DOMANDA Clonazione sim?

xylit · 6 Marzo 2023

Ciao a tutti, tra ieri ed oggi mi stanno arrivando sms anomali, codici di sicurezza paypal, codici di verifica google, codici di conferma iscrizione "FINAM" che non so nemmeno che sia, qualcosa rimanda a siti russi, e visto l'andamento politico mondiale il naso prude.
Con paypal ne ho ricevuti due, uno ieri sera, e l'altro stamattina nell'istante stesso che ho ricevuto quelli di google e finam.

Ovviamente sia paypal che google utilizzano realmente quel numero, quindi due domande me le sono poste, è possibile sia stata clonata la sim ma continui a funzionare regolarmente?

Per prevenire ho rimosso le associazioni a carte e CC sull' account paypal , saranno paranoie mie, ma meglio che dover curare.

Italicus Magnus · 6 Marzo 2023

Devi installarti un password manager, ci trasmigri li tutte le passwords del browser e devi modificare ogni singola password dove hai un account. Devi attivare la verifica a due passaggi ovunque possibile. Sarebbe meglio ti installassi pure una suite completa di protezione sullo smartphone (Kaspersky o Bitdefender) e ci fai una scansione. E l'antivirus lo tieni installato ed attivo.

Ancora meglio sarebbe che prima di fare le cose elencate, fai un bel reset al telefono.

Che smartphone hai? Utilizzi pure un pc?

xylit · 6 Marzo 2023

non salvo password su browser, solo quelle degli account vengono salvati sul telefono. quindi account google/samsung/onedrive/meet/duo/whatsapp/amazon.
poste Id/banca/assicurazione accesso con impronta.
sui pc idem, sui browser salvo solo gli ID ma non le password (vecchio stile..salvo su agenda), e nei servizi importanti verifica a due passaggi, con sms o google autenticator.
Password salvate su pc sono solo sul gestore di posta elettronica.
Su applcazioni come xbox/ubisoft/steam dove attivo accesso automatico utilizzo e-mail e numero telefonico secondario.
utilizzo un samsung S22Ultra, lenovo p11 5G. installo solo da play store e galaxy store...
edit: il tablet viene usato anche da mio nipotino, ma ha collegato solo l'account google e il clone del whatsapp, che utilizza proprio il numero dove sono arrivati gli sms

sp3ctrum · 6 Marzo 2023

La sim clonata non credo... in ogni caso un tentativo di intrusione negli account lo trovo molto plausibile.

Urge un cambio urgente di password a tutti i servizi.

Italicus Magnus · 6 Marzo 2023

Nel secondo in cui ti ciulano l'email secondaria e' finita per te, perche' da li aprono il vaso di Pandora e ti bucano ovunque bypassando il 2FA. Sconsiglio per questo motivo email e numeri telefonici secondari come backup per sbloccare rapidamente i tuoi account. Lo so e' comodo usarli perche' usandoli sblocchi gli account in modo veloce. Ma allo stesso tempo averli sono un grosso rischio. Consiglio di utilizzare solo l'app che genera i codici e nient'altro.

Scrivere a mano le password non basta. Perche' se tu per esempio hai dei keyloggers installati a tua insaputa nel pc, nel secondo in cui digiti la password sulla tastiera io riconosco la battitura dei tasti e ti rubo tutto. Hai bisogno di password managers veri e propri che sono schermati contro i keyloggers e che crittografano militarmente le password.

Inoltre le password create a mano non saranno mai decentemente lunghe, complesse, uniche, univoche come le creeresti utilizzando un generatore di password presenti nei password managers.

Ti sconsiglierei per i codici 2FA di utilizzare il Google Authentificator per dei semplici motivi. Non prevede backup crittografato dei codici in un cloud. E molte volte i codici di backup non funzionano o non vengono riconosciuti anche se sono corretti. Con il Google Authentificator mi e' capitato due-tre volte di perdere tutti gli accessi di tutto. E se perdi tutti gli accessi di tutto, Google se ne lava le mani. Motivo percui sono passato ad Authy. Che come menzionato in precedenza, prevede un backup crittografato dei codici in un cloud.

Sul pc se come protezione utilizzi solo Windows Defender quello non basta. Hai bisogno di ben altra soluzione. Kaspersky Plus o Bitdefender (a pagamento). Se vuoi rimanere in ambito gratuito la soluzione ideale e' la combo Bitdefender Free + Bitwarden. Ma attenzione pero'. Perche' Bitdefender free offre molta meno protezione rispetto alle soluzioni complete.

xylit · 6 Marzo 2023

sp3ctrum ha detto:
La sim clonata non credo... in ogni caso un tentativo di intrusione negli account lo trovo molto plausibile.

