Ecco come difendersi dai finti profili sui social network

by checkblacklist · Published 22 Settembre 2015 · Updated 22 Settembre 2015

Amico, spia o truffatore? Dalle finte donne pronte a ricattare i “gonzi” ai contatti LinkedIn che prendono di mira le aziende. E perché la nostra amicizia online fa gola a spammer e malintenzionati.

(di Carola Frediani, LaStampa.it) Una nuova richiesta di contatto su LinkedIn. Da parte di una cacciatrice di teste di una società che recluta talenti, Talent src. Una donna versata proprio nel campo in cui lavora la persona contattata. E che sfoggia una foto profilo niente male. È così che anche alcuni esperti di sicurezza informatica sono finiti nella più antica e abusata delle trappole: la femme fatale (ma in alcuni casi, a seconda del target, anche un uomo) incarnata in un allettante contatto lavorativo digitale. Il caso è emerso qualche giorno fa, quando un’autorevole azienda di cybersicurezza, F-Secure, ha denunciato e descritto l’esistenza di una campagna che prendeva di mira dipendenti di società informatiche, inclusi anche propri impiegati.

I finti profili LinkedIn di cacciatrici di teste per conto di una altrettanto finta società di reclutamento talenti erano riuscite a farsi dare “l’amicizia” da diversi manager ed esperti di sicurezza, che in alcuni casi avevano addirittura confermato (alla cieca, evidentemente) le competenze di queste fantomatiche reclutatrici. Tra i profili finiti nella rete delle adescatrici anche i dipendenti di importanti contractor della Difesa americana.

Ma quale può essere l’obiettivo di simili profili finti? E nello specifico di questa campagna? “Il modo più sicuro per attaccare informaticamente un’azienda è farlo attraverso le sue persone. E questo rimane valido anche per le aziende di sicurezza”, commenta alla Stampa Sean Sullivan, ricercatore di F-Secure. «Se tu vuoi hackerare una grossa impresa, devi sconfiggere i suoi sistemi di autodifesa. Un modo per farlo è violare i suoi fornitori di prodotti per la sicurezza, ottenendo il loro codice sorgente o l’accesso ai loro servizi, e a quel punto trovare il modo di aggirare i sistemi di rilevamento. È già successo un caso simile, nel 2013, con Bit9»

In generale se si vuole condurre un attacco a un’azienda il modo più diretto è cercare di ottenere le password dell’amministratore di sistema, prosegue Sullivan. Ma per farlo devi prima sapere chi è. Da questo punto di vista LinkedIn è una miniera di informazioni utili anche per eventuali malintenzionati. “Ho fatto delle ricerche in passato e ci sono molti iscritti al social network che includono nel profilo queste informazioni. Non è difficile a quel punto indovinare il loro indirizzo email aziendale e tentare di inviare una mail trappola. O mandare un link infetto attraverso il sistema di messaggistica interno”. Non è escluso che la Talent src individuata da F-Secure sia anche solo un progetto di ricerca di qualcuno che voglia dimostrare proprio la possibilità di sfruttare le piattaforme social per ottenere informazioni delicate. Del resto anche un simile scenario era già accaduto in passato. Qualche anno fa un ricercatore fece un esperimento divenuto poi abbastanza famoso (e riportato in un paper): si finse una certa Robin Sage, attraente 25enne che lavorava come analista esperta in minacce cyber della marina americana. E attraverso LinkedIn e altri profili ricavò molte informazioni da personale militare e della Difesa.

Sarebbe però sbagliato pensare che la creazione di personalità finte sui social network per carpire fiducia, informazioni e soldi (da non confondere col desiderio legittimo di alcuni utenti di non usare il proprio vero nome solo per ragioni di privacy) riguardi solo aziende di sicurezza o militari. O solo uomini.

Una 62enne dell’Oklahoma ha dato 10mila dollari a quello che credeva essere un soldato americano in Afghanistan, conosciuto solo tramite Facebook, che l’aveva corteggiata per mesi in modo virtuale. Ma il soldato Hopkins Reginald Dewayne non era un militare Usa bisognoso di assistenza, bensì un truffatore basato in Nigeria. La vecchia Nigerian scam, cioè i tentativi di spillare soldi agli utenti internet inviando loro (improbabili) mail con richieste di aiuto per trasferire denaro tra banche e cose del genere, è stata aggiornata a una versione più sofisticata. E punta a intrecciare relazioni virtuali con i propri target, convincendoli in vario modo a farsi mandare dei soldi, dopo aver costruito un rapporto di fiducia. Questo tipo di frode ha anche un suo nome specifico: internet romance scam, ovvero una truffa romantica digitale, che colpisce soprattutto donne sole di una certa età.

