Essere hackerati è stressante. Può sembrare un attacco personale, urgente e confuso, tutto insieme. Potresti ricevere un avviso di accesso sospetto, trovare messaggi che non hai inviato, perdere accesso a un account, notare soldi mancanti o ricevere segnalazioni da amici che hanno ricevuto link sospetti da parte tua.
La cosa più importante è evitare decisioni prese nel panico. Gli attaccanti spesso contano su velocità, confusione e pressione. Il tuo obiettivo è rallentare la situazione, contenere il danno, recuperare il controllo e poi rimuovere le debolezze che hanno reso possibile la compromissione.
Questa guida illustra i passaggi pratici da seguire se un account personale, aziendale, un dispositivo o un servizio online è stato compromesso.
Se c'è anche solo la minima possibilità che il tuo datore di lavoro, un cliente o un’altra organizzazione possano essere coinvolti, avvisa immediatamente il reparto IT o sicurezza appropriato. Non attendere di avere tutte le prove. Questo vale nei casi in cui il dispositivo compromesso sia stato usato per lavoro, iscritto come dispositivo BYOD (“bring-your-own-device”), utilizzato per accedere alle email aziendali, per il single sign-on, o usato per accedere a un password manager aziendale, VPN, pannello di amministrazione, repository di codice sorgente, console cloud o servizio di file sharing.
Questo dovrebbe avvenire prima di cimentarsi da soli in complesse investigazioni. L’organizzazione potrebbe dover revocare sessioni, ruotare credenziali, controllare i log, isolare sistemi compromessi o disattivare l’accesso mentre l’incidente è ancora in corso.
Ritardare questa comunicazione può aggravare i danni e potrebbe esporti a provvedimenti disciplinari o responsabilità se l’organizzazione subisce perdite che potevano essere limitate con una segnalazione tempestiva. Se nessun servizio, dispositivo, account o dato aziendale può essere coinvolto, continua con i passaggi di recupero personale qui sotto.
Se pensi che il tuo computer o telefono possa essere infetto, non usare quello stesso dispositivo per resettare password o accedere a account importanti. Il malware può registrare le nuove password, rubare cookie di sessione, catturare screenshot o intercettare i codici di recupero.
Usa un dispositivo che reputi affidabile, come:
Se non hai accesso a un dispositivo pulito, disconnetti quello sospetto da internet e concentrati sul ricevere aiuto prima di inserire nuove credenziali.
Il tuo account email spesso è la chiave per tutto il resto. Se un attaccante controlla la tua email, può reimpostare password di conti bancari, shopping, cloud storage, social media, piattaforme di sviluppo e strumenti lavorativi.
Parti dal tuo account email principale e controlla i seguenti aspetti:
Attenzione particolare alle regole di casella postale. A volte gli attaccanti creano filtri che nascondono avvisi di sicurezza, inoltrano fatture, o copiano silenziosamente i messaggi di recupero password verso un altro indirizzo.
Dopo aver messo in sicurezza l’email, passa agli account che possono causare i danni maggiori. Non perdere i primi minuti critici su account di scarso valore mentre l’attaccante ha ancora accesso a servizi bancari, cloud storage o strumenti di amministrazione.
Dai priorità agli account in questo ordine:
Ogni nuova password deve essere unica. Se riutilizzi la stessa password nuova su più account, un solo punto debole rimasto può compromettere tutto di nuovo.
Cambiare la password è importante, ma può non bastare a cacciare un attaccante già collegato. Molti servizi mantengono sessioni attive anche dopo il cambio password, a meno che tu non le revochi esplicitamente.
Cerca nelle impostazioni voci come:
Rimuovi tutto ciò che non riconosci. Per account aziendali o di sviluppo, ruota anche token API, chiavi di deployment, chiavi SSH, webhook e credenziali degli account di servizio che potrebbero essere stati esposti.
L’autenticazione a più fattori, spesso chiamata MFA o 2FA, può bloccare molti tentativi di takeover anche se la password è stata rubata. Se non era attiva prima, attivala ora sugli account importanti.
Dove possibile, scegli le opzioni più solide:
I codici via SMS sono meglio di nessun secondo fattore, ma sono più deboli rispetto ad app dedicate o chiavi hardware. I numeri di telefono possono essere trasferiti tramite SIM swap, intercettati in alcune situazioni o abusati mediante processi di recupero account deboli.
Quando abiliti MFA, genera i codici di backup e conservali in un luogo sicuro. Altrimenti, perdere il telefono o la chiave di sicurezza può trasformarsi in un’altra emergenza di recupero.
Se l’account compromesso è collegato a soldi, documenti d’identità, fatture, dati di clienti o informazioni fiscali, parti dal presupposto che l’attaccante possa aver copiato dettagli utili anche se recuperi l’accesso rapidamente.
Controlla quanto segue:
Contatta subito la banca o il fornitore di pagamento in caso di attività sospette. Spesso, segnalare prima aumenta le possibilità di annullare transazioni fraudolente o limitare la responsabilità.
