Una recente proliferazione di falsi profili dirigenziali su LinkedIn sta creando una sorta di crisi di identità per il sito di business networking e per le aziende che vi fanno affidamento per assumere e selezionare potenziali dipendenti, tanto da spingere il social network ad adottare nuove misure di sicurezza.
La scorsa settimana, KrebsOnSecurity ha esaminato una marea di profili LinkedIn non autentici che rivendicavano ruoli di Chief Information Security Officer (CISO) presso varie aziende Fortune 500, tra cui Biogen, Chevron, ExxonMobil e Hewlett Packard.
Da allora, la risposta degli utenti e dei lettori di LinkedIn ha chiarito che questi profili falsi stanno comparendo in massa praticamente per tutti i ruoli dirigenziali, ma in particolare per le mansioni e i settori inerenti ai recenti eventi globali e alle tendenze di cronaca, come il settore della cyber sicurezza.
Indice degli argomenti
I sospetti sugli attori delle attività malevole
Queste attività sono state più volte perpetrate da gruppi APT come il gruppo di hacking nordcoreano Lazarus, che di solito opera su LinkedIn con false offerte di lavoro, e dagli hacker russi dell’SVR (Servizio di intelligence estero) che prendono di mira gli utenti di LinkedIn con le vulnerabilità zero-day di Safari.
I titolari di aziende con account pubblici sui social media sono facili bersagli per i truffatori che sottraggono informazioni per creare account falsi.
L’arduo processo di rimozione degli account fraudolenti lascia le vittime vulnerabili a ulteriori problemi di privacy. L’impersonificazione di un marchio o di un dirigente ha contribuito a oltre il 40% di tutti gli attacchi di phishing e delle attività illecite sui social media nel secondo trimestre del 2021, secondo il rapporto trimestrale di Agari e Phish Labs sulle tendenze e l’intelligence delle minacce pubblicato ad agosto 2022.
Nel report sono state analizzate centinaia di migliaia di attacchi di phishing sui social media ogni trimestre per identificare le principali minacce che colpiscono le aziende, i loro marchi e i loro dipendenti.
L’FBI ha anche recentemente messo in guardia dalle truffe così dette ” Pig Butchering”, in cui gli attori delle minacce contattano le persone (i “pig”) sui social media per costruire una relazione fittizia e poi utilizzarla per rubare criptovalute alla vittima di riferimento.
Le tecniche usate per truffare gli utenti LinkedIn
Hamish Taylor gestisce il gruppo Sustainability Professionals su LinkedIn, che conta più di 300.000 membri. Insieme al co-proprietario del gruppo, Taylor ha dichiarato che quest’anno hanno bloccato più di 12.700 profili sospetti di essere falsi, tra cui decine di account recenti che Taylor descrive come “cinici tentativi di sfruttare gli esperti di Humanitarian Relief e Crisis Relief”.
Non è ancora chiaro il motivo per cui LinkedIn sia stato inondato da così tanti profili falsi negli ultimi tempi, né come siano state ottenute le foto fasulle dei profili. Tuttavia, la società di cyber sicurezza Mandiant (recentemente acquisita da Google) ha dichiarato a Bloomberg che gli hacker che lavorano per il governo nordcoreano hanno copiato curriculum e profili dalle principali piattaforme di annunci di lavoro LinkedIn e Indeed, come parte di un elaborato schema per ottenere posti di lavoro presso le aziende di criptovalute.
Tuttavia, in un articolo pubblicato il 4 ottobre, Bloomberg ha osservato che LinkedIn ha notevolmente evitato gli scandali sui bot che hanno coinvolto piattaforme social come Facebook e Twitter.
Di fatto, tali attacchi possono essere registrati anche su altre piattaforme di social media. Le vittime di attività di furti di identità su Instagram e/o Facebook che contattano l’account falso possono essere indotte a fornire i propri dati e/o a versare denaro ai truffatori in cambio della cancellazione dell’account falso.
I truffatori utilizzano anche tattiche di social engineering per convincere le vittime e i loro contatti a condividere informazioni sensibili, che possono poi essere utilizzate per il furto di identità. Più di una persona su quattro che ha ammesso di aver perso denaro a causa di una frode nel 2021, ha dichiarato che la frode è iniziata sui social media con un annuncio, un post o un messaggio.
In effetti, i dati suggeriscono che nel 2021 i social media sono stati molto più redditizi per i truffatori informatici di qualsiasi altro metodo analizzato.
Le contromisure adottate da LinkedIn
In risposta a queste minacce informatiche, LinkedIn ha introdotto tre nuove funzionalità per combattere i profili falsi e l’uso dannoso della piattaforma, tra cui un nuovo metodo per confermare l’autenticità di un profilo, mostrando se ha un’e-mail di lavoro o un numero di telefono verificati.
