul cloud file come questi. In generale file con informazioni sensibili, ma in particolare scansioni di documenti personali, elenchi di conti, PIN e password, e via dicendo.
Ecco, io l'archiviazione su Cloud la eviterei anche per i documenti generici. Con meno di 100 € ti comperi un disco esterno da 4 TB e passi la paura...
Però capisco che il cloud per molti sia comodo e soprattutto che non tutti vogliano avere lo sbattimento di tenersi in casa un'infrastruttura informatica come quella che si troverebbe in un piccolo ufficio, come ce l'ho io. Io lavoro nel settore, ho la passione per queste cose ed il mio mestiere, in particolare negli anni passati, m'ha permesso di mettere le mani su molto del materiale necessario per costruirmela senza spendere un centesimo (cliente dismette il vecchio server -> casualmente finisce nel baule dell'auto di mima85
), sebbene alcune cose per questioni di affidabilità le abbia comprate nuove, i dischi soprattutto.
Ma per uno meno schizzato del sottoscritto, basta avere in casa un NAS con mirroring e sottoposto a regolari backup, preferibilmente su due o più dischi esterni usati a rotazione giusto per star sicuri. Più ovviamente tutte le regole basilari della sicurezza informatica e che valgono anche per noi addetti ai lavori, cioè fare attenzione ai siti che si visitano, usare login differenti per ogni servizio a cui ci si iscrive e non cliccare/doppiocliccare acriticamente su qualsiasi link, icona o banner che appare sullo schermo.
Per quanto riguarda il cloud, io sono della ferma opinione che non vada usato come magazzino primario dei propri file. Va bene come backup esterno, "off-site" come si direbbe in gergo tecnico, a condizione che i file vengano crittografati prima di finirci sopra.
@ mima85
Sfondi una porta aperta, io in casa ho un server intero. Non un "semplice" NAS, proprio un server di quelli che troveresti in un'azienda su cui gira Windows Server 2019 ed in cui tengo tutta la mia vita digitale. E ho qualcosa come una decina tra NAS e dischi esterni su cui faccio i backup, l'80% dei quali sono tutti automatizzati (per i backup sui dischi esterni, che faccio a rotazione, mi basta premere un pulsante su uno dei NAS per far partire la sincronizzazione automatica). Se qui c'è qualcuno a cui sta solennemente sulle scatole il cloud, quello sono io
Però capisco che il cloud per molti sia comodo e soprattutto che non tutti vogliano avere lo sbattimento di tenersi in casa un'infrastruttura informatica come quella che si troverebbe in un piccolo ufficio, come ce l'ho io. Io lavoro nel settore, ho la passione per queste cose ed il mio mestiere, in particolare negli anni passati, m'ha permesso di mettere le mani su molto del materiale necessario per costruirmela senza spendere un centesimo (cliente dismette il vecchio server -> casualmente finisce nel baule dell'auto di mima85), sebbene alcune cose per questioni di affidabilità le abbia comprate nuove, i dischi soprattutto.
Ma per uno meno schizzato del sottoscritto, basta avere in casa un NAS con mirroring e sottoposto a regolari backup, preferibilmente su due o più dischi esterni usati a rotazione giusto per star sicuri. Più ovviamente tutte le regole basilari della sicurezza informatica e che valgono anche per noi addetti ai lavori, cioè fare attenzione ai siti che si visitano, usare login differenti per ogni servizio a cui ci si iscrive e non cliccare/doppiocliccare acriticamente su qualsiasi link, icona o banner che appare sullo schermo.
Per quanto riguarda il cloud, io sono della ferma opinione che non vada usato come magazzino primario dei propri file. Va bene come backup esterno, "off-site" come si direbbe in gergo tecnico, a condizione che i file vengano crittografati prima di finirci sopra.
