Nelle ultime settimane anche l’Italia è stata teatro di falsi tweet e attacchi mirati agli account di giornalisti o politici e si è parlato, anche a sproposito, di violenza della rete e nella rete.
Gli attacchi hacker agli account di Twitter sono in realtà da tempo un fenomeno di rilevanza internazionale, specie dopo che anche la prestigiosa agenzia stampa Associated Press è rimasta vittima di un falso tweet partito dall’account ufficiale, che annunciava due esplosioni alla Casa Bianca, provocando come conseguenza il crollo della borsa Americana. Lo stesso è accaduto al quotidiano The Guardian, oggetto di attacchi da parte di un sedicente gruppo di hacker “Esercito Elettronico Siriano” e stando alle dichiarazioni dello stesso social network c’è il rischio che questa tipologia di eventi possa ripetersi e coinvolgere altri gruppi editoriali di tutto il mondo.
Si tratta secondo gli esperti di Eset, software house produttrice del software di sicurezza Nod 32, di particolari forme di phishing in quanto l’utente vittima di tali attacchi viene spinto a effettuare il login a falsi siti ufficiali da cui poi sono catturati i dati personali, password e username.
Twitter ha rilasciato una serie di linee guida per proteggersi da attacchi di questo tipo: per esempio ha invitato le aziende a ridurre la vulnerabilità dei propri computer, introducendo misure di sicurezza più forti e ha suggerito di destinare un solo computer all’uso del social network, onde impedire che la password si diffonda su diversi dispositivi. Infine può essere utile evitare di navigare sul web e di leggere la posta elettronica dallo stesso computer destinato alle pubblicazioni sul social network.
Secondo gli esperti di Eset queste misure potrebbero essere però insufficienti: non tutti gli account di Twitter vengono attaccati con le stesse modalità (phishing o spear-phishing, un phishing mirato a colpire obiettivi individuali). Gli hacker possono inviare falsi tweet quando riescono ad attaccare una sessione non cifrata, e talvolta le violazioni sono dovute a errori o superficialità da parte degli stessi utenti.
Si può allora ridurre il rischio connettendosi tramite VPN o accedendo ai siti via Ssl, purtroppo penalizzando la velocità di navigazione. Inoltre è suggerito non avere l’account Twitter aperto in background mentre si lavora con altre applicazioni. In definitiva l’unico modo per rendere più difficile il lavoro degli hacker è l’accurata formazione e consapevolezza dell’utente.
Twitter, dopo l’attacco subito dall’Associated Press lo scorso aprile, ha iniziato i test per un nuovo sistema di autenticazione a due fattori che richiede oltre all’inserimento della password, anche l’uso di un secondo dispositivo (di solito uno smartphone) al quale è inviato via Sms o tramite App, un codice generato casualmente, da inserire poi durante il log-in. Un po’ come avviene con i servizi di banking on line dove vengono forniti token che generano numeri casuali da inserire come credenziali di accesso ulteriori a quelle tradizionali.