ATTENZIONE: vi rubano l’account Twitter (e anche altri…)!!!

3 Apr 2015

Da qualche giorno ricevo degli strani messaggi di email.

Sono infatti iscritto a Twitter oramai da moltissimo tempo, ma continuano ad arrivarmi email ufficiali da Twitter in cui mi si chiede di confermare l’iscrizione. La cosa ovviamente mi puzza, e così ho controllato: sono email vere, effettivamente inviate da Twitter, ma che non si riferiscono al mio account.

Ovvero: c’è qualcuno che sta provando ad utilizzare uno dei miei indirizzi email (credo di averne una cinquantina…) per registrarsi un suo account Twitter, ma a mio nome (con un mio indirizzo email). Ovvero un account a cui avrà accesso lui, con una password da lui impostata, ma probabilmente con i miei dati, ed il mio indirizzo email.

La cosa potrebbe essere decisamente pericolosa, soprattutto se utilizzasse quell’account per compiere azioni illecite o che violano la policy di Twitter: infatti in quel caso in teoria il responsabile sarei io (visto che per Twitter il titolare di quell’account sarei io)!

Fortunatamente in realtà le contromisure in questo caso sono semplicissime: basta NON cliccare sul link di conferma riportato nell’email per impedire che l’account venga attivato. E, nel caso in cui invece ci si sbagliasse e lo si attivasse, basta seguire la procedura di reimpostazione della password con verifica dell’email per prendere di fatto possesso dell’account (l’altro non potrà più nè recuperare la password nè reimpostarsela a proprio piacimento).

Queste cose gli smanettoni come me le sanno… ma non è detto che le sappiano anche tutti gli altri! Questa tecnica è pensata talmente bene (visto che l’email di conferma che si riceve da Twitter è ufficiale) che penso sia piuttosto semplice che utenti non particolarmente “smart” possano cascarci, ed abilitare a loro insaputa un account registrato da qualcunaltro, ma a loro nome, per fare onne chissà cosa…

E ATTENZIONE: non è detto che questa tecnica sia utilizzata solo su Twitter. Infatti in teoria la si può utilizzare su tutti quei siti in cui la conferma di registrazione prevede solo un click su un link inviato via email. Quindi anche Facebook, Instagram, YouTube, Linkedin, eccetera possono essere vittime di questo genere di operazioni illecite, che contano solo sulla distrazione dell’utente che riceve un email vero, da un vero sito, e ci clicca sopra perchè ovviamente si fida (di fatto abilitando un’altra persona a poter fare qualsiasi schifezza a suo nome).

Quindi fate attenzione perchè è facilissimo cascare in questo tranello, ma è anche semplicissimo uscirne fuori (basta cambiare la password).

Commenti