Navigando il profilo ufficiale Twitter del Ministero della Transizione Ecologica (MiTE) italiano, dalle 8.30 di questa mattina, ci si imbatte in post alquanto fuorvianti e bizzarri che tentano di promuovere investimenti in criptovaluta. L’account Twitter è stato violato e sembrerebbe essere confermato il furto delle credenziali di accesso ufficiali dell’account del Ministero.
Indice degli argomenti
Account Twitter del MiTE violato: cos’è successo
Sono apparsi messaggi decisamente poco “ufficiali” all’interno dell’account (verificato) Twitter del nostro Ministero della Transizione Ecologica. L’accesso all’account è quindi certamente uscito dal controllo dell’Ente per mezzo dell’ormai nota truffa rivolta ad account verificati e con grande seguito di follower. Come si può notare visitando l’account del MiTE, anche l’immagine del profilo è stata violata e modificata da attori terzi malintenzionati.
Come funziona la truffa
In particolare, il criminale potrebbe avere inviato messaggi privati all’account preso di mira cercando di convincere il legittimo proprietario a farsi rimandare indietro il codice OTP per avviare il recupero di un account. Nel momento in cui la vittima ha eseguito quanto richiesto, si è verificata istantaneamente, con i dati forniti direttamente ai criminali, la perdita del possesso dell’account.
A questo punto, il nome dell’account viene subito modificato, operazione permessa da Twitter a patto di lasciare intatto il nick (@) del social. In questo scenario si nota l’unico obiettivo dell’azione criminale, che è quella di diffondere frodi su criptovaluta. Infatti, l’immagine che viene aggiornata è quella di Vitaliy Dmitrievič Buterin, programmatore fondatore di Ethereum (ETH), criptovaluta basata su blockchain, utile a effettuare interscambio di denaro e che, purtroppo, viene sfruttata anche per frodi ingannevoli.
S’intende che i criminali abbiano usato l’immagine di Buterin, sfruttandone la reputazione per attuare la truffa. Buterin è quindi una delle vittime.
La campagna malevola, che ormai si sta diffondendo a macchia d’olio anche in Italia, prende di mira gli account verificati in quanto più convincenti da utilizzare per spingere le proprie truffe sul mercato delle criptovalute.
Furto Twitter anche al Consolato italiano a Basilea e Ispionline
Ieri un incidente del tutto simile è capitato al Consolato a Basilea, altra istituzione italiana con account Twitter verificato e un grande seguito che, di punto in bianco, si è vista suo malgrado protagonista di una campagna di diffusione di truffe sul mercato delle criptovalute.
E la stessa cosa è capitata anche all’Istituto per gli Studi di Politica Internazionale (ISPI), sempre con account Twitter verificato e oltre 70mila follower.
Sensibilizzazione alle frodi, operazione fondamentale per le istituzioni
Conoscere le frodi di questo genere è una delle poche armi di difesa sulle quali poter contare. Non ci sono infatti implementazioni tecniche che possano arginare il convincimento umano ad eseguire una certa azione, non riconoscendola come malevola.
L’autenticazione multi-fattore (MFA) o a doppio fattore (2FA) è un ottimo alleato per schermare da attacchi sul furto di identità, ma se il gestore di account di rilievo per numero di follower (grande seguito), oppure di importanza nazionale, viene convinto a inviare a terze parti il codice che viene generato dall’autenticazione doppia (per vari motivi, il più gettonato è il senso di solidarietà nell’aiutare una persona che si dimostra in difficoltà senza quel codice), non ci sono implementazioni tecniche che tengano.
Allo stesso tempo è doveroso chiedersi come sia possibile che Twitter permetta ad account verificati di modificare, senza verifiche, il proprio nome utente visualizzato. La verifica con la spunta blu è un grande aiuto per orientare il pubblico di utenti a capire chi si ha davanti, ma se la piattaforma verifica solo superficialmente o non verifica affatto le modifiche di tali account, viene meno la sicurezza che la spunta blu, per sua natura, offre.
