I social media sono uno dei principali obiettivi dei cyber criminali e il motivo è presto detto: dai nostri profili è infatti possibile scoprire molte più cose su di noi di quanto si possa immaginare.
Non a caso si celebra proprio oggi il Social Media Day, una giornata mondiale il cui obiettivo è quello di sensibilizzare gli utenti sull’importanza di un utilizzo consapevole e informato delle tante piattaforme social e metterli in guardia dal pericolo rappresentato dagli attacchi che puntano a rubare gli account, a causa del grande valore che ricoprono per i cyber criminali le informazioni registrate su di essi.
Può sembrare strano, ma i nostri dati, le informazioni personali pubblicate sui social media possono diventare una minaccia da usare contro di noi.
Per questo motivo è importante conoscere le diverse tecniche utilizzate per riuscire a prendere il controllo degli account social. Possiamo ricordare, ad esempio:
Indice degli argomenti
Social media: attenti a quello che pubblichiamo
“Hai il diritto di rimanere in silenzio. Tutto quello che dici può essere usato contro di te in tribunale. Hai il diritto di parlare con un avvocato”. Questa frase, che in tanti film americani abbiamo sentito ripetere dai poliziotti nel momento di un arresto, è conosciuta come “Miranda_warning”, l’avvertimento Miranda. È stata pronunciata per la prima volta negli Anni 60 a seguito dell’arresto di Ernesto Arturo Miranda nello stato dell’Arizona e serve per comunicare all’imputato quali siano i suoi diritti derivanti dal Quinto Emendamento della Costituzione degli Stati Uniti.
In questi tempi di iper-connessione nel web e ai tanti social media, faremmo bene a ripensare al Miranda warning – mutatis mutandis – perché oggi tutto quello che diciamo e scriviamo sui social media può essere usato contro di noi.
Nella nostra vita social sul web, spesso condotta in modo compulsivo e disattento, non ci rendiamo conto di quante informazioni rendiamo pubbliche, mettendole a disposizione di un potenziale attaccante.
I nostri dati possono diventare una minaccia per noi stessi
È noto che oltre il 90% degli attacchi informatici sono veicolati attraverso l’e-mail, che continua ad essere lo strumento di comunicazione più utilizzato, con oltre 300 miliardi di e-mail inviate ogni giorno nel mondo.
L’e-mail è utilizzata come vettore d’attacco soprattutto attraverso il phishing e in modo ancora più efficace attraverso lo spear phishing, che è invece un attacco mirato (“spear” significa fiocina, quindi il pescatore vuole prendere proprio “quel” pesce).
L’oggetto dell’attacco viene accuratamente selezionato e studiato (oggi è molto facile raccogliere informazioni su una persona, attraverso i social e il web). Gli attaccanti acquisiscono una profonda conoscenza delle vittime e le e-mail inviate sono preparate ad hoc per catturarne l’attenzione ed indurle in errore.
L’efficacia dello spear phishing dipende, appunto, da quante informazioni l’attaccante è in grado di conoscere sulla vittima.
Ma molto, troppo spesso, è la vittima stessa a fornire – più o meno inconsapevolmente – queste informazioni all’attaccante.
Cosa ci insegnano i data leak a Facebook e LinkedIn
Il potenziale di attacco è ancora maggiore grazie alle frequenti violazioni di dati personali, quali il data leak che ha colpito recentemente Facebook: i numeri di telefono e molte altre informazioni personali di circa 533 milioni di utenti del social in tutto il mondo sono stati divulgati gratuitamente su un popolare forum di hacking; tra questi utenti, circa 36 milioni erano italiani (in pratica circa il 90% di tutti gli utilizzatori di Facebook nel nostro Paese).
Poco tempo dopo e di nuovo in questi giorni. un altro data leak simile ha colpito LinkedIn.
Non si è trattato del furto delle credenziali a seguito della compromissione dei server dei due social media, più semplicemente sono state raccolte informazioni di identificazione personale degli utenti, ricavate in modo automatico con tecniche di “scraping”.
