Spear phishing: quando la truffa riguarda anche i social media

Per comprendere bene cosa sia lo spear phishing è necessario fare un passo indietro, analizzando innanzitutto il fenomeno del phishing. Esso si verifica quando qualcuno compie un tentativo fraudolento di appropriarsi di password, informazioni bancarie o altri dati personali spacciandosi per un ente o un’azienda affidabile.

Un attacco di tipo phishing è più facile da riconoscere rispetto allo spear phishing. Infatti, una e-mail di phishing viene inviata contemporaneamente a centinaia di destinatari e non riporta informazioni personali del destinatario. Con lo spear phishing siamo ad un livello più avanzato. Per guadagnare la fiducia dell’utente, lo spear phisher si presenterà, ad esempio, come un amico o un familiare così da ottenere più facilmente le informazioni a cui è interessato.

In casi del genere, l’utente può avere maggiori difficoltà a distinguere ciò che è reale rispetto a ciò che è falso.

Quando lo spear phishing avviene sui social media

Quando lo spear phishing avviene sui social media si parla di social media phishing. Invece dell’e-mail, lo spear phisher utilizza piattaforme di social networking come Twitter, Facebook, Instagram ecc. allo scopo di indurre il malcapitato a concedere informazioni di carattere personale o a cliccare su link pericolosi e malevoli.

Perché un truffatore potrebbe trovare profittevole effettuare un attacco di tipo phishing sui social media piuttosto che tramite e-mail? Semplice. Perché oggi la stragrande maggioranza delle persone è presente su queste piattaforme. I numeri dicono che su Facebook sono registrati circa 2 miliardi di utenti, un terzo della popolazione mondiale!

Sui social media la truffa può essere effettuata in diversi modi, vale a dire tramite:

  • Commenti fake su post popolari o sponsorizzati;
  • Falsi video in live streaming;
  • Sconti online fasulli;
  • Sondaggi e concorsi online inesistenti

Chi effettua la truffa ha l’accortezza di creare profili che sembrano di persone reali. Non a caso, ciò che avviene, in molti casi, è un vero e proprio furto d’identità. Dal fenomeno, purtroppo, non sono esenti i personaggi famosi. Gli spear phisher possono sfruttare il nome di celebrità per lanciare false raccolte fondi o iniziative benefiche. Il malcapitato di turno, vedendo associato il volto della persona famosa alla truffaldina iniziativa, tenderà ad abbassare la soglia d’attenzione, finendo spesso per rimanere vittima di una truffa.

Come proteggersi dallo spear phishing

Sui social media non sempre è facile difendersi dallo spear phishing. Per quanto riguarda le truffe avallate da falsi profili di personaggi famosi, il trucchetto per non cadere nel tranello è meno complicato di quanto si possa pensare.

Su Facebook e Instagram, ad esempio, accanto al nome profilo della celebrità compare una sorta di bollino blu a forma di spunta. Questo simbolo certifica che la paternità del profilo in questione è realmente da attribuire a quel personaggio perché è la stessa Facebook/Instagram ad aver effettuato la verifica. Indipendentemente dal dispositivo utilizzato, è fondamentale che il sistema operativo ed eventuali programmi antivirus siano aggiornati. Sui siti di social media, inoltre, è sempre possibile rivedere le impostazioni privacy ed innalzare i livelli di protezione da possibili attacchi fraudolenti.

Occhio, infine, ai link abbreviati (bit.ly o Tiny.cc). Spesso, i truffatori li utilizzano per convincere l’utente a cliccare, mascherando l’indirizzo web reale (URL) della pagina di destinazione.

ragazza che ha appena scoperto di essere stata truffata con la tecnica di spear phishing attraverso i social mediaCome prevenire lo spear phishing

La natura mirata di un attacco di spear phishing lo rende difficile da identificare. Ci sono, però, diverse misure atte a prevenire questo fenomeno, come ad esempio l’autenticazione a due fattori e la corretta gestione delle password.

L’autenticazione a due fattori è un sistema di protezione per l’accesso alle applicazioni in cui sono presenti i dati sensibili degli utenti. È così denominata perché richiede all’utente due tipologie di dati: una password ed un nome utente di cui sono già in possesso e un codice temporaneo che si attiva in presenza di uno smartphone o di un token crittografico.

In poche parole, con l’autenticazione a due fattori ogni tentativo di spear phishing è destinato a fallire. Infatti, anche nel caso in cui lo spear phisher si sia impossessato della password, senza il dispositivo fisico in possesso dell’utente non potrà procedere all’autenticazione.

Altro aspetto importante e delicato concerne una corretta gestione delle password. Per ragioni di comodità, spesso abbiamo la tendenza ad utilizzare le stesse password su siti o applicazioni differenti. Nulla di più errato.
Infatti, nel caso in cui una sola password venga decriptata, lo spear phisher avrà accesso ad una marea di siti web in cui l’utente è iscritto e, di conseguenza, ad un numero molto elevato di dati sensibili. Ecco perché diventa prioritario utilizzare password complesse, variandole il più possibile tra i vari account.