Su Internet tutto si vende. E tutto si ruba. L'ultima frontiera del cybercrimine sembrerebbe essere il furto delle credenziali con le quali gli utenti accedono ai vari servizi di musica e video in streaming, come Netflix, Disney+, Apple Tv+, Spotify, Amazon Prime Video, YouTube Premium. E non è strano: questi servizi sono sulla cresta dell'onda, tutti li vogliono e molti li cercano sul mercato nero. Come, fino a pochi anni fa, sul mercato nero si cercavano le tessere "taroccate" di Sky.
E, proprio come le tessere della Tv satellitare, anche gli account dei servizi in streaming si trovano "di seconda mano" perché, purtroppo, rubarli è fin troppo semplice. Non si tratta di mero allarmismo: una recente indagine della società di cybersicurezza Proofpoint dimostra che c'è un mercato nero degli account di streaming e che ci sono diversi modi efficaci per rubare le credenziali degli utenti. Ecco quali sono.
Come si rubano le credenziali per lo streaming
I metodi con i quali un hacker potrebbe rubarci le credenziali di Netflix, Amazon Video, Spotify o di ogni altro servizio di streaming sono principalmente tre: un malware, il phishing o riutilizzare altre credenziali già sottratte all'utente.
Il metodo del malware è duplice: è possibile (ma più difficile) tentare di violare i server del servizio e "bucare" il database degli utenti oppure (ed è molto più facile) infettare il computer di un singolo utente con uno spyware o un altro codice malevolo in grado di leggere le nostre e-mail o i file presenti sul computer. Da qualche parte usciranno fuori anche i dati di accesso all'account dello streaming.
Il phishing, invece, prende di mira l'utente con il solito metodo: una e-mail o un SMS in cui si chiede all'utente stesso di modificare per sicurezza i suoi dati di accesso in seguito ad una (inesistente) violazione. L'utente segue un link, che lo porta su un sito fake (identico all'originale), dove inserisce i dati attuali (che vengono rubati) e poi quelli nuovi (che non serviranno a nulla). Pochi minuti e il furto è fatto.
Il terzo metodo è "di massa", molto meno efficace ma su grandi numeri funziona. Si compra sul dark web un database di credenziali per altri account, solitamente di posta elettronica, e si tenta di usarle per accedere ai servizi di streaming. Siccome molti utenti usano sempre lo stesso nome utente e la stessa password per registrarsi a tutti i siti, su un milione di tentativi almeno un migliaio va in porto. E siccome i database costano molto poco, il gioco vale la candela.
Come difendersi dal furto delle credenziali
Fatte salve le violazioni dei server dei big dello streaming, che non dipendono dall'utente, tutto il resto può essere facilmente evitato con le solite, apparentemente banali ma sempre efficaci, misure di cautela e di sicurezza online. Non farsi infettare da un malware è possibile: basta usare un buon antivirus, non visitare siti Web a rischio e non fare click su link sospetti.
Difendersi dal phishing è facile: basta fermarsi un attimo di fronte al messaggio ricevuto, controllare bene chi lo ha inviato, non fare click su alcun link. Non è possibile evitare che alcune nostre credenziali vengano rubate bucando il server di un forum o del nostro gestore di posta elettronica, ma è assolutamente possibile evitare di usare la stessa password e lo stesso user name per tutti i siti e tutte le app in cui ci registriamo.
Come scoprire se ci hanno rubato l'account
Il vero problema del furto delle credenziali dei servizi di streaming è che non ce ne accorgiamo facilmente. La maggior parte di questi servizi, infatti, permette di creare più profili per ogni account e di accedere allo stesso account da più dispositivi. Se stiamo già usando lo stesso servizio sul numero massimo di dispositivi consentiti, e da un momento all'altro qualcuno usa i nostri dati per accedere da un altro dispositivo, prima o poi ce ne accorgiamo. Ma se su 4 dispositivi disponibili ne stiamo usando solo due, allora non ce ne accorgeremo così facilmente. Possiamo, però, controllare regolarmente la lista dei dispositivi registrati sul nostro account: se tra quelli elencati ce n'è uno o più che non riconosciamo, allora il danno è fatto, ci hanno rubato l'account. A questo punto è fondamentale cambiare immediatamente la password con una molto robusta, fatta di numeri, lettere e caratteri speciali. L'ideale è farla calcolare da un generatore di password random e poi appuntarla per bene in un luogo fisico, lontano dai malware, dal phishing e da un server che potrebbe essere attaccato da un hacker.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.