HomeWeb marketingSocial Media MarketingCome mantenere al sicuro il tuo account Instagram

Come mantenere al sicuro il tuo account Instagram

Problemi di sicurezza con Instagram? Impara come mantenere al sicuro il tuo account Instagram da hacker, phishing e truffatori del web. Ecco la guida completa per proteggere il tuo profilo.

Come mantenere al sicuro il tuo account Instagram

Quick links

Il tuo account Instagram cresce inesorabilmente con il passare del tempo, con esso aumenta il suo valore e le possibilità di diventare il target di hacker e smanettoni senza scrupoli.

In questo post ti voglio mostrare tutti gli strategemmi, gli inganni e soprattutto i tools che per la loro semplicità d’utilizzo rendono possibile un attacco al nostro sistema anche allo smanettone della porta accanto.

Una volta avuto accesso al sistema il furto di tutti gli accessi è questione di un attimo e, in un colpo solo, il malintenzionato di turno ha accesso al tuo account instagram e alla mail ad esso associata.

Questi cyber-criminali-smanettoni, chiamati dagli hacker più seri con nomignoli spregiativi tipo Script-Kiddies o Lamer, non hanno alte competenze di hacking, ma sono nella maggior parte dei casi, i grandi appassionati di PC ed internet che trascorrono gran parte della loro giornata tra blog, forum e youtube dove possono trovare liberamente e senza sforzo tutte le informazioni necessarie.

Si può dire che oggi l’hacking di basso livello di Script-Kiddies o Lamer è praticamente alla portata di tutti esattamente come creare un sito, una landing o un bot per la propria chat.

Essere vittima di un attacco è una possibilità tutt’altro che remota e per questo è necessario attrezzarsi per farsi trovare preparati.

Andiamo a vedere quali sono gli attacchi più comuni dai quali dobbiamo proteggerci e come farlo efficacemente.

Per sconfiggere il nemico devi conoscerlo

Sun TzuL’arte della Guerra

I 3 TIPI DI ATTACCO PIU’ COMUNI

L’inganno è il primo strumento che i Lamer imparano ad usare.

L’inganno è a tutti gli effetti un attacco che gli Hacker chiamano Social Engineering Attack.

Grazie ad esso possono diventare i tuoi migliori amici virtuali in chat pubbliche, come Telegram, per estorcerti successivamente informazioni inerenti la tua vita privata (senza che tu sospetti nulla) che loro poi utilizzeranno per tentare gli accessi alla tua mail e ai tuoi social.

Con l’inganno ci inducono a scaricare files e ad aprirli, installando nel nostro computer un Keylogger, e sempre con l’inganno ti fanno cliccare su link che conducono a pagine create ad-hoc, in tutto e per tutto identiche alle pagine di login del sito di cui ti vogliono rubare l’accesso.

Tecnicamente uno Spear Phishing Attack.

Ma andiamo ad imparare in cosa consistono esattamente questi tipi di attacco che abbiamo citato, partendo dal più grezzo ma molto semplice da eseguire, il Bruteforce Attack.

BRUTEFORCE E DICTIONARY ATTACK

instadvanced-attacco-account-instagram

Il Bruteforce è un attacco che può essere facilmente sferrato da uno dei tanti software facilmente reperibili online.

Consiste nel provare milioni di combinazioni di password fino a identificare quella corretta.

Come suggerisce il nome, è un attacco grezzo che puoi facilmente contrastare con una strong password, togliendo a questo tipo di attacco qualsiasi possibilità di riuscita.

Il Dictionary Attack è simile al Bruteforce, agisce sempre per tentativi, però non completamente alla cieca ma tramite un file di testo che l’attacker carica nel software.

Il cosiddetto Dictionary file è un file di svariati GB dentro al quale gli hacker collezionano vocabolari di quante più lingue possibili, database di password dei siti che loro stessi hanno violato, o quelli colpiti da altri team, che dopo aver sfruttato le password per le loro malefatte, talvolta anche dopo 1 o 2 anni, le rendono pubbliche e possono essere lette da tutti sui siti di “paste”, come pastebin.com, che i lamer utilizzano per rimpinguire la loro collezione senza praticamente muovere un dito.

Vuoi fare una prova? Cerca con Google “password pastebin” e troverai subito + di 24.000 password dell’attacco a Linkedin del 2012.

