Aveți conturi online pe care nu le-ați mai folosit de ani de zile? Dacă da, poate e momentul pentru puțină „curățenie de primăvară” digitală.

Cu cât petrecem mai mult timp online, cu atât acumulăm mai multe conturi. Mai țineți minte toate serviciile la care v-ați înregistrat de-a lungul anilor? Poate fi un abonament gratuit pe care nu l-ați anulat niciodată. Sau o aplicație folosită în vacanță, dar uitată imediat după. Această „împrăștiere” de conturi e reală. Conform unei estimări, o persoană are în medie 168 de parole pentru conturi personale.

Totuși, conturile inactive reprezintă și un risc de securitate, atât în plan personal, cât și profesional. Ele pot deveni o țintă ușoară pentru infractorii cibernetici. Așadar, merită să vă faceți timp, din când în când, pentru o verificare și eliminare a conturilor nefolosite.

De ce sunt riscante conturile inactive?

Există multe motive pentru care ați putea avea un număr mare de conturi uitate sau nefolosite. Cel mai probabil, sunteți bombardat zilnic cu oferte speciale și servicii digitale noi. Iar uneori, singura modalitate de a le explora este să creați un cont nou. Suntem doar oameni – uităm, interesele ni se schimbă, iar uneori pierdem datele de logare și pur și simplu mergem mai departe. De multe ori, e mai simplu să lași un cont să rămână inactiv decât să îl ștergi.

Totuși, s-ar putea să greșiți. Potrivit Google, conturile inactive de mult timp sunt mai susceptibile la compromitere. De ce? Pentru că este mai probabil să implice parole vechi sau reutilizate, care ar putea fi deja compromise dintr-o breșă de securitate anterioară. Gigantul tech mai susține că „acele conturi abandonate sunt de cel puțin 10 ori mai puțin protejate prin autentificare în doi pași decât cele active”.

Aceste conturi nefolosite pot deveni adevărați „magneți” pentru hackeri, care se concentrează tot mai mult pe preluarea conturilor (Account Takeover – ATO), folosind o varietate de tehnici:
– Malware de tip „infostealer”, conceput pentru a fura datele dvs. de autentificare. Un raport arată că anul trecut au fost furate 3,2 miliarde de date de conectare, majoritatea (75%) prin intermediul acestui tip de malware.
– Breșe de securitate la scară largă, în care hackerii accesează baze întregi de date cu parole și nume de utilizator, furate de la companii terțe la care v-ați înregistrat.
– „Credential stuffing” – o tehnică în care atacatorii introduc automat datele de autentificare furate de pe diverse site-uri, sperând să acceseze conturi în care ați folosit aceeași parolă compromisă.
– Atacuri de tip „brute-force”, în care parolele sunt ghicite prin încercări repetate, folosind diverse combinații posibile.

Consecințele conturilor inactive

Dacă un atacator reușește să vă acceseze un cont inactiv, ar putea:
– Să îl folosească pentru a trimite spam sau escrocherii către contactele dvs. (de exemplu, dacă este un cont de e-mail sau de social media neutilizat), ori chiar pentru a lansa atacuri de tip phishing în numele dvs. Astfel de mesaje pot încerca să obțină informații sensibile de la prietenii dvs. sau să-i convingă să instaleze malware.
– Să caute în contul dvs. informații personale sau detalii de card salvate. Acestea pot fi folosite pentru furt de identitate sau pentru a trimite e-mailuri de phishing în care atacatorul se dă drept furnizorul serviciului respectiv, încercând să obțină mai multe date de la dvs. Chiar dacă unele carduri sunt expirate, cele valide pot fi folosite pentru tranzacții frauduloase.
– Să vândă contul pe dark web, mai ales dacă are o anumită valoare – de exemplu, un cont de fidelitate sau un cont cu puncte Air Miles pe care l-ați uitat.
– Să sustragă fondurile din cont (cum ar fi un portofel crypto sau un cont bancar uitat). În Marea Britanie, de exemplu, se estimează că există peste 82 de miliarde de lire sterline (109 miliarde de dolari) în conturi bancare, pensii și fonduri uitate.

Conturile de business inactive reprezintă, de asemenea, o țintă atractivă pentru atacatorii cibernetici, deoarece le pot oferi un acces facil la date și sisteme sensibile ale companiei. Aceste date pot fi furate și vândute sau pot fi folosite pentru șantaj cibernetic (ransomware).

De fapt, există exemple notabile:
– Atacul ransomware asupra Colonial Pipeline din 2021 a început de la un cont VPN inactiv, deturnat de atacatori. Incidentul a dus la întreruperi majore în aprovizionarea cu combustibil de-a lungul Coastei de Est a Statelor Unite.
– Un atac ransomware în 2020 asupra districtului londonez Hackney a avut ca punct vulnerabil o parolă nesigură asociată unui cont inactiv, conectat la serverele autorității locale.

E timpul pentru o „curățenie de primăvară” digital

Ce puteți face pentru a reduce riscurile menționate mai sus? Unii furnizori de servicii încep să închidă automat conturile inactive după o anumită perioadă de timp, pentru a elibera resurse, a reduce costurile și a crește securitatea clienților. Printre aceștia se numără Google, Microsoft și X (fostul Twitter).

Totuși, când vine vorba de securitatea dvs. digitală, cel mai bine e să fiți proactiv. Iată câteva recomandări:
– Faceți periodic un audit al conturilor și ștergeți-le pe cele inactive. Puteți descoperi ușor conturi uitate căutând în căsuța de e-mail termeni precum: „Bun venit”, „Verifică contul”, „Perioadă de probă”, „Îți mulțumim pentru înregistrare”, „Confirmă contul” etc.
– Verificați managerul de parole sau lista de parole salvate în browser și ștergeți-le pe cele asociate conturilor inactive – sau actualizați parola dacă a fost marcată ca fiind nesigură sau compromisă într-o breșă de date.
– Citiți politica de ștergere a conturilor oferită de furnizor, pentru a vă asigura că toate datele personale și financiare vor fi într-adevăr eliminate la închidere.
– Gândiți-vă de două ori înainte să creați un cont nou. Merită cu adevărat?

Pentru conturile pe care doriți să le păstrați, folosiți parole puternice și unice, salvați-le într-un manager de parole și luați în calcul următoarele:
– Activați autentificarea în doi pași (2FA) – astfel, chiar dacă un hacker vă află parola, nu va putea accesa contul fără al doilea factor de verificare.
– Nu vă autentificați în conturi sensibile folosind rețele Wi-Fi publice (decât dacă folosiți un VPN). Infractorii cibernetici vă pot intercepta activitatea și sustrage datele dvs. de conectare.
– Fiți atent la mesajele de phishing care încearcă să vă păcălească să divulgați datele de autentificare sau să descărcați malware (cum sunt infostealerele). Nu accesați link-uri din mesaje nesolicitate. Nu vă lăsați presat să acționați de mesaje alarmante, cum ar fi cele care pretind că aveți datorii sau că vi se va șterge contul dacă nu reacționați imediat.

Cel mai probabil, majoritatea dintre noi avem zeci – dacă nu chiar sute – de conturi inactive răspândite pe internet. Dar, dacă acordați câteva minute pe an pentru o „curățenie digitală”, puteți face un pas simplu, dar important, spre un mediu online mai sigur pentru dvs.