In pratica, sono state raccolte e aggregate le informazioni personali che gli utenti pubblicano spontaneamente sui propri profili social (numero di telefono cellulare, sesso, città e data di nascita, profilo lavorativo, relazioni sentimentali, indirizzi email ecc.).
Con una dotazione di informazioni così ampia, un attaccante sarà in grado di confezionare un attacco mirato, efficace perché estremamente credibile.
Vediamo di capire come questo è possibile e quali sono i rischi che si tendono a sottovalutare. È importante acquisire la consapevolezza che i social media rappresentano una delle principali fonti di raccolta di informazioni per le attività di OSINT (Open Source INTelligence), che sono propedeutiche a un attacco. Non parliamo di password che ci vengono rubate con tecniche più o meno sofisticate, ma dei dati che siamo noi stessi a “regalare” alla Rete.
Pensiamoci due volte prima di pubblicare qualcosa
Molte persone espongono su Facebook la propria data di nascita, per avere poi tanti messaggi di auguri via social nel giorno del proprio compleanno, messaggi da persone che si conoscono appena.
Ma una campagna mirata di spear phishing o smishing (acronimo di SMS phishing) sarà assai più convincente nel farci cliccare sul link infetto o fraudolento se l’attaccante conosce la nostra data di nascita o il nostro codice fiscale (che può essere abbastanza facilmente ricostruito conoscendo la data di nascita, appunto, e poche altre informazioni).
Non pubblichiamo informazioni private
E ancora, smettiamo di pubblicare informazioni private su piattaforme social pubbliche: programmi di viaggio, interessi personali, dettagli sui membri della famiglia o notizie sulla nostra attività lavorativa.
Tutte queste informazioni possono essere usate per guadagnare la nostra fiducia e ingannare noi o i nostri colleghi o amici. Per esempio, un criminal hacker potrebbe scoprire le storie personali dai nostri social media, quindi inviare un’e-mail di phishing che dice qualcosa come: “Congratulazioni per il tuo nuovo lavoro” O anche: “Mi dispiace per la morte del tuo genitore, lo conoscevo bene”.
Anche i più piccoli dettagli, che malintenzionati sicuramente riusciranno ad aggregare dalle piattaforme social, possono essere rivelatori di cose delle nostra vita.
Evitiamo di taggare le foto
Evitiamo anche di taggare le immagini che pubblichiamo: i geotag espongono le coordinate GPS dei luoghi in cui sono state scattate. Si tratta di coordinate che possono poi essere lette dal PC (o attraverso applicazioni apposite) e permetteranno di sapere dov’è stata scattata una foto, consegnando utili informazioni agli attori delle minacce.
Questi ci potrebbero inviare un (falso) sondaggio sul nostro soggiorno in hotel, con malware incorporato.
Come misura minima di sicurezza è sempre consigliabile controllare le impostazioni di privacy del profilo Facebook e innalzare il livello di riservatezza dei dati che esponiamo: impostare il profilo in modalità “privata” o comunque ridurre il numero di informazioni personali che un visitatore può visualizzare. Questo si può fare nelle “Impostazioni sulla privacy e strumenti” del profilo.
In questo modo un eventuale attaccante non potrà vedere le nostre informazioni (o comunque le vedrà in minima parte), per diminuire la raccolta dati durante attività di social engineering.
Mai condividere la nostra e-mail di lavoro
Uno dei modi più semplici e utilizzati per attaccare una rete aziendale è quello di compromettere un account di posta aziendale per inviare messaggi di spear phishing.
Adottiamo quindi sempre la regola di usare l’email di lavoro solo per il lavoro e mai apertamente sui nostri profili di social media.
Le conseguenze possono essere gravi. Conosciuta la nostra email, un attaccante può utilizzare lo spear phishing per attaccare altri dipendenti (è assai facile, per esempio, ricostruire il pattern dell’indirizzo email dell’azienda dove uno lavora e quindi recuperare anche altri indirizzi di colleghi).