È naturale voler sistemare tutto subito, ma eliminare messaggi, log o file troppo in fretta può rendere l’investigazione più difficile. Prima di rimuovere elementi sospetti, conserva le prove di base. Fai questa operazione prima di formattare o reinstallare un dispositivo, soprattutto se sono coinvolti soldi, dati aziendali, dati di clienti, ransomware o obblighi legali.
Le prove utili includono:
Queste informazioni possono aiutare team di supporto, banche, forze dell’ordine, assicurazioni, reparti IT interni o incident responder a capire cosa è successo.
Se laptop o desktop lo consentono, valuta la possibilità di rimuovere il disco originale e installarne uno nuovo per la reinstallazione del sistema operativo. Così lavori su un sistema pulito mentre conservi il disco di origine qualora servisse per l’investigazione. Se si tratta di un incidente aziendale, chiedi a IT o a un incident responder prima di cambiare dischi o riaccendere il dispositivo.
Se la compromissione potrebbe essere partita da malware, allegati dannosi, finte estensioni del browser, software piratato o strumenti di accesso remoto sconosciuti, recuperare gli account da solo non basta. Potresti non poter più considerare affidabile il dispositivo. Un attaccante potrebbe aver installato meccanismi di persistenza, modificato impostazioni di sistema, catturato cookie di sessione o lasciato software che ruba anche le nuove credenziali appena inserite.
In questa situazione, la scelta più sicura è non "pulire" manualmente il dispositivo. È meglio prima conservare le prove necessarie, fare backup solo dei dati essenziali, azzerare il dispositivo e installare il sistema operativo da zero.
Precauzioni importanti:
Per una compromissione ad alto rischio, soprattutto ransomware, compromissione email aziendale, takeover di account amministrativi o sospetto furto di dati, valuta il supporto professionale di un incident responder prima di azzerare i sistemi. In ambito aziendale, le prove possono servire per investigazione, assicurazione, obblighi legali o notifica ai clienti.
Se gli attaccanti hanno usato il tuo account per inviare messaggi, fatture, link o file, avvisa chi potrebbe averli ricevuti. Tieni l’avviso corto e specifico.
Ad esempio:
Il mio account è stato compromesso. Non aprire link, allegati, richieste di pagamento o file condivisi inviati da me tra [ora] e [ora]. Ho ripreso il controllo e sto investigando.
Per le aziende, la notifica può anche essere un obbligo legale o contrattuale. Se dati di clienti, dipendenti, dati di pagamento, sanitari, o informazioni riservate sono potenzialmente esposti, coinvolgi tempestivamente i team legale, compliance e sicurezza.
Non ogni account social hackerato richiede una denuncia alla polizia, ma alcuni casi vanno assolutamente segnalati. Vale soprattutto per frodi finanziarie, furto d’identità, ransomware, compromissione email aziendale, furto di dati di clienti o minacce alla sicurezza personale.
Canali utili per la segnalazione:
La segnalazione permette anche di creare una traccia documentale. Questa potrà tornare utile se si verificano altre attività fraudolente o se hai bisogno di dimostrare di essere intervenuto tempestivamente.
Per le organizzazioni, un account hackerato raramente è solo un problema di account. È spesso il primo segnale visibile di un incidente più ampio. Una casella email compromessa può esporre comunicazioni con i clienti. Una password amministrativa rubata può causare esfiltrazione di dati. Una chiave di deployment trafugata può impattare i sistemi in produzione.
La risposta aziendale dovrebbe includere:
Se l’incidente riguarda dati regolamentati, dati clienti, ransomware, infrastruttura di produzione o accessi privilegiati, chiedi subito aiuto a professionisti. Attendere troppo può rendere più difficile contenere e raccogliere prove sull’incidente.
Alcune azioni, anche se ben intenzionate, rendono più difficile il recupero o generano nuovi rischi.
Evita questi errori:
Quando la situazione immediata è sotto controllo, dedica del tempo a rafforzare le tue difese. La maggior parte delle compromissioni di account non deriva da attacchi sofisticati. La causa sono password riutilizzate, phishing, opzioni di recupero deboli, malware, dispositivi esposti o vecchi accessi mai rimossi.
Una checklist pratica per rafforzare la sicurezza:
La sicurezza non dev’essere perfetta per essere molto migliore. Alcune abitudini coerenti possono eliminare le vie di attacco più semplici e limitare i danni se qualcosa dovesse andare storto di nuovo.
Essere hackerati non significa sempre aver commesso imprudenze. Gli attaccanti prendono di mira persone e aziende costantemente, e anche utenti attenti possono cadere in una pagina di phishing convincente, in una password riutilizzata da una vecchia breccia, o in un dispositivo compromesso senza che se ne accorgano.
Ciò che conta di più è la risposta: metti al sicuro prima l’email, cambia password da un dispositivo affidabile, revoca le sessioni, attiva MFA forte, controlla il rischio finanziario, conserva le prove e avvisa chi potrebbe essere coinvolto. Dopo di ciò, migliora sistemi e abitudini che riducono le possibilità di successo del prossimo attacco.