Lo scorso febbraio Twitter ha annunciato che rimuoverà l’autenticazione a 2 fattori con i codici via SMS dalle opzioni di protezione per gli account standard, questo perché la piattaforma sta subendo un elevato numero di attacchi di SIM swapping che rendono i codici monouso poco sicuri.
Nonostante questo, invece di rimuovere completamente questa procedura, Twitter la renderà disponibile solo per gli account premium Twitter Blue. Difficile capire se, quindi, sia una misura di sicurezza in favore degli utenti o una mossa commerciale per aumentare il numero di iscrizioni agli account a pagamento.
Comunque sia, Panda Security resta al fianco degli utenti che hanno profili Twitter suggerendo come continuare a proteggere il proprio account (ma anche quello di altri social) con metodi alternativi efficaci.
Perché è necessario proteggere al meglio il proprio account social?
Come riportato dall’Osservatorio Cyber realizzato da CRIF, report che mira ad analizzare la vulnerabilità degli utenti e delle aziende agli attacchi cyber, tra le diverse categorie di dati oggetto di attacco spiccano principalmente indirizzi mail (individuali o aziendali) e password.
La maggior parte dei furti delle credenziali rilevati è riferibile ad account di intrattenimento, quasi sempre associati anche a carte di credito o altri metodi di pagamento, anche se sono le sottrazioni di account social media ad aver registrato l’incremento più elevato nel 2022 (+125,8%). Si tratta di attacchi che possono portare a tentativi di truffe e furti di identità, con pesanti conseguenze per le vittime.
Questa crescita degli attacchi alle credenziali social è riconducibile a molti fattori: utilizzo delle medesime coppie nome utente + password per più servizi, associazione di metodi di pagamento per servizi premium delle piattaforme, informazioni sensibili che gli utenti condividono sottovalutandone l’importanza (come spostamenti, posizioni in tempo reale e immagini delle abitazioni private e delle relative dotazioni di sicurezza).
Per questi motivi è fondamentale proteggere i propri account social media e se subiamo un data breach è necessario attivarsi con la stessa premura con cui ci attiveremo se fosse stato violato il nostro conto corrente bancario.
Come proteggere i profili
La 2FA (2 factor authentication in inglese) è una forma di autenticazione multifattoriale, che aumenta moltissimo il livello di sicurezza di un account, in quanto un eventuale hacker che volesse violarlo dovrebbe superare due barriere di sicurezza al posto di una.
Esistono diversi metodi di autenticazione alternativi alla coppia di credenziali nome utente/password e i più utilizzati attualmente sono:
- Codice monouso (anche conosciuto come one-time password o OTP) inviato tramite SMS o email
- App di autenticazione
- Dispositivi hardware (token di sicurezza)
- Impronta digitale
- Scanner facciale
In particolare, attualmente su Twitter solo il 2% degli utenti utilizza l’autenticazione a 2 fattori e il 74% di queste persone si avvale dei codici monouso tramite SMS, seguiti dalle app di autenticazione e dai token. La 2FA tramite SMS, come abbiamo visto, diverrà esclusiva solo degli account premium mentre gli altri potranno usare le app di autenticazione e i token di sicurezza.
Come impostare la 2FA in Twitter
Qui è possibile trovare le istruzioni del Centro assistenza di Twitter su come impostare la 2FA per il proprio account. Panda Security consiglia di utilizzare l’autenticazione a due fattori non solo per Twitter ma per tutti gli account online di cui si dispone, in quanto una delle principali tecniche di ingegneria sociale (social engineering) utilizzate dai criminali informatici riguarda l’utilizzo informazioni personali rilevate sui social per violare account specifici o accedere a reti aziendali attraverso gli account dei dipendenti.
Per questo, quando le password monouso non saranno più disponibili, invitiamo gli utenti ad impostare uno degli altri due metodi di autenticazione multifattoriale di Twitter: un’app di autenticazione, come Google Authenticator, o un token di sicurezza fisico.
Come proteggere il proprio account di Twitter
Indipendentemente dal motivo di fondo per cui Twitter ha preso questa decisione, è importante utilizzare tutti i sistemi di sicurezza più efficaci per proteggere gli account social. L’autenticazione a 2 fattori è in assoluto il metodo più efficace e importante, subito dopo l’uso di password complesse e uniche.
A questo scopo, Panda consiglia di utilizzare un password manager, in grado di creare password difficili da forzare e le memorizza automaticamente al posto dell’utente, che dovrà ricordare solo una master password per accedere a tutte le altre.
Ulteriori pratiche risultano utili per proteggere il proprio account Twitter:
- Informarsi nel Centro assistenza e seguire le novità sulla sicurezza di Twitter;
- Non condividere le credenziali con altre persone, neanche offline;
- Non connetteresti a Twitter quando si utilizza una rete Wi-Fi pubblica;
- Non pubblicare informazioni personali nei tweet;
- Installare un antivirus efficace per proteggere i dispositivi da cui si effettua il collegamento;
- Controllare periodicamente se le proprie password sono state compromesse tramite siti come Have I been Pwned?
La mossa di Twitter rischia di peggiorare il livello di protezione già basso degli account che, come già detto, solo nel 2% dei casi vede un utilizzo della 2FA.
Per questo, se si possiede un account Twitter, è bene iniziare subito ad usufruire dell’autenticazione a 2 fattori ed informarsi sulle notizie importanti sul panorama della cybersecurity mondiale.
Buona navigazione e buona protezione dell’account Twitter!
