Stefano Gazzella : 24 Novembre 2023 07:16
Si sa, bisogna sempre avere cura di gestire in sicurezza i propri account sui social media, ma il contesto gioca un ruolo molto rilevante e impatta direttamente sulle capacità di percezione dei pericoli da parte dell’utente. Ad esempio in questo periodo è normale ricevere offerte lampo, promozioni personalizzate, estrazioni, premi, partecipazioni a click day o essere destinatari di una call to action. Tutto però può diventare confondente, seppur colorato e invitante. E questo un cybercriminale lo sa benissimo.
La voglia di acquisti online scandisce la settimana del Black Friday, ma gli utenti quanto possono dirsi al sicuro se non mantengono comportamenti prudenti? Ogni periodo ricorrente di saldi vede ampie reti che sono gettate per pescare dati personali e facili guadagni presso vittime poco consapevoli, avventate o semplicemente confuse. E i risultati cui assistiamo sono la sottrazione di dati personali, il furto dell’account o della pagina social, o anche frodi andate a buon fine con ricchi bottini da un lato e perdite economiche dall’altro. Spesso, con conseguenze o irreparabili o comunque di impatto significativo.
Ci sono più modalità per attaccare gli utenti dei social approfittando del periodo di saldi, considerata la maggiore propensione a ricevere, esplorare o finanche ricercare offerte. E qui il bait, ovverosia l’esca, può essere preparata anche attraverso un account social aperto ad hoc (magari con qualche follower acquistato), un account o una pagina compromessa, o anche un sito web preparato per ingenerare un falso senso di sicurezza e affidabilità presso l’incauto utente.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I metodi impiegati possono essere i più vari, ma per lo più impiegano i contenuti che è possibile generare attraverso le funzioni del social network (post, reel, shorts, stories, commenti, etc.) inserendo anche dei link, con l’invito ad approfittare di un codice sconto dedicato, o altrimenti presentando un’offerta a tempo (con un timer) o ad esaurimento (con l’indicazione dei prodotti rimasti), o anche veicolando mediante messaggio privato o link un contenuto scaricabile.
Il link può riportare ad un sito eserno o contraffatto o preparato per raccogliere dati e pagamenti dell’utente, che però non vedrà mai il proprio acquisto realizzato. Il contenuto invece può consistere un un malware per infettare i dispositivi dell’utente, con la possibilità per l’attaccante di veicolare ulteriori diffusioni, fare richieste estorsive o anche sottrarre dati, credenziali e metodi di pagamento in uso.
Premesso che il contesto rende credibile il fatto che si possa essere destinatari di queste offerte o occasioni, la leva impiegata è quella del desiderio accelerato dal senso di urgenza per ottenere (o anche: non perdere) il vantaggio presentato. All’apparenza può essere simile ad un marketing funnel, ma è possibile comunque rilevare delle anomalie impiegando qualche accortezza.
Il primo suggerimento è sempre quello: ragionare prima di agire, evitando di cadere trappola dell’enfasi del momento che, nel miglior caso potrebbe condurre ad un acquisto di cui ci si potrebbe pentire mentre nel peggiore ad essere annoverati nella lista delle vittime dei cybercriminali.
Verificare la genuinità dell’account attraverso cui è veicolata l’offerta può essere possibile, ad esempio, andando a controllare il numero di follower e la data di iscrizione al social, nonché i contenuti diffusi e i commenti. Allo stesso modo si può fare con il sito web presso il quale si è indirizzati per svolgere determinati acquisti, già in modo molto superficiale interrogando un servizio Whois e andando a verificare le note legali e la privacy policy. Un controllo ovviamente non esclude la possibilità di svolgerne altri, anche maggiormente approfonditi, ma in generale assumere un approccio prudente gioca un ruolo fondamentale e rilevante per prevenire la maggior parte dei rischi cui si è generalmente esposti in questi particolari ambiti di social scam.
Nel caso dei contenuti scaricabili, se non si ha a disposizione o non si vuole impiegare una sandbox la regola aurea di non aprire allegati di cui non si conosce con certezza la provenienza deve essere estesa. Nell’ipotesi dei contenuti inviati tramite un account social, bisogna sempre prendere in considerazione il rischio che l’utenza possa essere stata compromessa o che altrimenti sia stata creata proprio con l’unico scopo di essere un vettore d’attacco. E qui talvolta la verifica dell’apparente genuinità non è sufficiente.
Tutto sta nell’accettazione del rischio da parte dell’utente, ma per compiere questa scelta occorre essere sufficientemente consapevole e preparato per svolgere una valutazione corretta. O anche di sapere quale sarà la sua massima perdita, ad esempio veicolando l’acquisto con un metodo di pagamento quale può essere una carta di credito virtuale monouso. Insomma: ragionando in modo anticipatorio, e chiedendosi “cosa succede se ogni mia misura di sicurezza fallisce”. Il che, a pensarci bene, è un buon modo di agire che deve integrare quei comportamenti sicuri necessari per non ritrovarsi a vestire il ruolo di vittime inconsapevoli.
Stefano GazzellaIl Dipartimento dell’Energia degli Stati Uniti (DOE) ha avviato una collaborazione strategica con Nvidia e Oracle per costruire sette supercomputer di nuova generazione basati sull’intelligenza ar...
Una interruzione del servizio DNS è stata rilevata il 29 ottobre 2025 da Microsoft, con ripercussioni sull’accesso ai servizi fondamentali come Microsoft Azure e Microsoft 365. Un’ anomalia è st...
Per la seconda volta negli ultimi mesi, Google è stata costretta a smentire le notizie di una massiccia violazione dei dati di Gmail. La notizia è stata scatenata dalle segnalazioni di un “hacking...
Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una vulnerabilità critica di tipo Remote Code Execution (RCE) nel servizio Windows Server Update Services (WSUS)...
Gli sviluppatori del gestore di password LastPass hanno avvisato gli utenti di una campagna di phishing su larga scala iniziata a metà ottobre 2025. Gli aggressori stanno inviando e-mail contenenti f...