L’attacco è vecchio, ma le password non lo sono affatto; non hanno età e possono essere utilizzate da altri internauti, tra gli oltre 4 miliardi che popolano la rete.

PREVENIRE GLI ATTACCHI BRUTEFORCE CON UNA STRONG PASSWORD

instagram-password-sicura

La strong password deve essere idealmente almeno da 8 caratteri in su, contenere lettere maiuscole e minuscole, numeri e segni.

Moltissimi siti infatti richiedono una password di questo tipo e lunghezza minima per continuare la registrazione.

Una password di 16 caratteri può resistere ad un attacco Bruteforce per decenni (che aumentano esponenzialmente con l’aggiunta di 1 solo carattere.).

Dal momento che la password, però,  deve resistere anche ad un Dictionary Attack devi adottare qualche malizia aggiuntiva.

Per ogni accesso dobbiamo avere una password diversa perchè se viene hackerato il sito A e tu usi la stessa password anche per il sito B, quando l’hacker aggiunge alla sua collezione le password ottenute con l’attacco al sito A e sferra un attacco dizionario al tuo account sul sito B, cadi inesorabilmente.

La password che sceglierai non deve appartenere a nessun vocabolario, né puoi crearla utilizzando un pattern che ti aiuti a ricordarla per tutti i siti, perchè se il pattern viene individuato, sono compromessi tutti i tuoi accessi in rete, quindi l’ideale è che sia completamente casuale.

Puoi crearla con l’efficente generatore di password messo a disposizione da Norton Security, oppure da solo e verificarne l’efficacia con il password-check offerto da Kaspersky.

Starai pensando: “Ma come faccio a ricordare tutte queste password, che oltre ad essere difficilissime da memorizzare, devono anche essere diverse per tutti i siti?”

Il bello di internet è che Google ci fornisce una risposta ad ogni esigenza digitale, e per assolvere questo compito ci sono dei software, con le relative app per smartphone, chiamati Password Manager, tra cui, per citare i più famosi, LastPass, KeePass, 1Password

A questo punto la tua password sarà al sicuro dagli attacchi bruteforce e dictionary.

Esistono però altri 2 tipi di attacco dove anche la password più lunga e sicura del mondo diventa inutile: il Keylogger e lo Spear Phishing Attack

Vediamo come prevenirli e difenderci nel prossimo paragrafo! 😉

IL KEYLOGGER

Keylogger-Instagram-password

Il Keylogger è una sorta di malware che, di base, memorizza tutto quello che viene digitato sulla tastiera in un file di testo, e ad intervalli regolari invia il file al server o ad un email dell’attacker.

Il keylogger può essere generato da un software, che qualsiasi appassionato di PC è in grado di trovare e configurare con pochi click.

I tool più avanzati permettono al keylogger di loggare anche la clipboard, di inviare screenshot dell’attività in corso e addirittura file audio.

Osservando l’immagine qui sopra, puoi facilmente intuire che qualsiasi appassionato di computer è in grado di configurare il software che genera il keylogger e questo lo rende una minaccia particolarmente insidiosa e molto comune, al quale nemmeno la password più lunga e strong possibile, è in grado di resistere ed è per questo che devi sapere come prevenirne l’installazione sul tuo PC.

Anche quest’applicazione, come i tools per gli attacchi Bruteforce, è perfettamente legale, ed è impiegata anche per monitorare le attività sul proprio PC, quelle dei bambini o degli impiegati di un azienda.

Quelli più professional si possono acquistare con licenza, per poche decine di euro, (Viotto Keylogger) ma ci sono anche delle ottime versioni free che si possono scaricare direttamente dalle softwarehouse produttrici dopo una semplice ricerca su Google, ma anche da famosissimi siti quali Cnet, Softonic, Softpedia

Una volta creato il keylogger viene nascosto (in gergo “bindato”) dentro a files estremamente appetibili, che per un instagrammer possono essere Adobe Photoshop, Illustrator e altre App per l’editing/crescita su Instagram.

Per nascondere e criptare il Keylogger, cosicché non venga rilevato da un Antivirus, specialmente se non aggiornato, vengono utilizzati dei software semplicissimi da reperire e da utilizzare.

