Le truffe aumentano tramite i social, cresce lo spear-phishing
Spear-phishing: Indica un tipo particolare di phishing realizzato mediante l’invio di Email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è tipicamente quello di ottenere accesso ad informazioni riservate di tipo finanziario, a segreti industriali, di stato o militari. (fonte)
Nuove frontiere del phishing nelle agenzie governative. Mentre enti e istituzioni di tutto il mondo allenano i propri dipendenti a stare molto attenti quando aprono gli allegati delle email, le minacce arrivano dai social network. Lo racconta un recente reportage del New York Times secondo il quale in questo modo, cioè cliccando su un link incluso in un post generato da un account falso, vale a dire da un bot, sono stati violati diversi pc di ufficiali del Pentagono statunitense.
Per fare un esempio il post, proprio come le e-mail allettanti, pubblicizzava un pacchetto famiglia molto vantaggioso per l’estate seguente al quale un dipendente ha ceduto. Gli hacker, insomma, si sono già spostati: non hanno neanche più bisogno di penetrare nelle caselle postali, mettendo nel mirino al contrario gli account social. Queste, almeno, le preoccupazioni dei massimi vertici del dipartimento della Difesa Usa: Twitter e Facebook rendono la possibilità di cliccare su un link malevolo molto più marcata. Non siamo forse tutti “amici”, lì sopra? Non basta. I social, per così dire, consentono di colpirne uno per infettarne cento.
Magari prendendo il controllo del suo profilo. Si chiama “spear phishing”, non è nulla di nuovo ma secondo fonti statunitensi il fenomeno sta montando proprio sulle piattaforme sociali. Ad esempio un report del Time del mese scorso ha svelato che un cyberattacco di matrice russa avrebbe tentato questa operazione su ben 10mila account Twitter riconducibili a elementi appartenenti appunto alla Difesa Usa.
Fenomeni che il social del passerotto così come Facebook conoscono bene e sui quali stanno prendendo tutte le contromisure possibili. Ma le dimensioni stanno crescendo e, stando alle compagnie di sicurezza informatica, lo spear phishing è uno dei metodi d’attacco in piena esplosione. Il “wetware”, insomma, la parte umida del rapporto uomo-macchina, cioè appunto l’utente, rimane dunque l’anello debole.
Qualche numero che ne disegni l’impatto? Secondo un rapporto Verizon relativo allo scorso anno il 30% delle e-mail contenenti link e allegati pericolosi viene aperto dalle vittime contro il 66% (lo dice stavolta ZeroFox) dei messaggi inviati tramite i social network. “Si tratta di qualcosa di cui non si parla molto ma il problema è pervasivo – ha spiegato Jay Kaplan, ex esperto del Pentagono e dell’Nsa ora capo della società Synack – d’altronde le persone non ci pensano due volte quando pubblicano sui social. Non credono che altri potranno usare quelle informazioni contro di loro”.
Il New York Times fa l’esempio di un gruppo di commilitoni che postino da una stessa zona. Di fatto stanno comunicando la loro posizione sul campo di battaglia. Le possibilità di manovra sono dunque infinite: osservando la passione per una squadra o un brand gli hacker possono per esempio confezionare messaggi e tweet ad hoc, allettanti per uno specifico utente, e condurlo a cliccare. Ci sono cascati già in 7mila, al dipartimento della Difesa. (fonte)
