Articolo in italiano
di Andrea Ceccherini
Il “furto” degli account dei social media ha raggiunto proporzioni epidemiche negli ultimi 12 mesi, secondo l’ Identity Theft Resource Center. L’organizzazione no profit che fornisce assistenza alle vittime di furto di identità ha rivelato nel suo Consumer Impact Report 2022 che le acquisizioni dei social media sono aumentate del 1.000%. In un sondaggio tra i consumatori è stato rilevato che l’85% aveva il proprio account Instagram compromesso, mentre il 25% aveva il proprio account Facebook “hackerato”. Il rapporto ha anche rilevato che il 70% delle persone è stato bloccato in modo permanente dai propri account sui social media e il 71% aveva amici, contattati dagli hacker, a cui hanno compromesso l’account.
Potrebbe essere facile “minimizzare” questo tipo di reato di identità come un semplice “inconveniente” ma il tutto può avere un profondo impatto finanziario ed emotivo sulle persone.
Ad esempio, il 27% delle vittime ha dichiarato di aver perso i ricavi delle vendite quando ha perso il controllo dei propri social media.
“Per alcune persone che guadagnano da Instagram, YouTube o TikTok, perdere il proprio account può significare un notevole calo delle loro entrate”
Una delle maggiori risorse per qualsiasi tipo di attacco di phishing è disporre di un canale di comunicazione “affidabile”: se ricevo un’e-mail di phishing da Banca Intesa, so che posso ignorarla perché non effettuo operazioni bancarie lì ….ma se viene utilizzato un account di social media per attaccare i contatti della tua vittima, siamo già precondizionati ad accettare il tuo messaggio come valido. Questo perché tendiamo a fidarci delle persone a cui siamo vicini anche quando ci inviano messaggi sui social media: se ricevo un messaggio da mia madre, mi fiderò implicitamente. Se qualcuno si impossessa del suo account sui social media, non sarebbe difficile per loro indurmi a inviargli denaro, una password generica o la password del mio account. Abusando di questo tipo di relazione di fiducia le acquisizioni di account possono diffondersi ed essere difficili da rilevare per le vittime rispetto, ad esempio, a un’e-mail di phishing”.
Il proprietario di un account non è l’unica vittima di un dirottamento dell’account: facendo finta di essere l’effettivo proprietario dell’account, un malintenzionato può creare post o inviare messaggi privati che inducono i contatti a fare qualcosa che altrimenti non farebbero, come fare clic su un collegamento dannoso, consegnare i dati della carta di credito o le loro credenziali, il che può portare a un’ulteriore compromissione dell’account o al deposito di denaro sul conto dell’attaccante. Quindi l’acquisizione dell’account dei social media può essere dannosa non solo per la persona la cui identità viene impersonata, ma anche per coloro che sono presi di mira dal criminale che utilizza l’account.
Ecco perché è fondamentale creare una cultura personale e organizzativa di sano scetticismo, in cui a tutti venga insegnato come riconoscere i segni di un attacco di ingegneria sociale, indipendentemente da come arrivi: e-mail, web, social media, SMS , o telefonata – e non importa da chi sembra essere stato inviato .
Parte della colpa per il dirottamento degli account può essere attribuita agli operatori dei social media: nessuna delle principali piattaforme di social media insiste sull’attivazione di solide opzioni di autenticazione ai propri miliardi di utenti. Questi canali non attivano in modo “nativo” gli standard di sicurezza, come il single sign-on o la creazione e rimozione automatica degli utenti tramite uno standard noto come SCIM: questi due standard sono il pane quotidiano di ciò che garantisce la sicurezza delle applicazioni gioiello della corona di molte aziende. Ma nessuno di loro è attivato in modo “nativo” (deve essere fatto dall’utente), ed è il motivo principale per cui i criminali attaccano gli account social.