Una volta che la versione di Photoshop con il malware nascosto è pronta, viene caricata su quanti più siti di file sharing possibile, per essere diffusi facilmente e senza alcuno sforzo da parte del Lamer.

Questo non esclude qualsiasi altro metodo, come la condivisione diretta in chat pubbliche facendo la parte del buon samaritano che ti fa una grandissimo regalo, dicendoti che “se l’Antivus ti segnala un malware, non preoccuparti, è un falso positivo dovuto alla crack/patch”.

Ti faccio un esempio frutto di una mia esperienza: proprio su Instagram mi ha contattato via DM un personaggio che dopo essersi complimentato per la pagina si proponeva di editarmi le fotografie GRATIS…

Geniale! Chissa quanti sprovveduti avrà ingannato con la sua offerta!

COME PROTEGGERSI DA UN KEYLOGGER

L’Antivirus non è sempre in grado di proteggerci da tutte le minacce, questo non significa che possiamo trascurarne gli aggiornamenti e l’update della definizione del database dei virus, ma significa che abbiamo bisogno di un software più specifico, l’Antilogger, specializzato proprio nella protezione dagli insidiosissimi Keylogger.

Antivirus e Antilogger non si ostacolano l’un l’altro e sono il miglior sistema di difesa attiva che puoi avere.

L’Antilogger più conosciuto è Zemana Antilogger.

Purtroppo la versione Free non è più disponibile, ma con soli 42 euro si può avere la licenza per 3 anni.

Proteggersi dai keylogger è assolutamente fondamentale.

E’ davvero troppo semplice crearlo ed eccezionalmente efficace nel furto di ogni tipo di accesso, per poterci permettere di sottovalutarlo.

Nel caso tu non voglia spendere i 42€ per la licenza, puoi comunque ripiegare su un altro eccezionale ed efficacissimo Antilogger: KeyScrambler.

La peculiarità di keyscrambler è quella di sostituire ad ogni singola digitata un carattere random e sempre diverso, rendendo impossibile non solo leggere il file di log del keylogger, il txt che l’hacker spulcia in cerca di accessi e dati sensibili, ma anche comprenderne il pattern!

Dato questo modo di lavorare, anche se il tuo PC fosse già infettato da un keylogger, dal momento in cui installi Keyscrambler inizierà a loggare solamente spazzatura indecifrabile!

La versione free lavora con un limitato numero di software, ma non temere, perchè funziona con tutti i browser ed è sostanzialmente con esso che noi accediamo ad Instagram, alla mail, alla nostra banca, a Paypal etc.

Ovviamente ti starai chiedendo “E se devo digitare la password in un software che Keyscrambler non supporta?”

Niente paura. Sto per darti un’informazione che vale oro!

Se il software non è supportato da Keyscrambler, o se devi digitare una password in un computer che non è il tuo, c’è un modo per ingannare qualsiasi keylogger: la tastiera virtuale di Windows!

La trovi nel Menu Start, negli Accessori, in Ease of Access o la puoi cercare con la funzione di ricerca come “On-Screen Keyboard”.

Tutto quello che digiti con essa non può assolutamente essere loggato!

SPEAR PHISHING ATTACK

Spear-Phishing Attack-instagram

Il phishing, solitamente preceduto da un un primo contatto di Social Engineering, è quel tipo di attacco che prevede di indirizzare la vittima verso una pagina di login fake identica a quella del sito di cui il lamer vuole rubare le credenziali d’accesso.

L’aggancio di massa avviene solitamente via mail, via chat o tramite post sui social network, Facebook in primis.

Nell’immagine qui sopra, l’attacker incuriosisce la vittima affermando che c’è un modo velocissimo per accedere a 20-30 gruppi DM, con simile numero di follower e, ovviamente, nella stessa nicchia, aggiungendo alla fine una “chicca”: un falso ostacolo che conferisce più credibilità all’inganno, e cioè che devi avere almeno 5k follower per poter entrare, sapendo perfettamente che anche chi non li ha, spinto dalla curiosità, cliccherà quel link.

Chi è un po’ più attento capisce subito che non ha nulla a che fare con Instagram, ma i lamer non mirano certo ai più informati della massa,  ma a tutti quegli user che non sanno distinguere un dominio di 1° livello da un subdominio, che sono distratti, e diciamocelo, anche un po creduloni.

