Come sapere se qualcuno ha accesso remoto al tuo computer Windows?

Alcuni dei tipi di malware più pericolosi sono progettati per ottenere l'accesso remoto al PC della vittima, come i Remote Access Trojan (RAT) e i rootkit a livello kernel . Funzionano silenziosamente, rendendo difficile il rilevamento. Se temi che qualcuno abbia avuto accesso remoto non autorizzato al tuo PC Windows, scopri come confermare e rimuovere la minaccia.

Segnali di avvertimento quando qualcuno accede al tuo PC

Anche se la maggior parte dei tentativi di accesso remoto sono silenziosi, presentano comunque alcuni segnali d'allarme. Sebbene questi segnali possano essere indicativi della popolarità di Windows, presi insieme possono rappresentare una forte prova di attività di accesso remoto.

• Comportamento insolito del mouse/tastiera : se il cursore si muove in modo irregolare o viene immesso del testo senza il tuo intervento, potrebbe essere dovuto all'uso di uno strumento remoto. Anche se non vengono controllati attivamente, questi strumenti possono comunque causare problemi come il salto del cursore o il teletrasporto. Questo segnale può anche fungere da conferma se il mouse e la tastiera iniziano a svolgere attività come l'accesso alla barra degli indirizzi del browser e l'inserimento di un indirizzo web.
• Programmi che si aprono e si chiudono da soli : gli hacker possono anche inviare comandi per aprire applicazioni specifiche (come software antivirus o Prompt dei comandi ) per ottenere un maggiore controllo sul sistema o disattivare le funzionalità di sicurezza. Se vedi programmi che si aprono e si chiudono da soli, è un segnale di allarme.
• Creazione di nuovi account utente sconosciuti : alcuni malintenzionati potrebbero provare a creare account secondari per ottenere un accesso persistente anche dopo essere stati rilevati. Probabilmente disabiliteranno la funzione di cambio utente per nascondere l'account dalla schermata di blocco. Vai su Impostazioni di Windows -> Account e trova l'account secondario in Famiglia e altri utenti.

• Rallentamento improvviso delle prestazioni : anche le operazioni di controllo remoto richiedono molte risorse, quindi potresti notare un calo improvviso delle prestazioni. Ciò è particolarmente importante da tenere in considerazione se si verificano occasionali cali di prestazioni dovuti alle operazioni di controllo remoto.
• Desktop remoto di Windows è abilitato automaticamente : Desktop remoto di Windows è piuttosto vulnerabile, quindi gli hacker spesso utilizzano questa funzionalità per creare connessioni remote. Questa funzione è disabilitata per impostazione predefinita, quindi se viene abilitata senza il tuo intervento, potrebbe essere un hacker. Nelle Impostazioni di Windows, vai su Sistema -> Desktop remoto e verifica se questa funzionalità è abilitata.

Come confermare che il tuo PC è accessibile da remoto

Se noti i segnali sopra menzionati, adotta le misure necessarie per confermare i tuoi sospetti. È possibile monitorare l'attività dei componenti/delle applicazioni coinvolti nel processo di accesso remoto per confermare che qualcuno stia accedendo al PC Windows. Ecco alcuni dei metodi più affidabili:

Controllare i registri del Visualizzatore eventi di Windows

Visualizzatore eventi di Windows è un ottimo strumento integrato per monitorare le attività degli utenti e contribuire a rilevare i tentativi di accesso remoto monitorando l'attività RDP e i registri di accesso.

Cerca "Visualizzatore eventi" nella barra di ricerca di Windows e apri Visualizzatore eventi .

Vai a Registri di Windows -> Sicurezza e fai clic sulla scheda ID evento per ordinare gli eventi in base all'ID. Cerca tutti gli eventi con ID 4624 e controlla i dettagli per assicurarti che nessuno di essi abbia il tipo di accesso 10 . L'ID evento 4624 è per i tentativi di accesso e il tipo di accesso 10 corrisponde agli accessi remoti mediante servizi di accesso remoto che gli hacker potrebbero utilizzare.

È anche possibile cercare l'ID evento 4778 , poiché indica una riconnessione a una sessione remota. Nella pagina dei dettagli di ogni evento troverai informazioni identificative importanti, come il nome dell'account o l'indirizzo IP della rete.

Monitorare il traffico di rete

L'accesso remoto dipende dalla connettività di rete, quindi il monitoraggio del traffico di rete è un modo affidabile per rilevarlo. A questo scopo consigliamo di utilizzare la versione gratuita di GlassWire, in quanto monitora e protegge automaticamente dalle connessioni dannose.

Nell'applicazione GlassWire, vedrai tutte le connessioni dell'applicazione nella sezione GlassWire Protect . L'applicazione valuterà automaticamente le connessioni e contrassegnerà quelle non attendibili. Nella maggior parte dei casi, l'applicazione sarà in grado di rilevare connessioni remote dannose e di avvisarti.

Oltre agli algoritmi delle app, puoi anche cercare indizi come un elevato utilizzo di dati da parte di un'app sconosciuta. Le connessioni remote utilizzano dati persistenti e sono quindi facili da rilevare.

Visualizza le attività pianificate

Molti tentativi di accesso remoto vengono gestiti tramite lo strumento Utilità di pianificazione di Windows. Ciò li aiuta a resistere ai riavvii del PC e a svolgere le attività senza dover essere eseguiti ininterrottamente. Se il tuo PC è infetto da un virus, nell'Utilità di pianificazione vedrai attività provenienti da applicazioni sconosciute.

Cercare “Utilità di pianificazione” nella ricerca di Windows e aprire l’applicazione Utilità di pianificazione. Nel pannello di sinistra, apri Utilità di pianificazione (locale) -> Libreria Utilità di pianificazione . Cerca eventuali cartelle strane o sospette diverse da Microsoft. Se trovi delle cartelle, fai clic con il pulsante destro del mouse sull'attività e seleziona Proprietà.

In Proprietà , esamina le schede Trigger e Azioni per scoprire cosa fa l'attività e quando viene eseguita, il che dovrebbe essere sufficiente per capire se è dannosa. Ad esempio, se l'attività esegue un'applicazione o uno script sconosciuto all'accesso o quando il sistema è inattivo, l'attività potrebbe essere dannosa.

Se non trovi l'attività sospetta, potresti provare a cercare in Microsoft. È possibile che nelle cartelle di sistema si nasconda un malware sofisticato. Cerca attività che sembrano sospette, ad esempio con nomi generici come "systemMonitor" o nomi scritti in modo errato. Fortunatamente non dovrai fare ricerche su ogni attività, poiché la maggior parte sarà creata da Microsoft Corporation, il che può essere tranquillamente ignorato.