Stefano Gazzella : 6 Luglio 2023 07:45
La polizia postale e delle comunicazioni è arrivata a diramare un avviso informativo contenente alcuni consigli che fanno riferimento al diffuso fenomeno del furto dei profili social, sempre più appetibili per i cybercriminali al fine di veicolare campagne di scamming particolarmente fruttuose.
Certo, questi suggerimenti non aggiungono nulla alle buone pratiche di igiene digitale. Pratiche che però giacciono ancora incompiute mentre il percorso di costruzione di quella cultura digitale sembra ancora lungo da completare.
Si deve prendere atto dell’intensificarsi delle frodi informatiche che si è realizzato nell’ultimo anno, soprattutto nei confronti degli utenti di Instagram e che ha portato alla sottrazione di account anche a professionisti quali sono i content creator e i social media manager.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Le modalità d’attacco non sono particolarmente sofisticate dal punto di vista tecnologico ma vanno a colpire, come di consueto, il fattore umano. O per meglio dire contano sulla carente consapevolezza d’impiego di questo tipo di strumenti, addirittura da parte di chi li impiega per svolgere il proprio lavoro. E così l’ingegneria sociale riesce a bypassare agilmente anche un’autenticazione “forte” a due fattori, avvalendosi dell’inconsapevole collaborazione della vittima.
Il cybercriminale spesso presenta un’offerta particolarmente invitante, quale la partecipazione ad un contest o a un giveaway a scadenza breve, le cui condizioni sono però l’aggiunta di un ulteriore indirizzo e-mail all’account social accedendo così alla gestione dello stesso. Dopodiché, la vittima è indotta a comunicare ed inserire i codici di backup cedendo infine il pieno controllo dell’account social all’attaccante.
Una volta che tutto questo è avvenuto, solitamente si assiste a due operazioni concorrenti. La prima è lo svolgimento di ulteriori campagne di scamming attraverso l’account sottratto, con la pubblicazione di offerte, giveaway e contest per attirare nuove vittime all’interno della cerchia sociale di follower e contatti tramite baiting. La seconda, invece, consiste nel ricontattare la vittima del furto di account. E qui si presentano due scenari alternativi: l’invio di una richiesta di pagamento di un riscatto per la restituzione degli accessi, o altrimenti un’ulteriore frode in cui il cybercriminale si presenta come il centro assistenza di Instagram (ad esempio) o come un ufficio di polizia chiedendo sia ulteriori dati personali sia l’esecuzione di alcuni pagamenti per il recupero dell’account.
Quale tutela si può ottenere nel caso in cui si sia rimasti vittima di un furto di account? Certamente, presentare una denuncia (ad es. per frode informatica, art. 640 ter c.p.), ha anche la finalità di “scollegare” la titolarità formale dell’account da una data certa, così da non essere chiamati, in caso, a dover fornire chiarimenti per le attività illecite che vengono svolte mediante tale tramite.
Ma per avere un tutela efficace bisogna adottare comportamenti sicuri nello svolgimento della propria attività online e social. Come evidenziato, la vulnerabilità individuata non è qualche bug della piattaforma, o un abracadabra informatico ma consiste nell’ignorare le buone pratiche di igiene digitale.
L’aggiunta di un ulteriore indirizzo e-mail al proprio account (o pagina) non è un’operazione da prendere con leggerezza, e certamente non può essere un requisito per partecipare ad alcuna forma di concorso. Inoltre, bisogna sempre ricordare che il codice che viene reso dalla piattaforma, qualunque sia la denominazione (codice di backup, OTP, o altro), è a tutti gli effetti una password. E dunque devono essere adottate le medesime cautele che si adottano per la sua custodia in sicurezza.
E se gli attacchi di phishing (in questo caso: social phishing) prosperano, il motivo è che queste accortezze, che ai più possono sembrare elementari, non vengono diffusamente adottate.
Stefano GazzellaIl CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...
Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...
Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