Ai lamer poco importa che una buona parte di chi ha ricevuto quel messaggio, non visiterà mai quel link e penserà tra sè e sè: “Ma guarda sto idiota! Crederà mica di fregarmi?”.

Basta e avanza quella parte di user che cliccherà quel link, finendo sulla pagina di login fake, dove inserirà le credenziali d’accesso e… ZAC. Account rubato.

Il messaggio che hai visto nell’immagine qui sopra, sotto al titolo, targetizzato proprio per utenti Instagram, è arrivato via DM, ma può arrivare via mail se hai un account business o la mail visibile in Bio, o via Telegram dove moltissimi Instagrammer, come sai, partecipano a vari gruppi like, commenti, engagement, marketplace, etc.

Anche questo tipo di attacco è di facile esecuzione. Non è difficile infatti copiare una pagina di login, pur senza riscriverla da zero.

Con l’opzione nel tasto destro su Firefox “Visualizza sorgente pagina” infatti si può copiare il codice che costituisce la pagina e poi sistemare il file css e la cartellina delle immagini, per il quale sono sufficienti conoscenze basic di HTML che solitamente gli appassionati di internet hanno o possono ottenere senza sforzo.

COME RICONOSCERE E PREVENIRE IL PHISHING

Il phishing può essere prevenuto con un po’ di malizia, facendo molta attenzione a ciò che clicchiamo e riconoscendo un dominio falso.

La pagina fake è costruita in un subdominio o in un dominio di 1° livello ingannevole e molto simile all’originale, basta quindi imparare a riconoscerli.

Il dominio di primo livello è quello che si acquista e può contenere il simbolo “-” per dividere le parole.

Il subdominio invece può essere creato senza alcuna restrizione, finchè se ne vuole e gratuitamente da chi possiede il dominio di 1°livello ma si riconosce facilmente perchè subdominio e dominio sono divisi da un “.” (punto)

Gli hacker giocano con “.” e “-” per ingannare la vittima contando sul fatto che l’utente comune non conosce la differenza né, addirittura, sa che una differenza c’è.

Vediamo qualche esempio ingannevole.

instagram-help.com è un dominio di 1°livello e non appartiene ad Instagram.com

security-instagram.com anche. Sono domini a se stanti che non appartengono ad Instagram e quindi possono essere comprati da chiunque.

security.instagram.com invece è un subdominio di instagram.com e puo essere creato solamente da chi possiede il dominio di 1°livello instagram.com

La stragrande maggioranza delle aziende usa i sottodomini per suddividere reparti o prodotti (a parte google che possiede tantissimi domini); la stessa cosa vale per Instagram quindi a questo punto dovresti saper riconoscere il tipo di dominio della pagina di phishing qui sotto, mail-instagram.com.

E’ un dominio di 1° livello, perchè il “trattino” non separa i subdomini, e quindi non ha niente a che vedere con Instagram.com

 

home-account-instagram

Lo stesso vale per un ipotetica pagina login-instagram.com. E’ fake!

 

Per non menzionare poi quei domini che contano sulla disattenzione della vittima, quali instagramm.com o istagram.com o instagrammail.com

Con le informazioni che possiedi ora, dopo aver letto un’email come quella che segue, avrai imparato che la prima cosa che devrai fare è verificare l’indirizzo email del mittente; così facendo non arriverai nemmeno a vedere la pagina di phishing perchè sarai in grado di capire immediatamente che instagrammail.com è un dominio di 1°livello, acquistato da qualcuno con intenzioni maligne, e che non ha niente a che fare con Instagram.

 

Instagram-phishing-mail

EMAIL E ACCOUNT BUSINESS

Se hai un account business e hai gli insights, sai esattamente quanti click sulla tua mail vengono effettuati giornalmente.

Se hai un account di qualche decina di migliaia di follower, puoi avere decine e decine di click sull’email.

Nel mio account Instagram trovo mediamente 80 click sull’email ogni settimana.

Ma sai quante email ricevo? Talvolta 1/2, alcune settimane nemmeno 1.

Ma allora, chi è che si diverte a cliccare continuamente sull’email?

Suppongo che tu ci sia arrivato da solo. Gli hacker!

Simulando l’invio di una email possono scoprire qual’è l’indirizzo al quale la invierebbero.

Il consiglio numero 1 è:

Non utilizzare la stessa email di Instagram per creare l’account Business.

Se il danno è gia fatto, vai su Facebook e cambia l’email, perchè è quella la mail dell’account Business.

Ora ti starai chiedendo “Perchè non posso cambiare quella su Instagram?”

La risposta è: L’email su Instagram è nascosta e non puo essere scoperta, mentre quella dell’account Business, come ti ho appena dimostrato, può essere scoperta.

In realtà, però, c’è un modo per nascondere anche quella in modo che nessun hacker potrà mai sapere quale account andare ad attaccare!

Ecco come puoi fare.

Crea un account su Yahoo.

Proteggilo con una strong password creata a regola d’arte e quando hai finito, entra nell’account, e vai nella tua nuova email.

In alto, a destra apri le opzioni della casella mail e clicca su “Impostazioni”.

Instagram-impostazioni-sicurezza

Nella finestra successiva, clicca su “Sicurezza”.

Qui devi creare un alias per la mail principale, ma prima devi scegliere il prefisso.

Rifletti su quale parola vuoi usare perchè non potrai mai più cambiarla e sarà presente in tutti gli alias, e, dal momento che ti assicura l’anonimato, potresti scegliere di dare un alias piuttosto che l’originale ad un datore di lavoro per esempio, quindi ti consiglio di non utilizzare un alias imbarazzante…come ho fatto io la prima volta!

Adesso non ti resta che creare l’alias da utilizzare come email Facebook, cliccando su “Aggiungi” e ciò che vedrai da quel momento in poi sarà questo

Instadvanced-impostazioni-mail-instagram

A… E’ il prefisso che accomunerà tutti gli Alias.

B… E’ il trattino che Yahoo mette di default per separare l’Alias dal suffisso.

C… Qui puoi inserire ciò che vuoi.

Mi raccomando, né il campo A né il campo C devono mai contenere alcun riferimento all’email principale, perchè l’alias sarà l’indirizzo email che gli hacker potranno scoprire, ma sarà perfettamente inutile, perchè digitandolo nella casella di login, (prova!) non arriveranno nemmeno a poter tentare la password perchè Yahoo gli darà quest’errore:

“Spiacenti, non riconosciamo questo account”

E questo è quanto.

Potete creare fino a 500 alias e con gli alias potete aprirci direttamente dei nuovi account Instagram o qualsiasi altro, perchè sono indirizzi email a tutti gli effetti.

Anche con Gmail si possono creare alias con cui creare altri account Instagram, ma Gmail vi costringe ad utilizzare come prefisso l’esatta mail con cui accedete all’account, quindi non è adatta a garantirvi l’anonimato.

TIPS FINALI

  • Non accedere al tuo account Instagram da reti Wifi pubbliche, perchè ci sono delle app che rubano tutti i dati di accesso che viaggiano tra il device e il router.
  • Se accedi al tuo account Instagram dal PC del tuo ufficio, fai il logoff ogni qualvolta ti allontani dal PC, anche per andare in bagno. Fallo sia dalle email che dall’account Instagram.
  • Un account Instagram di soli 50k comincia a valere almeno 500 euro, quindi non ti fidare di amici che non siano davvero amici, ma semplici colleghi di lavoro, compagni di scuola, di università etc. Non dare mai la password a nessuno.
  • Non lasciare il telefono incustodito se sai che c’è uno smanettone nello stesso ambiente perchè una sorta di Keylogger, può essere installato anche nel telefono e con il bluetooth è un attimo passarlo sul tuo telefono ed installarlo.
  • Proteggi sempre il telefono quando va in stand-by. Meglio con un codice piuttosto che con la classica figura geometrica perchè rimane il segno sul display, soprattutto se hai un salvadisplay

E’ tutto chiaro?

Se qualche concetto non ti è ben chiaro, lascia pure un commento qui sotto e cercherò di risponderti il più presto possibile.

Ti è piaciuto l’articolo?

Se lo hai trovato utile, ti invito a condividerlo per contribuire a diffondere un po di sicurezza digitale, perchè come hai appena scoperto, i cyber-criminali contano proprio sulla scarsa informazione per accedere ai nostri sistemi.