Più informazioni utili sui profili utente
Il primo passo per combattere gli account falsi su LinkedIn è l’introduzione di una nuova sezione “Informazioni su questo profilo” che fornisce agli utenti informazioni come la data di creazione del profilo, se il titolare ha verificato il proprio numero e se ha collegato un’e-mail di lavoro.
L’intelligenza artificiale per individuare profili fake
Il secondo passo consiste nell’utilizzare l’intelligenza artificiale per individuare gli account che utilizzano immagini generate dall’intelligenza artificiale come foto del profilo per dare un falso senso di autenticità, che è un chiaro segno di attività fraudolenta.
Nuovi avvisi di sicurezza
Infine, LinkedIn ora comunica un avviso di sicurezza all’utente di interesse quando un partecipante alla chat propone di portare le comunicazioni al di fuori della piattaforma.
Le misure di sicurezza adottate da Instagram
Anche Instagram ha annunciato alcune novità per il Safer Internet Day, tra cui il lancio della nuova visualizzazione “La tua attività”, che consente una migliore gestione dei contenuti nell’app, e un accesso ampliato allo strumento Security Check-up per aiutare gli utenti a migliorare la loro esperienza.
Lanciata originariamente lo scorso luglio per gli utenti i cui account erano stati violati, la nuova interfaccia Security Check-Up sarà ora disponibile per tutti gli utenti, fornendo opzioni e indicazioni di sicurezza migliorate nell’app.
Come ulteriore bonus di sicurezza, in alcuni Paesi, alcuni utenti avranno la possibilità di attivare l’autenticazione a due fattori tramite WhatsApp, fornendo un’altra opzione di sicurezza avanzata per il proprio account.
Infine, Instagram sta anche testando un nuovo modo per aiutare gli utenti a riottenere l’accesso ai loro account bloccati, attraverso un nuovo processo che consentirà alle persone di chiedere ai loro amici di confermare la loro identità nell’app.
Le misure di sicurezza adottate da Facebook
La più grande piattaforma di social media, Facebook, segnala la rimozione di miliardi di account falsi ogni anno. L’azienda ha agito su 1,6 miliardi di account falsi nel primo trimestre 2022 e su 1,4 miliardi nel secondo trimestre 2022.
Gli account falsi hanno rappresentato il 5% degli utenti attivi mensili di Facebook a livello mondiale nel secondo trimestre del 2022, come ha riferito la società madre Meta.
Di recente, l’azienda ha introdotto un nuovo strumento di sicurezza denominato “Facebook Protect”. Attualmente, l’impostazione non è disponibile per tutti gli utenti, ma la società sta estendendo la funzione a un numero sempre maggiore di utenti in tutto il mondo.
Per coloro che non possono ancora accedere a Facebook Protect, Facebook consiglia di aggiungere l’autenticazione a due fattori per una maggiore sicurezza.
Meta ha specificato che questo sistema è attualmente dedicato a determinate persone, come candidati, membri di comitati elettorali e candidati eletti, sottolineando che questi tipi di account “possono essere maggiormente presi di mira da malintenzionati sulle piattaforme di social media, tra cui Facebook e Instagram”.
Tra gli altri account che possono beneficiare di Facebook Protect ci sono quelli che possono richiedere una maggiore sicurezza a causa del loro “potenziale di raggiungere un gran numero di persone”. Meta ha dichiarato che Facebook Protect aiuterà questi account ad adottare protezioni di sicurezza più forti, tra cui l’autenticazione a due fattori e il monitoraggio di potenziali minacce di hacking.
Conclusioni
I milioni di account falsi che eludono i sistemi di rilevamento dei fornitori di piattaforme di social media hanno evidenziato molti degli aspetti di rischio che tali piattaforme implicano, sottolineando, in particolar modo, la rilevanza che gli aspetti di sicurezza hanno in termini di privacy e data protection.
Secondo il Consumer Protection Data Spotlight della Federal Trade Commission pubblicato a gennaio 2022, i consumatori nel 2021 hanno dichiarato di aver perso circa 770 milioni di dollari a causa di frodi avviate sui social media.
Si tratta di circa un quarto di tutte le frodi segnalate per il 2021, con un aumento di 18 volte rispetto al 2017, secondo la FTC.
Inoltre, l’esteso problema relativo all’impersonificazione sui social media e i problemi di segnalazione di tali abusi hanno dato vita a un’industria di fornitori di software che vendono strumenti di monitoraggio e rimozione per proteggere i marchi.
Questi strumenti si basano su tecnologie, tra cui l’apprendimento automatico e il riconoscimento ottico dei caratteri, per individuare gli account falsi e ridurre al minimo i danni.
