La polizia postale e delle comunicazioni è arrivata a diramare un avviso informativo contenente alcuni consigli che fanno riferimento al diffuso fenomeno del furto dei profili social, sempre più appetibili per i cybercriminali al fine di veicolare campagne di scamming particolarmente fruttuose.
Certo, questi suggerimenti non aggiungono nulla alle buone pratiche di igiene digitale. Pratiche che però giacciono ancora incompiute mentre il percorso di costruzione di quella cultura digitale sembra ancora lungo da completare.
Si deve prendere atto dell’intensificarsi delle frodi informatiche che si è realizzato nell’ultimo anno, soprattutto nei confronti degli utenti di Instagram e che ha portato alla sottrazione di account anche a professionisti quali sono i content creator e i social media manager.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le modalità d’attacco non sono particolarmente sofisticate dal punto di vista tecnologico ma vanno a colpire, come di consueto, il fattore umano. O per meglio dire contano sulla carente consapevolezza d’impiego di questo tipo di strumenti, addirittura da parte di chi li impiega per svolgere il proprio lavoro. E così l’ingegneria sociale riesce a bypassare agilmente anche un’autenticazione “forte” a due fattori, avvalendosi dell’inconsapevole collaborazione della vittima.
Il cybercriminale spesso presenta un’offerta particolarmente invitante, quale la partecipazione ad un contest o a un giveaway a scadenza breve, le cui condizioni sono però l’aggiunta di un ulteriore indirizzo e-mail all’account social accedendo così alla gestione dello stesso. Dopodiché, la vittima è indotta a comunicare ed inserire i codici di backup cedendo infine il pieno controllo dell’account social all’attaccante.
Una volta che tutto questo è avvenuto, solitamente si assiste a due operazioni concorrenti. La prima è lo svolgimento di ulteriori campagne di scamming attraverso l’account sottratto, con la pubblicazione di offerte, giveaway e contest per attirare nuove vittime all’interno della cerchia sociale di follower e contatti tramite baiting. La seconda, invece, consiste nel ricontattare la vittima del furto di account. E qui si presentano due scenari alternativi: l’invio di una richiesta di pagamento di un riscatto per la restituzione degli accessi, o altrimenti un’ulteriore frode in cui il cybercriminale si presenta come il centro assistenza di Instagram (ad esempio) o come un ufficio di polizia chiedendo sia ulteriori dati personali sia l’esecuzione di alcuni pagamenti per il recupero dell’account.
Quale tutela si può ottenere nel caso in cui si sia rimasti vittima di un furto di account? Certamente, presentare una denuncia (ad es. per frode informatica, art. 640 ter c.p.), ha anche la finalità di “scollegare” la titolarità formale dell’account da una data certa, così da non essere chiamati, in caso, a dover fornire chiarimenti per le attività illecite che vengono svolte mediante tale tramite.
Ma per avere un tutela efficace bisogna adottare comportamenti sicuri nello svolgimento della propria attività online e social. Come evidenziato, la vulnerabilità individuata non è qualche bug della piattaforma, o un abracadabra informatico ma consiste nell’ignorare le buone pratiche di igiene digitale.
L’aggiunta di un ulteriore indirizzo e-mail al proprio account (o pagina) non è un’operazione da prendere con leggerezza, e certamente non può essere un requisito per partecipare ad alcuna forma di concorso. Inoltre, bisogna sempre ricordare che il codice che viene reso dalla piattaforma, qualunque sia la denominazione (codice di backup, OTP, o altro), è a tutti gli effetti una password. E dunque devono essere adottate le medesime cautele che si adottano per la sua custodia in sicurezza.
E se gli attacchi di phishing (in questo caso: social phishing) prosperano, il motivo è che queste accortezze, che ai più possono sembrare elementari, non vengono diffusamente adottate.
Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Diritti
Hacking
Cyber Italia
Cyberpolitica
Cybercrime