Stefano Gazzella : 6 Luglio 2023 07:45
La polizia postale e delle comunicazioni è arrivata a diramare un avviso informativo contenente alcuni consigli che fanno riferimento al diffuso fenomeno del furto dei profili social, sempre più appetibili per i cybercriminali al fine di veicolare campagne di scamming particolarmente fruttuose.
Certo, questi suggerimenti non aggiungono nulla alle buone pratiche di igiene digitale. Pratiche che però giacciono ancora incompiute mentre il percorso di costruzione di quella cultura digitale sembra ancora lungo da completare.
Si deve prendere atto dell’intensificarsi delle frodi informatiche che si è realizzato nell’ultimo anno, soprattutto nei confronti degli utenti di Instagram e che ha portato alla sottrazione di account anche a professionisti quali sono i content creator e i social media manager.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Le modalità d’attacco non sono particolarmente sofisticate dal punto di vista tecnologico ma vanno a colpire, come di consueto, il fattore umano. O per meglio dire contano sulla carente consapevolezza d’impiego di questo tipo di strumenti, addirittura da parte di chi li impiega per svolgere il proprio lavoro. E così l’ingegneria sociale riesce a bypassare agilmente anche un’autenticazione “forte” a due fattori, avvalendosi dell’inconsapevole collaborazione della vittima.
Il cybercriminale spesso presenta un’offerta particolarmente invitante, quale la partecipazione ad un contest o a un giveaway a scadenza breve, le cui condizioni sono però l’aggiunta di un ulteriore indirizzo e-mail all’account social accedendo così alla gestione dello stesso. Dopodiché, la vittima è indotta a comunicare ed inserire i codici di backup cedendo infine il pieno controllo dell’account social all’attaccante.
Una volta che tutto questo è avvenuto, solitamente si assiste a due operazioni concorrenti. La prima è lo svolgimento di ulteriori campagne di scamming attraverso l’account sottratto, con la pubblicazione di offerte, giveaway e contest per attirare nuove vittime all’interno della cerchia sociale di follower e contatti tramite baiting. La seconda, invece, consiste nel ricontattare la vittima del furto di account. E qui si presentano due scenari alternativi: l’invio di una richiesta di pagamento di un riscatto per la restituzione degli accessi, o altrimenti un’ulteriore frode in cui il cybercriminale si presenta come il centro assistenza di Instagram (ad esempio) o come un ufficio di polizia chiedendo sia ulteriori dati personali sia l’esecuzione di alcuni pagamenti per il recupero dell’account.
Quale tutela si può ottenere nel caso in cui si sia rimasti vittima di un furto di account? Certamente, presentare una denuncia (ad es. per frode informatica, art. 640 ter c.p.), ha anche la finalità di “scollegare” la titolarità formale dell’account da una data certa, così da non essere chiamati, in caso, a dover fornire chiarimenti per le attività illecite che vengono svolte mediante tale tramite.
Ma per avere un tutela efficace bisogna adottare comportamenti sicuri nello svolgimento della propria attività online e social. Come evidenziato, la vulnerabilità individuata non è qualche bug della piattaforma, o un abracadabra informatico ma consiste nell’ignorare le buone pratiche di igiene digitale.
L’aggiunta di un ulteriore indirizzo e-mail al proprio account (o pagina) non è un’operazione da prendere con leggerezza, e certamente non può essere un requisito per partecipare ad alcuna forma di concorso. Inoltre, bisogna sempre ricordare che il codice che viene reso dalla piattaforma, qualunque sia la denominazione (codice di backup, OTP, o altro), è a tutti gli effetti una password. E dunque devono essere adottate le medesime cautele che si adottano per la sua custodia in sicurezza.
E se gli attacchi di phishing (in questo caso: social phishing) prosperano, il motivo è che queste accortezze, che ai più possono sembrare elementari, non vengono diffusamente adottate.
All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...
Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...
Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...
L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006