Black Friday: quando le offerte diventano truffe sempre più social

Stefano Gazzella : 24 Novembre 2023 07:16

Si sa, bisogna sempre avere cura di gestire in sicurezza i propri account sui social media, ma il contesto gioca un ruolo molto rilevante e impatta direttamente sulle capacità di percezione dei pericoli da parte dell’utente. Ad esempio in questo periodo è normale ricevere offerte lampo, promozioni personalizzate, estrazioni, premi, partecipazioni a click day o essere destinatari di una call to action. Tutto però può diventare confondente, seppur colorato e invitante. E questo un cybercriminale lo sa benissimo.

La voglia di acquisti online scandisce la settimana del Black Friday, ma gli utenti quanto possono dirsi al sicuro se non mantengono comportamenti prudenti? Ogni periodo ricorrente di saldi vede ampie reti che sono gettate per pescare dati personali e facili guadagni presso vittime poco consapevoli, avventate o semplicemente confuse. E i risultati cui assistiamo sono la sottrazione di dati personali, il furto dell’account o della pagina social, o anche frodi andate a buon fine con ricchi bottini da un lato e perdite economiche dall’altro. Spesso, con conseguenze o irreparabili o comunque di impatto significativo.

Alcune tecniche di social scamming impiegate.

Ci sono più modalità per attaccare gli utenti dei social approfittando del periodo di saldi, considerata la maggiore propensione a ricevere, esplorare o finanche ricercare offerte. E qui il bait, ovverosia l’esca, può essere preparata anche attraverso un account social aperto ad hoc (magari con qualche follower acquistato), un account o una pagina compromessa, o anche un sito web preparato per ingenerare un falso senso di sicurezza e affidabilità presso l’incauto utente.

I metodi impiegati possono essere i più vari, ma per lo più impiegano i contenuti che è possibile generare attraverso le funzioni del social network (post, reel, shorts, stories, commenti, etc.) inserendo anche dei link, con l’invito ad approfittare di un codice sconto dedicato, o altrimenti presentando un’offerta a tempo (con un timer) o ad esaurimento (con l’indicazione dei prodotti rimasti), o anche veicolando mediante messaggio privato o link un contenuto scaricabile.

Il link può riportare ad un sito eserno o contraffatto o preparato per raccogliere dati e pagamenti dell’utente, che però non vedrà mai il proprio acquisto realizzato. Il contenuto invece può consistere un un malware per infettare i dispositivi dell’utente, con la possibilità per l’attaccante di veicolare ulteriori diffusioni, fare richieste estorsive o anche sottrarre dati, credenziali e metodi di pagamento in uso.

Premesso che il contesto rende credibile il fatto che si possa essere destinatari di queste offerte o occasioni, la leva impiegata è quella del desiderio accelerato dal senso di urgenza per ottenere (o anche: non perdere) il vantaggio presentato. All’apparenza può essere simile ad un marketing funnel, ma è possibile comunque rilevare delle anomalie impiegando qualche accortezza.

La difesa dell’utente: assumere comportamenti sicuri.

Il primo suggerimento è sempre quello: ragionare prima di agire, evitando di cadere trappola dell’enfasi del momento che, nel miglior caso potrebbe condurre ad un acquisto di cui ci si potrebbe pentire mentre nel peggiore ad essere annoverati nella lista delle vittime dei cybercriminali.

Verificare la genuinità dell’account attraverso cui è veicolata l’offerta può essere possibile, ad esempio, andando a controllare il numero di follower e la data di iscrizione al social, nonché i contenuti diffusi e i commenti. Allo stesso modo si può fare con il sito web presso il quale si è indirizzati per svolgere determinati acquisti, già in modo molto superficiale interrogando un servizio Whois e andando a verificare le note legali e la privacy policy. Un controllo ovviamente non esclude la possibilità di svolgerne altri, anche maggiormente approfonditi, ma in generale assumere un approccio prudente gioca un ruolo fondamentale e rilevante per prevenire la maggior parte dei rischi cui si è generalmente esposti in questi particolari ambiti di social scam.

Nel caso dei contenuti scaricabili, se non si ha a disposizione o non si vuole impiegare una sandbox la regola aurea di non aprire allegati di cui non si conosce con certezza la provenienza deve essere estesa. Nell’ipotesi dei contenuti inviati tramite un account social, bisogna sempre prendere in considerazione il rischio che l’utenza possa essere stata compromessa o che altrimenti sia stata creata proprio con l’unico scopo di essere un vettore d’attacco. E qui talvolta la verifica dell’apparente genuinità non è sufficiente.

Tutto sta nell’accettazione del rischio da parte dell’utente, ma per compiere questa scelta occorre essere sufficientemente consapevole e preparato per svolgere una valutazione corretta. O anche di sapere quale sarà la sua massima perdita, ad esempio veicolando l’acquisto con un metodo di pagamento quale può essere una carta di credito virtuale monouso. Insomma: ragionando in modo anticipatorio, e chiedendosi “cosa succede se ogni mia misura di sicurezza fallisce”. Il che, a pensarci bene, è un buon modo di agire che deve integrare quei comportamenti sicuri necessari per non ritrovarsi a vestire il ruolo di vittime inconsapevoli.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.