Con queste tecniche risulterà poi semplice per i cyber criminali arrivare all’e-mail di un dirigente che approva le fatture e realizzare una truffa CEO fraud o BEC (Business Email Compromise).
Per questo consigliamo di avere (almeno) quattro indirizzi e-mail: uno per uso personale, uno per il lavoro, uno da utilizzare per le registrazione di nuovi account in quei siti web che potrebbero generare spam (e sono tanti) e uno da utilizzare esclusivamente per i social media.
Usiamo diverse immagini di profilo sulle piattaforme social
Le attività di OSINT e di acquisizione di informazioni attraverso il web vengono fatte in modo automatico, con tool software che utilizzano anche AI (Intelligenza Artificiale) e riescono così rapidamente a correlare i vari account dei social media alla ricerca di corrispondenze tra le immagini del profilo, così come altre caratteristiche comuni (nome utente, amici, città, interessi).
Per esempio, se qualcuno usa la stessa immagine del profilo su Instagram e Facebook, l’IA potrà dedurre che gli account appartengono alla stessa persona, anche se i nomi utente sono diversi. Gli attaccanti possono quindi ad aggregare un’enorme quantità di informazioni su di noi, da usare per attaccarci o per impersonarci più efficacemente.
Quindi, cerchiamo di utilizzare foto differenti su differenti profili social.
Allo stesso modo, ovviamente, evitiamo di postare foto di altre persone, familiari, figli o altro che potrebbero dare informazioni significative su di noi e facilitare la costruzione del nostro “grafo sociale”.
Una pessima idea: pubblicare il QR Code del Green Pass
Concludiamo con un caso di stretta attualità, che ci dà la misura di come le persone utilizzino i social media in modo errato e addirittura autolesionistico (“Tutto quello che dici può essere usato contro di te”, appunto).
Proprio in questi giorni è iniziata la distribuzione del Green Pass Covid-19 (per l’esattezza, dell’EU Digital COVID Certificate).
A tanti di noi avrà fatto piacere ricevere l’SMS per scaricare il Green Pass o trovarsi il certificato direttamente sull’app IO.
Purtroppo, questo entusiasmo si è manifestato nel modo più sbagliato: abbiamo visto comparire sui social le immagini dei primi QR Code del Green Pass, esibiti trionfalmente da chi lo ha ricevuto.
Come non rendersi conto che questa esibizione, oltre che totalmente inutile, è una pessima idea?
L’ha messo in evidenza l’Avv. Guido Scorza, membro del Collegio del Garante per la protezione dei dati personali: “Il QR Code deve essere esclusivamente esibito alle forze dell’ordine e a chi è autorizzato dalla legge a chiedercelo per l’esercizio delle attività per le quali la legge ne prevede l’esibizione. Ogni uso diverso è pericoloso per sé e per gli altri”.
Il QR Code del Green Pass contiene infatti molte informazioni delicate, invisibili a occhio nudo, ma che possono essere estratte ed utilizzate da chiunque abbia gli strumenti necessari.
Il rischio, ha spiegato Scorza, è di lasciare “in giro per il web una scia di propri dati personali per di più sanitari che chiunque potrebbe utilizzare per finalità malevole. Ad esempio per desumere che la persona ha patologie incompatibili con la vaccinazione o è contraria al vaccino. E di qui negare impieghi stagionali, tenere lontani da un certo luogo, insomma per varie forme di discriminazione. O anche per fare truffe mirate o per fare profilazione commerciale. Immaginiamo la possibilità che questi dati finiscano in un database venduto e vendibile”.
Resistiamo dunque alla tentazione. Con la consapevolezza che qualunque cosa pubblichiamo sarà a disposizione di chiunque e per sempre.
Perché il web non perdona e, soprattutto, non dimentica mai.