Sfondi una porta aperta, io in casa ho un server intero. Non un "semplice" NAS, proprio un server di quelli che troveresti in un'azienda su cui gira Windows Server 2019 ed in cui tengo tutta la mia vita digitale. E ho qualcosa come una decina tra NAS e dischi esterni su cui faccio i backup, l'80% dei quali sono tutti automatizzati (per i backup sui dischi esterni, che faccio a rotazione, mi basta premere un pulsante su uno dei NAS per far partire la sincronizzazione automatica). Se qui c'è qualcuno a cui sta solennemente sulle scatole il cloud, quello sono io
Però capisco che il cloud per molti sia comodo e soprattutto che non tutti vogliano avere lo sbattimento di tenersi in casa un'infrastruttura informatica come quella che si troverebbe in un piccolo ufficio, come ce l'ho io. Io lavoro nel settore, ho la passione per queste cose ed il mio mestiere, in particolare negli anni passati, m'ha permesso di mettere le mani su molto del materiale necessario per costruirmela senza spendere un centesimo (cliente dismette il vecchio server -> casualmente finisce nel baule dell'auto di mima85
), sebbene alcune cose per questioni di affidabilità le abbia comprate nuove, i dischi soprattutto.
Ma per uno meno schizzato del sottoscritto, basta avere in casa un NAS con mirroring e sottoposto a regolari backup, preferibilmente su due o più dischi esterni usati a rotazione giusto per star sicuri. Più ovviamente tutte le regole basilari della sicurezza informatica e che valgono anche per noi addetti ai lavori, cioè fare attenzione ai siti che si visitano, usare login differenti per ogni servizio a cui ci si iscrive e non cliccare/doppiocliccare acriticamente su qualsiasi link, icona o banner che appare sullo schermo.
Per quanto riguarda il cloud, io sono della ferma opinione che non vada usato come magazzino primario dei propri file. Va bene come backup esterno, "off-site" come si direbbe in gergo tecnico, a condizione che i file vengano crittografati prima di finirci sopra.
Ho un NAS, al cloud non ci penso proprio.
@ mima85
Questo, che in gergo si chiama "attacco brute force", oppure più semplicemente in passato ti sei iscritto a qualche sito usando come nome utente il tuo indirizzo e-mail e mettendo come password la stessa che usi per la casella di posta in se, poi quel sito è stato aperto come una cozza da qualche pirata informatico e chi l'ha aperto ha avuto accesso a tutta la lista degli utenti iscritti con le loro password, magari salvate in chiaro nel database senza alcuna crittografia (cosa che ancora oggi succede e che negli scorsi anni spesso era la regola). E quella lista è stata venduta ad altri criminali informatici o pubblicata nel dark web.
C'è questo sito dove si può inserire il proprio indirizzo e-mail e verificare se sia finito o meno su qualche lista, il sito inoltre elenca quali sono le possibili piattaforme da cui è stato estratto. Quest'ultima funzione però non è precisa al 100%, il mio indirizzo e-mail per esempio risulta fuoriuscito da siti che manco conosco e quindi è impossibile che mi ci sia iscritto. Però altri li ha beccati correttamente.
Se il vostro indirizzo risulta compromesso non correte a strapparvi i capelli, probabilmente al momento sono pochi gli indirizzi e-mail rimasti ancora "sani". Se avete l'altrettanto sana abitudine di usare password diverse per ogni sito o servizio, il danno resta circoscritto ai siti che vi vengono indicati in quella pagina ed è sufficiente che cambiate le password solo su quei siti. Se invece usate la stessa password per tutto, e magari quella password è la stessa anche per cose come le vostre caselle e-mail, le piattaforme e-banking che usate, conti PayPal e via dicendo, cambiatele tutte immediatamente! Non aspettate, perché finché non lo fate il fatto che vi succeda qualcosa di brutto e scomodo non è questione di se, ma di quando.
Un conoscente, di professione informatico forense, mi ha detto che un suo parente ha usato come password "forte" proprio le parole "password forte" seguite da un numero. Siamo senza parole.
