Furto di account sui social media: Consigli per evitare il furto dei dati personali

Stefano Gazzella : 6 Luglio 2023 07:45

La polizia postale e delle comunicazioni è arrivata a diramare un avviso informativo contenente alcuni consigli che fanno riferimento al diffuso fenomeno del furto dei profili social, sempre più appetibili per i cybercriminali al fine di veicolare campagne di scamming particolarmente fruttuose.

• Proteggi i tuoi profili social attivando l’autenticazione a due fattori
• Non sottovalutare gli avvisi su eventuali accessi non autorizzati 
• Quando ricevi un messaggio verifica la sua autenticità prima di cliccare sui link allegati
• Non rispondere a richieste di dati o codici anche se provengono da contatti conosciuti che potrebbero essere stati a loro volta violati
• Nessun ufficio di polizia ti chiederà mai il pagamento per ricevere assistenza

Certo, questi suggerimenti non aggiungono nulla alle buone pratiche di igiene digitale. Pratiche che però giacciono ancora incompiute mentre il percorso di costruzione di quella cultura digitale sembra ancora lungo da completare.

Si deve prendere atto dell’intensificarsi delle frodi informatiche che si è realizzato nell’ultimo anno, soprattutto nei confronti degli utenti di Instagram e che ha portato alla sottrazione di account anche a professionisti quali sono i content creator e i social media manager.

Modalità di attacco note

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Le modalità d’attacco non sono particolarmente sofisticate dal punto di vista tecnologico ma vanno a colpire, come di consueto, il fattore umano. O per meglio dire contano sulla carente consapevolezza d’impiego di questo tipo di strumenti, addirittura da parte di chi li impiega per svolgere il proprio lavoro. E così l’ingegneria sociale riesce a bypassare agilmente anche un’autenticazione “forte” a due fattori, avvalendosi dell’inconsapevole collaborazione della vittima.

Il cybercriminale spesso presenta un’offerta particolarmente invitante, quale la partecipazione ad un contest o a un giveaway a scadenza breve, le cui condizioni sono però l’aggiunta di un ulteriore indirizzo e-mail all’account social accedendo così alla gestione dello stesso. Dopodiché, la vittima è indotta a comunicare ed inserire i codici di backup cedendo infine il pieno controllo dell’account social all’attaccante.

Una volta che tutto questo è avvenuto, solitamente si assiste a due operazioni concorrenti. La prima è lo svolgimento di ulteriori campagne di scamming attraverso l’account sottratto, con la pubblicazione di offerte, giveaway e contest per attirare nuove vittime all’interno della cerchia sociale di follower e contatti tramite baiting. La seconda, invece, consiste nel ricontattare la vittima del furto di account. E qui si presentano due scenari alternativi: l’invio di una richiesta di pagamento di un riscatto per la restituzione degli accessi, o altrimenti un’ulteriore frode in cui il cybercriminale si presenta come il centro assistenza di Instagram (ad esempio) o come un ufficio di polizia chiedendo sia ulteriori dati personali sia l’esecuzione di alcuni pagamenti per il recupero dell’account.

Quali sono i punti deboli?

Quale tutela si può ottenere nel caso in cui si sia rimasti vittima di un furto di account? Certamente, presentare una denuncia (ad es. per frode informatica, art. 640 ter c.p.), ha anche la finalità di “scollegare” la titolarità formale dell’account da una data certa, così da non essere chiamati, in caso, a dover fornire chiarimenti per le attività illecite che vengono svolte mediante tale tramite.

Ma per avere un tutela efficace bisogna adottare comportamenti sicuri nello svolgimento della propria attività online e social. Come evidenziato, la vulnerabilità individuata non è qualche bug della piattaforma, o un abracadabra informatico ma consiste nell’ignorare le buone pratiche di igiene digitale.

L’aggiunta di un ulteriore indirizzo e-mail al proprio account (o pagina) non è un’operazione da prendere con leggerezza, e certamente non può essere un requisito per partecipare ad alcuna forma di concorso. Inoltre, bisogna sempre ricordare che il codice che viene reso dalla piattaforma, qualunque sia la denominazione (codice di backup, OTP, o altro), è a tutti gli effetti una password. E dunque devono essere adottate le medesime cautele che si adottano per la sua custodia in sicurezza.

E se gli attacchi di phishing (in questo caso: social phishing) prosperano, il motivo è che queste accortezze, che ai più possono sembrare elementari, non vengono diffusamente adottate.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore