Gli strumenti più preziosi per i criminali informatici? I post su Facebook

Oggi siamo noi stessi, attraverso i siti di social engineering, a fornire le più utili informazioni per le truffe online dirette sia ai singoli sia alle aziende. Ma, come suggerisce Bari Abdul, Head of Consumer Business di ZoneAlarm, bastano pochi accorgimenti per limitare i pericoli.

Condividere:
per molti è una parola d’ordine. C’è chi non può fare a meno di raccontare
tutto quello che gli succede nell’arco della giornata, dove è stato a pranzo o dove
ha trascorso il week-end. O, ancora meglio, dove si recherà per le vacanze.
Tutte informazioni preziosissime per i criminali informatici, che possono essere
sfruttate sia per organizzare truffe nei confronti dei singoli sia per
intrufolarsi nei sistemi informativi aziendali, causando severi danni. Per non
dire poi che spesso tali malintenzionati sono legati alla criminalità
organizzata e quindi sapere che qualcuno non è a casa per un certo periodo di
tempo, dopo magari che ha postato le foto del computer o del super televisore
appena comprati, rappresenta un invitante opportunità.

Il social engineering è subdolo, perché
sfrutta la nostra naturale tendenza a essere disponibili verso il prossimo
afferma
– afferma Bari Abdul, Head of Consumer Business di ZoneAlarm -. Gli esperti di social engineering possono giocare sulle emozioni umane, come paura e comprensione, sfruttando
tecniche che si usano per manipolare altri a compiere determinate azioni o a rivelare determinati tipi di
informazioni
. Criminali e ladri approfittano del naturale desiderio umano
di essere utili e di credere al prossimo. Questi truffatori non hanno bisogno
di perdere tempo con sofisticate tecniche che sfruttano vulnerabilità del
software, quando possono semplicemente inviare via e-mail un allegato malevolo
e chiedere al destinatario di aprire il file
”.

D’altra
parte, il social engineering non è nulla di nuovo: ci sono sempre stati artisti
della truffa in grado di architettare trappole
elaborate. La novità riguarda la quantità di informazioni che questi truffatori
possono raccogliere sulle loro vittime designate prima ancora di iniziare
l'attacco. “Grazie ai siti di social networking, si può trovare ogni genere di informazione
– precisa Abdul - come il luogo di lavoro
delle vittime, il nome dei colleghi, quale scuola hanno frequentato e persino
dove sono andati l’ultima volta in vacanza. Possono trovare l’organigramma aziendale
o scoprire che tipo di software l'azienda sta utilizzando. Possono così utilizzare tutte queste informazioni per
convincere la vittima che stanno dicendo la verità
”.

Forse non tutti sanno che DefCon, la più grande convention hacker, promuove ogni
anno il concorso di social engineering "Capture the Flag". Ai partecipanti vengono date un paio di
settimane per effettuare ricerche su un’azienda target. Gli anni precedenti, tra
gli obiettivi vi sono state realtà del calibro di Apple, Johnson & Johnson,
e altre ancora. Il giorno della sfida, il concorrente si reca in una cabina telefonica
e chiama una persona della società tentando di indurla a rivelare informazioni "flag",
come la versione del browser che la società sta usando o quale software è
installato sui computer. Molte volte i concorrenti fingono di essere colleghi
di un altro ufficio alla ricerca di informazioni per il CEO, sostenendo di essere
impegnatissimi e di avere bisogno di aiuto. Nella maggior parte dei casi, le persone
sono ben disposte a offrire liberamente aiuto e informazioni.

I
truffatori sono bravi a vendere la paura
”, sottolinea Abdul , il quale
ricorda come una diffusa truffa preveda che una persona dica di chiamare dall’helpdesk
di Windows o di qualche altro reparto di Microsoft per un problema sul computer
dell'utente. Il truffatore chiede all'utente di digitare alcuni comandi
standard del computer e spiega che la schermata risultante è in realtà la prova
di malware e altri gravi problemi. A questo punto, l'utente si convince che
qualcosa non va e consegnerà i dati della carta di credito al "rappresentante"
per risolvere il problema”.

Se
qualcuno vi chiama sostenendo di essere responsabile di qualcosa, chiedetene prova

– ammonisce Abdul -. Fatevi dare un interno
telefonico da poter richiamare. Se la persona afferma di essere un dipendente di
un ufficio esterno o di un partner, fate qualche verifica per confermare
l'identità di quella persona. Se si tratta di un pubblico ufficiale, chiedete di
identificarsi. Se sono persone autorizzate, forniranno le informazioni senza
esitazioni. Non cedete alla pressione del ‘bisogna agire entro 20 minuti’. C'è
sempre tempo per la ricerca e per riflettere sulle cose
”.

Siate sempre scettici se una persona si
mette senza preavviso in contatto
con voi
evidenziandovi un particolare problema. “Nessuna azienda legittima vi chiederà mai la
vostra password
e anche gli enti
pubblici invieranno sempre una comunicazione ufficiale
- ricorda Abdul -. E se improvvisamente ricevete una chiamata
da un amico o un parente che sostiene di essere bloccato in un paese straniero e ha bisogno che gli inviate denaro,
non credetegli semplicemente perché tale persona sa il nome di vostro fratello
o del vostro cane
”.

Bisognerebbe
perciò sempre essere ben consapevoli di
ciò che si condivide online
, cercando di sfruttate le impostazioni di
controllo della privacy. Non dimenticando che “alcune informazioni non
dovrebbero mai essere divulgate
online,
come ad esempio la password e le risposte alle domande di sicurezza

conclude Abdul -. Si può sempre essere utili,
ma prendetevi il tempo per considerare e valutare tutto per bene.
Una piccola dose di scetticismo non fa mai
male e può fare una grande differenza quando si tratta di cybercrime
”.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here