MicTastiera ha scritto:
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Credo semplicemente che una volta individuato un indirizzo mail (cosa purtroppo facile, o da social in cui lo lasciamo visibili, o da catene mail o da spam...) facciano dei tentativi per verificare se la mail è effettivamente attiva o poi con programmi di forzatura psw si mettano a provare.
Questo, che in gergo si chiama "attacco brute force", oppure più semplicemente in passato ti sei iscritto a qualche sito usando come nome utente il tuo indirizzo e-mail e mettendo come password la stessa che usi per la casella di posta in se, poi quel sito è stato aperto come una cozza da qualche pirata informatico e chi l'ha aperto ha avuto accesso a tutta la lista degli utenti iscritti con le loro password, magari salvate in chiaro nel database senza alcuna crittografia (cosa che ancora oggi succede e che negli scorsi anni spesso era la regola). E quella lista è stata venduta ad altri criminali informatici o pubblicata nel dark web.
C'è questo sito dove si può inserire il proprio indirizzo e-mail e verificare se sia finito o meno su qualche lista, il sito inoltre elenca quali sono le possibili piattaforme da cui è stato estratto. Quest'ultima funzione però non è precisa al 100%, il mio indirizzo e-mail per esempio risulta fuoriuscito da siti che manco conosco e quindi è impossibile che mi ci sia iscritto. Però altri li ha beccati correttamente.
Se il vostro indirizzo risulta compromesso non correte a strapparvi i capelli, probabilmente al momento sono pochi gli indirizzi e-mail rimasti ancora "sani". Se avete l'altrettanto sana abitudine di usare password diverse per ogni sito o servizio, il danno resta circoscritto ai siti che vi vengono indicati in quella pagina ed è sufficiente che cambiate le password solo su quei siti. Se invece usate la stessa password per tutto, e magari quella password è la stessa anche per cose come le vostre caselle e-mail, le piattaforme e-banking che usate, conti PayPal e via dicendo, cambiatele tutte immediatamente! Non aspettate, perché finché non lo fate il fatto che vi succeda qualcosa di brutto e scomodo non è questione di se, ma di quando.
@ Ilaria_Villa
Un conoscente, di professione informatico forense, mi ha detto che un suo parente ha usato come password "forte" proprio le parole "password forte" seguite da un numero. Siamo senza parole.
Un attacco bruteforce, usando un dizionario troverebbe la prima parte della password (le parole "password" e "forte") se va male in qualche minuto, se va bene questione di secondi e pure meno. Per il numero, dipende quant'è lungo, un numero di 4 cifre te lo scova credo nel tempo di qualche decimo di secondo.
Un conoscente, di professione informatico forense, mi ha detto che un suo parente ha usato come password "forte" proprio le parole "password forte" seguite da un numero. Siamo senza parole.
In realtà dagli ultimi studi è saltato fuori che le frasi sono molto robuste se usate come password, ancora di più delle password complesse fatte con lettere maiuscole/minuscole, numeri e simboli vari. Specie se dette frasi sono condite da qualche numero e da segni di punteggiatura. Il problema è che con una frase tipicamente superi la lunghezza massima della password ammessa dalla maggior parte dei servizi, quindi non sono molte le occasioni in cui si possono usare.
Per quanto riguarda il tuo NAS mi raccomando curane i backup, perché il RAID in mirroring o ad altri livelli che prevedono una ridondanza dei dati su più dischi non è un backup, a dispetto di quanto dicono - e predicano - tanti, anche gente che in teoria dovrebbe essere esperta del settore. Se arriva un virus che ti crittografa i file, se questi vengono cancellati per sbaglio, se il file system va a gambe all'aria e via dicendo, la modifica si propaga istantaneamente a tutti i dischi che compongono il RAID ed i dati sono persi, e lo sono per sempre se non si ha un backup da qualche altra parte.