Urge un cambio urgente di password a tutti i servizi.

che senso avrebbe utilizzare il mio numero per iscriversi al FINAM se non possono ricevere l'sms di verifica?
anche con paypal, l'account richiede verifica con sms, e da verifica non risultano tentativi di ingresso da altri pc che non sia il mio...
passata la paranoia, sto pensando che qualcuno stia creando nuovi account utilizzando il mio numero, magari anche per errore, ci sono molti 3 e 2 nel mio numero basta averne uno simile che è facile sbagliarsi invertendone uno.
--- i due messaggi sono stati uniti ---

Italicus Magnus ha detto:
Nel secondo in cui ti ciulano l'email secondaria e' finita per te, perche' da li aprono il vaso di Pandora e ti bucano ovunque bypassando il 2FA. Sconsiglio per questo motivo email e numeri telefonici secondari come backup per sbloccare rapidamente i tuoi account. Lo so e' comodo usarli perche' usandoli sblocchi gli account in modo veloce. Ma allo stesso tempo averli sono un grosso rischio. Consiglio di utilizzare solo l'app che genera i codici e nient'altro.

Scrivere a mano le password non basta. Perche' se tu per esempio hai dei keyloggers installati a tua insaputa nel pc, nel secondo in cui digiti la password sulla tastiera io riconosco la battitura dei tasti e ti rubo tutto. Hai bisogno di password managers veri e propri che sono schermati contro i keyloggers e che crittografano militarmente le password.

Inoltre le password create a mano non saranno mai decentemente lunghe, complesse, uniche, univoche come le creeresti utilizzando un generatore di password presenti nei password managers.

Ti sconsiglierei per i codici 2FA di utilizzare il Google Authentificator per dei semplici motivi. Non prevede backup crittografato dei codici in un cloud. E molte volte i codici di backup non funzionano o non vengono riconosciuti anche se sono corretti. Con il Google Authentificator mi e' capitato due-tre volte di perdere tutti gli accessi di tutto. E se perdi tutti gli accessi di tutto, Google se ne lava le mani. Motivo percui sono passato ad Authy. Che come menzionato in precedenza, prevede un backup crittografato dei codici in un cloud.

Sul pc se come protezione utilizzi solo Windows Defender quello non basta. Hai bisogno di ben altra soluzione. Kaspersky Plus o Bitdefender (a pagamento). Se vuoi rimanere in ambito gratuito la soluzione ideale e' la combo Bitdefender Free + Bitwarden. Ma attenzione pero'. Perche' Bitdefender free offre molta meno protezione rispetto alle soluzioni complete.

numero ed e-mail secondari, inteso come e-mail differente e numero diverso per servizi non importanti.
sul pc ho malwarbytes+windows defender

Italicus Magnus · 6 Marzo 2023

Malwarebytes puo' andare bene come scansione addizionale extra che fai ogni tanto come verifica. Ma come protezione principale non va bene. Se utilizzi la versione gratuita di Malwarebytes ancora meno.

Hai bisogno di un password manager pure sul pc. Se vuoi rimanere nel gratuito usi Bitwarden. Se invece pensi di installare Kaspersky Plus o Bitdefender a pagamento come suite di sicurezza (scelta ideale poiche' proteggono ogni cosa), loro includono un ottimo password manager integrato e basta quello. Kaspersky Plus ti da pure un vpn illimitato nel pacchetto.

Kaspersky Plus e Bitdefender ti offrono un mese di prova gratuito di 30 giorni. Le chiave scontate annuali le puoi comprare su siti come Kinguin, Ebay e compagnia bella.

Al browser, inoltre, gli devi proibire di ricordare e auto compilare passwords.

Sarebbe meglio che impostassi pure Cloudflare 1.1.1.1 come dns predefinito. Se hai un router che ti permette di impostare dns a piacimento lo setti direttamente li nel router. Se invece hai un router che non ti permette di settare dns come il technicolor bianco della Tim, allora il dns lo puoi settare direttamente nelle connessione di rete del pc seguendo questa guida https://forum.tomshw.it/threads/int...10-ps4-xbox-nintendo-android-e-iphone.861560/ e questo vale pure per gli smartphones e tablet.

Ibernato · 7 Marzo 2023

Per le password ti consiglio o bitwarden che è gratuito, oppure safeincloud. Io preferisco quest'ultimo perché il database delle password è cifrato e salvato su drive. Io ho acquistato la versione 4 euro una tantum così ho la sincronizzazione multi device.
Cone autenticazione a 2 fattori, usa authy. Ho fatto una guida a riguardo.

Così puoi evitare l'agenda :) o usarla solo per le password importanti.

Lato mobile, lascia perdere gli antivirus a pagamento. Anche su Windows, personalmente credo che Defender basti e avanzi. Ovviamente bisogna saper navigare in internet

xylit · 7 Marzo 2023

Ibernato ha detto:
Per le password ti consiglio o bitwarden che è gratuito, oppure safeincloud. Io preferisco quest'ultimo perché il database delle password è cifrato e salvato su drive. Io ho acquistato la versione 4 euro una tantum così ho la sincronizzazione multi device.
Cone autenticazione a 2 fattori, usa authy. Ho fatto una guida a riguardo.