I profili finti sui social network esistono da anni, e la maggior parte non arrivano ad essere costruzioni così avanzate: sono semplicemente dei bot, compiono azioni automatizzate, il cui obiettivo è diffondere pubblicità, spam, o far crescere il numero di Mi Piace o di Retweet per soldi. “I bot sui social fanno essenzialmente tre cose – spiega alla Stampa Gianluca Stringhini, docente di informatica all’University College di Londra – Ci sono quelli che mandano spam, provando a connettersi con utenti a caso, seguendoti su Twitter con l’idea che forse li seguirai, per poi farti vedere della pubblicità; poi ci sono quelli che vogliono raccogliere informazioni sugli utenti per poi rivenderle o usarle per altri motivi; e infine ci sono quelli che creano degli ecosistemi su Facebook e Twitter per poi rivendere Mi Piace, Retweet ecc”.

Alcuni di questi bot cominciano ad essere più elaborati: nel 2014 sulla app di dating Tinder è stato individuato un bot che cercava di attrarre l’attenzione degli iscritti maschi iniziando una conversazione e chiedendo se volevano partecipare a un gioco, in cambio del proprio numero di telefono. All’epoca non si capì quale fosse l’obiettivo del bot: per alcuni era un test per qualcosa di più succulento.

Il secondo livello sono invece i sistemi misti; in parte automatizzati, in parte gestiti da persone, come sembra siano stati ad esempio alcuni profili del sito di dating Ashley Madison. «Lì l’obiettivo era dare l’impressione che ci fossero tante donne sul sito, e quindi attirare i clienti. L’aspetto interessante è che in quel caso i profili finti sembrerebbero essere parte integrante della piattaforma di dating», commenta Stringhini.

Secondo la testata Gizmodo, che ha analizzato i dati e i documenti pubblicati online dopo l’attacco informatico dello scorso agosto, una parte degli account femminili presenti su Ashley Madison sarebbero stati creati da impiegati della stessa azienda, in modo manuale. C’era anche un termine per definire questi profili: “angeli”. Tali angeli “dormienti” venivano a un certo punto attivati da dei bot, dei programmi che li “risvegliavano”, facendo loro fare alcune azioni: in particolare facendogli inviare dei messaggi automatici di contatto e di interesse verso utenti maschi. I quali per rispondere dovevano spendere in genere dei soldi. Non era un lavoro da poco: i bot dovevano parlare in 31 lingue diverse e inviare messaggi in 50 Paesi diversi.

Servono invece umani a tempo pieno per gestire flotte di profili online a scopo propagandistico, un ulteriore livello della falsificazione social. Un esempio sono le fabbriche di troll pro-Putin, dove il personale impiegato si occupa di creare e scrivere anche finti blog, commenti e post in giro per la rete. Ma l’infiltrazione governativa dei social a fini politici, ad esempio per screditare i propri nemici, è una pratica non disdegnata anche dall’americana Nsa e dalla britannica GCHQ, come hanno mostrato le rivelazioni di Edward Snowden.

Siamo destinati dunque ad essere sempre più circondati da amici che non sono quello che dicono di essere, contatti lavorativi che vogliono solo rubarci delle informazioni (o bucare la nostra azienda), e commentatori social prezzolati?

Prima di sconfinare troppo nella paranoia, è bene sapere che in molti casi basta applicare alcune regole base: nel caso di LinkedIn, ad esempio, il consiglio è di analizzare sempre i profili che chiedono un contatto e di cui non si sa nulla: valutare se la loro storia lavorativa è dettagliata, circostanziata e credibile; se il nome dell’azienda è generico; se il loro numero di contatti è basso o alto; se la loro foto profilo appare da qualche altra parte (usando Google Images); e se sono noti a persone che conosciamo.

Attenzione anche alle richieste di amicizia da parte di persone con cui siamo già in contatto sui social, specie su Facebook: potrebbero essere un duplicato fatto da un truffatore. Che copia nome, foto di profilo, lista amici e altre informazioni pubbliche dell’amico preso di mira. E dopo averlo bloccato per non essere smascherato lo impersona, mandando nuove richieste di amicizia alla sua rete di contatti per poi infiltrarla. (fonte)

Ecco come difendersi dai finti profili sui social network

You may also like...

Ti piace il nostro blog?

Segui CheckBlackList

Categorie

Archivi

Le nostre Pagine su Facebook

Cerca articoli

Link utili

News recenti

Vodafone disturba troppo gli utenti, e il garante interviene

Ecco perché prendersi una pausa da Facebook fa bene

Malware Snipr, un tool per furto di credenziali

Messaggi privati, attenti a Slack

Scattare troppe foto con lo smartphone ci fa perdere i ricordi

Google Chrome, lotta alle criptovalute

MyFitnessPal, rubate informazioni di 150 milioni di account

Apple Watch, al suo interno le prove di un omicidio

Privacy, dati su Hiv condivisi con terzi

Zuckerberg, anni per risolvere problemi di Facebook

Segui anche