Prima dell’era di Internet, quando la controcultura di cui si facevano portavoce era sovversiva, provocante e tagliente, Joan Jett & the Blackhearts cantavano questi versi: “Non mi importa nulla della mia reputazione”. Oggi questa controcultura è diventata mainstream e la nostra reputazione online è tutto. Ci prendiamo cura delle nostre personalità digitali, le gestiamo in modo rigoroso, vivendo sempre più in simbiosi con i dispositivi che abbiamo in tasca.
Perciò, quando i nostri account vengono compromessi a seguito di attacchi di credential stuffing, i risultati possono essere devastanti a livello personale, causando reazioni emotive terribili, dal panico all’imbarazzo, che si acuiscono nel caso di acquisizione indebita di account sui social media, un fenomeno definito “epidemia di account takeover” dall’Identity Theft Resource Center (ITRC).
Attacchi all’identità e alle credenziali di accesso: quali sono, impatti e come proteggersi
Indice degli argomenti
Reati d’identità: una minaccia sempre più diffusa
Sempre secondo l’ITRC – che nel 2021 è stato contattato da poco meno di 15.000 vittime di reati d’identità per ottenere servizi di assistenza – dal 2020 al 2021 si è registrato un aumento del 1.044% di account takeover sui social media.
A seguito di ciò, l’ITRC ha condotto un sondaggio coinvolgendo le vittime di questo genere di reati. Il 66% ha riferito di aver provato forti reazioni emotive nel perdere il controllo del proprio account sui social media: il 92% si è sentito violato, l’83% preoccupato e ansioso, il 78% arrabbiato, il 77% vulnerabile e il 7% ha pensato al suicidio.
Si tratta di risultati decisamente notevoli da considerare nell’ambito della cyber security. Sebbene per alcuni sia facile considerare il furto d’identità sui social media come un semplice inconveniente, queste percentuali illustrano quanto la reputazione online sia strettamente legata al benessere emotivo di una persona.
Account takeover: un caso reale
Due miei amici, Trevor e Stacey, hanno subito un attacco ai propri account sui social media, nel luglio del 2022. Nessuno dei due aveva impostato l’autenticazione a due fattori.
Entrambi sono professionisti di successo attivi sui social media e uno di loro è appassionato di crypto.
I cyber criminali hanno postato sulle loro storie di Instagram un messaggio non troppo velato su come farsi coinvolgere in uno schema di mining di Bitcoin. Si trattava di uno screenshot della schermata di blocco di un iPhone, che includeva una foto del loro profilo (nel caso di Trevor, una sua foto insieme alla sua moglie) e mostrava un falso messaggio di testo della Bank of America (BofA), seguito da uno screenshot del suo presunto conto bancario.
Sebbene non sia necessario un esperto di cyber sicurezza per riconoscere che si tratti di una truffa, potrebbe comunque rivelarsi una tattica di phishing efficace, poiché proviene dall’account effettivo di una fonte fidata.
Incuriosito dal livello di sofisticazione dell’attacco – e poiché non mi lascio mai sfuggire l’opportunità di parlare direttamente con i criminali informatici – ho risposto alla storia per vedere quanto fosse efficace il loro messaggio.
È stata un’esperienza terribile per entrambi gli individui. Trevor è riuscito a utilizzare il processo di verifica del riconoscimento facciale di Instagram, che scansiona il volto dell’utente e lo confronta con l’infinita libreria di foto con tag, riuscendo a riottenere l’accesso e a impostare l’autenticazione a due fattori.
Stacey, invece, ha abbandonato del tutto i social media. L’esperienza è stata troppo imbarazzante e le ha generato così tanta ansia che ha deciso di eliminare i propri account.
Come possono reagire le aziende
Quella appena descritta non è una situazione isolata. Oggi più che mai moltissimi utenti smettono di usare un sito web se il loro account viene violato, generando panico, imbarazzo e vergogna. Queste non sono emozioni che vogliamo che provino gli utenti finali dei nostri clienti, quando si affidano ai nostri prodotti.
Che si tratti di social media, fintech, e-commerce o di qualsiasi altra organizzazione con una base di utenti “raggiungibile”, il credential stuffing è destinato a rimanere.
Secondo lo studio 2021 Identity Fraud di Javelin Strategy and Research, le frodi di acquisizione di account (ATO) hanno causato perdite totali per oltre 6 miliardi di dollari nel 2020. Quando le aziende creano nuove difese, gli hacker sviluppano nuovi strumenti per aggirare le protezioni e il ciclo continua.
Come possono reagire le aziende?
In un recente rapporto di Aite Group, sono stati intervistati i risk executive di istituti finanziari, istituti di credito fintech e società di e-commerce per scoprire come si proteggono dal crescente volume di attacchi account takeover (ATO).
Tra i risultati, si è evidenziato che:
- la maggior parte dei consumatori utilizza gli stessi nomi utente e password su tutti i siti web, creando vulnerabilità che saranno sfruttate dalle organizzazioni criminali;
- la superficie di attacco continua ad espandersi, rendendo più complesso il rilevamento e la mitigazione delle minacce;
- le organizzazioni hanno bisogno di una soluzione che sfrutti l’analisi dei dati in tempo reale per tenere il passo con gli attacchi automatizzati e bloccare le attività dannose prima che si ripercuotano sull’azienda;
- le aziende con difese solide vedranno diminuire il volume degli attacchi, poiché i criminali si concentreranno su obiettivi più facili.
Al di là degli evidenti impatti economici deli attacchi ATO, è importante ricordare che queste attività illegali hanno anche conseguenze dal punto di vista emotivo e umano.
Fermare le frodi non significa solo risparmiare denaro. È altrettanto fondamentale prevenire i traumi emotivi che ne derivano e che stanno inevitabilmente corrodendo le fondamenta di un futuro digitale idealizzato. Esattamente come nel mondo fisico, ciò che si desidera è sicurezza, protezione e fiducia.