Così puoi evitare l'agenda :) o usarla solo per le password importanti.

Lato mobile, lascia perdere gli antivirus a pagamento. Anche su Windows, personalmente credo che Defender basti e avanzi. Ovviamente bisogna saper navigare in internet

per le password, se non vuoi fare da agenda (cose dove nessuno avrà mai accesso) c'è sempre excel e criptare il file con password, puoi zippare e criptare il file etc, sarà pure comodo un password manager, ma ti affidi sempre all'onestà di terzi, che potrebbero sempre frodarti. alle password complesse penso ci si arrivi tutti, la macchina usa algoritmi, il cervello è imprevedibile.
ci sono anche app che cammuffano l'inserimento da tastiera, anche solo la virtuale difende dai keyloggers

Italicus Magnus · 7 Marzo 2023

xylit ha detto:
per le password, se non vuoi fare da agenda (cose dove nessuno avrà mai accesso) c'è sempre excel e criptare il file con password, puoi zippare e criptare il file etc, sarà pure comodo un password manager, ma ti affidi sempre all'onestà di terzi, che potrebbero sempre frodarti. alle password complesse penso ci si arrivi tutti, la macchina usa algoritmi, il cervello è imprevedibile.
ci sono anche app che cammuffano l'inserimento da tastiera, anche solo la virtuale difende dai keyloggers

Non facciamo terrorismo e disinformazione.

I password managers non ti frodano. Perche' se ti frodassero fallirebbero all'istante come azienda di sicurezza. E chi ci lavora finirebbe in carcere.

La tastiera virtuale di Windows non protegge dai keyloggers. Tanto meno certe apps.

Zippare un file il file non lo protegge.

Il cervello umano non sara' mai in grado di creare password complesse come quelle di softwares creati appositamente allo scopo. Puoi creare passwords che a te sembrano complesse. Ma che in realta' non lo sono.

sp3ctrum · 7 Marzo 2023

Ti salvi le password su Bitwarden e fine.
Servizio ultra sicuro e poi i dati bancari li salvi nel tuo cervello e fine.

Se per assurdo rubassero il database Bitwarden (cosa quasi impossibile), avrebbero solo le password dei siti dove navigo, facilmente recuperabili.
Il danno maggiore lo si fa quando ti rubano i dati bancari, ma quelli basta tenerli a mente.

Ibernato · 8 Marzo 2023

xylit ha detto:
per le password, se non vuoi fare da agenda (cose dove nessuno avrà mai accesso) c'è sempre excel e criptare il file con password, puoi zippare e criptare il file etc, sarà pure comodo un password manager, ma ti affidi sempre all'onestà di terzi, che potrebbero sempre frodarti. alle password complesse penso ci si arrivi tutti, la macchina usa algoritmi, il cervello è imprevedibile.
ci sono anche app che cammuffano l'inserimento da tastiera, anche solo la virtuale difende dai keyloggers

I password manager che ho citato, puoi stare sereno. Safeincloud non ha una sua infrastruttura ma salva il database cifrato sul tuo Cloud (drive, Dropbox o un tuo personale).
Bitwarden in più ha che è open source e il codice open è un gran vantaggio :)

Prima di sparare sentenze, è utile informarsi.

Se per caso hai letto di lastpass che è stato hackerato, bhe, la colpa è stata di un suo dipendente che aveva il server Plex non aggiornato ed era presente una vulnerabilità. Questo server lo teneva sul suo PC personale e ha condiviso l'accesso con un suo amico ed successo poi quello che è successo :)

HSH · 9 Marzo 2023

Ibernato ha detto:
I password manager che ho citato, puoi stare sereno. Safeincloud non ha una sua infrastruttura ma salva il database cifrato sul tuo Cloud (drive, Dropbox o un tuo personale).
Bitwarden in più ha che è open source e il codice open è un gran vantaggio :)

Prima di sparare sentenze, è utile informarsi.

il codice open può anche essere uno svantaggio perchè eventuali black hat sanno tutto quello che c'è da sapere per bucarlo

Italicus Magnus · 9 Marzo 2023

Anche se li bucano, poi dei dati crittografati non se ne fanno niente. Quelli che bucarono LastPass poi dovettero ricorrere ad un massiccio uso di phishing per cercare di entrare negli archivi rubati.

cdtux · 10 Marzo 2023

HSH ha detto:
il codice open può anche essere uno svantaggio perchè eventuali black hat sanno tutto quello che c'è da sapere per bucarlo

Sono circa 50 anni che si discute di security by obscurity e oramai si concorda più o meno tutti che sia pressoche inutile

DOMANDA Clonazione sim?

xylit

Italicus Magnus

Pater Patriae

xylit

sp3ctrum

Amministratore

Italicus Magnus

Pater Patriae

xylit

Italicus Magnus

Pater Patriae

Ibernato

xylit

Italicus Magnus

Pater Patriae

sp3ctrum

Amministratore

Ibernato

HSH

Italicus Magnus

Pater Patriae

cdtux