Hacker della webmail
Anche se sembrerebbe che ciò accada relativamente raramente se si considera il mio raccoglitore di posta, ho un altro aneddoto che illustra come è possibile che il proprio account webmail venga violato. Questo non è il problema ovvio di qualcuno che accede al tuo archivio di posta e alla lista dei contatti (e, se sei abbastanza stupido da inviare password e dati della tua carta di credito dettagli in chiaro via e-mail, anche le tue finanze), ma piuttosto il problema meno spesso considerato di riportare saldamente il conto sotto il tuo controllo dopo.
Il mio amico non ha idea di come il suo account Gmail sia stato compromesso o di come qualcuno possa essersi impadronito del suo password di accesso e l'ho cambiata con qualcos'altro, escludendolo così da quella che era praticamente diventata la sua vita in linea. Questo impostore ha anche cambiato le domande di sicurezza e l'opzione dell'indirizzo email alternativo, entrambi trucchi utili per aiutarli a mantenere il tuo account più a lungo: ne parleremo più avanti tra poco.
Naturalmente, la maggior parte delle persone in questa situazione non ha la minima idea di come sia successo, come il mio amico, e, sebbene di solito derivi da una compromissione più profonda della sicurezza della rete (tipicamente parliamo di Trojan), ci sono numerosi casi in cui amici e familiari mi hanno chiesto di controllare ma ho scoperto che non era coinvolta alcuna installazione di malware di questo tipo. Ciò significa che o sono stati deliberatamente presi di mira dagli hacker, il che è estremamente improbabile per un utente medio, oppure semplicemente non sono stati così attenti con le loro password come pensavano. Nel caso di questo particolare aneddoto, attraverso alcune domande indotte dalla birra, sono riuscito a dedurre che il mio amico aveva trascorso la settimana precedente ad Amsterdam e naturalmente avevo utilizzato piuttosto spesso l'accesso a Internet offerto in diversi hash bar per verificare la sua posta. Tentare di recuperare la tua email tramite webmail mentre sei sballato dovrebbe essere considerato in qualche modo al di sotto della "migliore pratica" quando si tratta di sicurezza mobile...
Comunque, torniamo al punto: se dovessi subire questo tipo di compromesso, dovrai superare una serie di ostacoli di sicurezza (e giustamente quindi) per dimostrare che sei chi dici di essere e che l'account di posta appartiene effettivamente a te e non al peloso hacker che sta attualmente utilizzando Esso. Ed è qui che le cose possono diventare davvero complicate se, come questo tizio – e, a dire il vero, in comune con la maggior parte degli altri persone a cui ho chiesto: non ti sei mai preso la briga di prendere nota mentalmente delle minuzie del processo di creazione del tuo account Gmail dati. Lo scoprirai presto, entro poche ore dall'invio del modulo "Non riesco ad accedere al mio account" (www.pcpro.co.uk/links/165secure), che avresti dovuto farlo.
L'invio del modulo dà il via a una catena di eventi di supporto che richiedono di rispondere ad alcune domande dettagliate sul tuo account, ad esempio quando è stato creato, come è stato creato, quando e come lo hai utilizzato e Di più. Anche se non ti verrà richiesto di conoscere ogni minimo dettaglio, il supporto di Google avrà ovviamente bisogno che tu ne sappia abbastanza per convincerli che sei davvero John Smith e non Theo van der Hackerhoff. A detta di tutti, il Centro assistenza di Google è all'altezza del suo nome ed è molto utile: il mio amico ha segnalato il dirottamento dell'account non appena lo ha scoperto, all'interno Dopo 24 ore dall'accaduto, e con un piccolo aiuto da parte mia nel raccogliere le informazioni richieste, l'account è tornato sotto il suo controllo entro altre 48 ore. ore. Probabilmente sarebbe stato ancora più rapido se avesse saputo quali domande gli sarebbero state poste, invece di dare per scontato che sarebbe stato sufficiente fornire solo il suo nome, indirizzo e data di nascita. Se ci pensi, quando ti sei registrato per il tuo account Gmail (o qualsiasi altro servizio di webmail) ti hanno chiesto indirizzo, data di nascita o numero di sicurezza nazionale? Ovviamente no, quindi perché quelle informazioni dovrebbero essere utili per identificarti come legittimo proprietario dell’account?
