Si sa, bisogna sempre avere cura di gestire in sicurezza i propri account sui social media, ma il contesto gioca un ruolo molto rilevante e impatta direttamente sulle capacità di percezione dei pericoli da parte dell’utente. Ad esempio in questo periodo è normale ricevere offerte lampo, promozioni personalizzate, estrazioni, premi, partecipazioni a click day o essere destinatari di una call to action. Tutto però può diventare confondente, seppur colorato e invitante. E questo un cybercriminale lo sa benissimo.
La voglia di acquisti online scandisce la settimana del Black Friday, ma gli utenti quanto possono dirsi al sicuro se non mantengono comportamenti prudenti? Ogni periodo ricorrente di saldi vede ampie reti che sono gettate per pescare dati personali e facili guadagni presso vittime poco consapevoli, avventate o semplicemente confuse. E i risultati cui assistiamo sono la sottrazione di dati personali, il furto dell’account o della pagina social, o anche frodi andate a buon fine con ricchi bottini da un lato e perdite economiche dall’altro. Spesso, con conseguenze o irreparabili o comunque di impatto significativo.
Ci sono più modalità per attaccare gli utenti dei social approfittando del periodo di saldi, considerata la maggiore propensione a ricevere, esplorare o finanche ricercare offerte. E qui il bait, ovverosia l’esca, può essere preparata anche attraverso un account social aperto ad hoc (magari con qualche follower acquistato), un account o una pagina compromessa, o anche un sito web preparato per ingenerare un falso senso di sicurezza e affidabilità presso l’incauto utente.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I metodi impiegati possono essere i più vari, ma per lo più impiegano i contenuti che è possibile generare attraverso le funzioni del social network (post, reel, shorts, stories, commenti, etc.) inserendo anche dei link, con l’invito ad approfittare di un codice sconto dedicato, o altrimenti presentando un’offerta a tempo (con un timer) o ad esaurimento (con l’indicazione dei prodotti rimasti), o anche veicolando mediante messaggio privato o link un contenuto scaricabile.
Il link può riportare ad un sito eserno o contraffatto o preparato per raccogliere dati e pagamenti dell’utente, che però non vedrà mai il proprio acquisto realizzato. Il contenuto invece può consistere un un malware per infettare i dispositivi dell’utente, con la possibilità per l’attaccante di veicolare ulteriori diffusioni, fare richieste estorsive o anche sottrarre dati, credenziali e metodi di pagamento in uso.
Premesso che il contesto rende credibile il fatto che si possa essere destinatari di queste offerte o occasioni, la leva impiegata è quella del desiderio accelerato dal senso di urgenza per ottenere (o anche: non perdere) il vantaggio presentato. All’apparenza può essere simile ad un marketing funnel, ma è possibile comunque rilevare delle anomalie impiegando qualche accortezza.
Il primo suggerimento è sempre quello: ragionare prima di agire, evitando di cadere trappola dell’enfasi del momento che, nel miglior caso potrebbe condurre ad un acquisto di cui ci si potrebbe pentire mentre nel peggiore ad essere annoverati nella lista delle vittime dei cybercriminali.
Verificare la genuinità dell’account attraverso cui è veicolata l’offerta può essere possibile, ad esempio, andando a controllare il numero di follower e la data di iscrizione al social, nonché i contenuti diffusi e i commenti. Allo stesso modo si può fare con il sito web presso il quale si è indirizzati per svolgere determinati acquisti, già in modo molto superficiale interrogando un servizio Whois e andando a verificare le note legali e la privacy policy. Un controllo ovviamente non esclude la possibilità di svolgerne altri, anche maggiormente approfonditi, ma in generale assumere un approccio prudente gioca un ruolo fondamentale e rilevante per prevenire la maggior parte dei rischi cui si è generalmente esposti in questi particolari ambiti di social scam.
Nel caso dei contenuti scaricabili, se non si ha a disposizione o non si vuole impiegare una sandbox la regola aurea di non aprire allegati di cui non si conosce con certezza la provenienza deve essere estesa. Nell’ipotesi dei contenuti inviati tramite un account social, bisogna sempre prendere in considerazione il rischio che l’utenza possa essere stata compromessa o che altrimenti sia stata creata proprio con l’unico scopo di essere un vettore d’attacco. E qui talvolta la verifica dell’apparente genuinità non è sufficiente.
Tutto sta nell’accettazione del rischio da parte dell’utente, ma per compiere questa scelta occorre essere sufficientemente consapevole e preparato per svolgere una valutazione corretta. O anche di sapere quale sarà la sua massima perdita, ad esempio veicolando l’acquisto con un metodo di pagamento quale può essere una carta di credito virtuale monouso. Insomma: ragionando in modo anticipatorio, e chiedendosi “cosa succede se ogni mia misura di sicurezza fallisce”. Il che, a pensarci bene, è un buon modo di agire che deve integrare quei comportamenti sicuri necessari per non ritrovarsi a vestire il ruolo di vittime inconsapevoli.
Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cyberpolitica
Cultura
Cybercrime
Cyberpolitica