Twitter preda sempre più golosa per gli hacker. Basti pensare che esistono siti Web che promettono, tramite il dowload di un programma ad hoc, di trasformare l’utente comune in un hacker capace di espugnare gli account dell’uccellino azzurro, mentre gli episodi eclatanti si moltiplicano. Fra gli altri quello di fine aprile, in cui il profilo violato dell’Associated Press ha gettato scompiglio in rete, twittando la falsa notizia di un’esplosione avvenuta alla Casa Bianca. Restando in territorio a stelle & strisce, di recente i cybercriminali si sono scatenati con attacchi di phishing via Twitter, sfruttando la curiosità degli utenti con link verso presunti video dell’attentato alla Maratona di Boston.
Il tweet degli hacker nel profilo dell'Associated Press
Dopo l’attacco all’Associated Press (poi rivendicato da hacker siriani come azione di protesta contro i media occidentali), Twitter ha annunciato il
test di un sistema di autenticazione a due fattori, quello che per il log in richiede, oltre a username e password, anche l’inserimento di un codice temporaneo inviato all’utente su un secondo device, tipicamente uno smartphone, via Sms o via app. Un metodo – lo stesso utilizzato da tempo da Gmail e via via da sempre più numerosi servizi – che certamente introduce un primo filtro contro i tentativi di accesso illecito, ma che va necessariamente associato a comportamenti “responsabili” da parte degli utenti.
Stando alle dichiarazioni di Twitter, quello all’Associated Press potrebbe essere il primo di una lunga serie di attacchi ai grandi gruppi editoriali di tutto il mondo. Nell’email di allarme inviata ai più importanti media internazionali, il social network ha tracciato una serie di linee guida per proteggersi da attacchi: fra la altre regole, ridurre la vulnerabilità al phishing dei computer aziendali con misure di sicurezza più forti, designare un solo computer all’uso di Twitter per impedire che la password si diffonda su diversi dispositivi, ed evitare di navigare sul web e leggere la posta da quel medesimo computer.
A detta degli esperti del
Centro Ricerche di Eset, uno dei principali produttori di software per la sicurezza digitale,
queste raccomandazioni potrebbero non bastare a proteggere gli account Twitter, in quanto non tutti gli attacchi sfruttano metodi di phishing o spear-phishing. Per esempio, gli hacker possono inviare falsi tweet anche quando riescono ad attaccare una sessione non cifrata, frutto di una disattenzione o superficialità dell’utente.
Come comportarsi, dunque? È possibile ridurre il rischio connettendosi a Twitter
tramite una Virtual Private Network o accedendo ai siti via Ssl, sebbene questo possa rendere il processo di log in meno immediato. Inoltre, può essere utile evitare di tenere l’account Twitter permanentemente aperto in background mentre si lavora ad altro.