L’ultimo episodio di furto di dati registrato su un social media è quello avvenuto a giugno su Linkedin.
Ormai è cosa nota: i social media sono un’opportunità e un valido strumento per gli utenti, ma un canale privilegiato per i cyber criminali che vogliano ottenere dati preziosi da rivendere sul dark web. Questo è proprio quanto è accaduto di recente al colosso social di LinkedIn.
L’attacco di cui stiamo parlando ha coinvolto i dati di ben 700 milioni di utenti, che sono stati messi in vendita sul dark web da parte degli hacker che hanno posto in essere tale violazione.
Si tratta dell’ennesima violazione ai danni di LinkedIn, dopo quella immediatamente antecedente risalente ad aprile scorso.
È bene sapere che quando si parla di 700 milioni di utenti e relativi account, ci si riferisce a più del 90% degli iscritti alla piattaforma oggetto di attacco, i quali ammontano a 756 milioni totali. È un dato pazzesco se si pensa a quanti dati sensibili e personali siano finiti in vendita in questo modo e al traffico illegale che vi è dietro.
Questi numeri fanno pensare ad un record di furto di informazioni sensibili, tra i quali genere, nomi completi, nomi utenti usati su LinkedIn e su altri social media e URL di LinkedIn, numeri di telefono, indirizzi email e indirizzi fisici, dati di geolocalizzazione, informazioni relative al proprio percorso professionale.
Al contrario, le informazioni sottratte e venute sul dark web non sembrano riguardare dati finanziari e credenziali d’accesso agli account LinkedIn.
In proposito, è stato condotto un esame specifico e dettagliato dei dati sottratti ed è emerso come si tratti di informazioni autentiche, aggiornate e riconducibili ad utenti reali.
L’ipotesi è che gli hacker abbiano scaricato le informazioni e i dati sensibili utilizzando un’API di LinkedIn, per cui non si può parlare di un accesso non autorizzato ai server e di una violazione vera e propria. Piuttosto, si sarebbe trattato di un’operazione di scraping, ossia di estrazione dati da un sito web utilizzando software specifici.
Ben altre cifre rispetto a quando avevamo scritto quest’altro post.
Rischi dell’attacco
Il rischio per gli utenti deriva dalla diffusione non autorizzata dei propri dati e sono, in primis:
- furti di identità;
- violazione di account;
- tentativi di pishing.
Una buona idea può essere quella di cambiare la password di accesso al proprio account per ridurre il rischio di attacchi. Qui tutti i dettagli su come gestire le password in modo sicuro.
Social Media: come mettere in sicurezza il profilo aziendale
Quanto accaduto a LinkedIn è solo l’attacco più recente subito da un social media, ma nessun altro network è immune da questo tipo di rischi.
Basti pensare a quante informazioni relative ad ogni utente iscritto su un qualunque social possono raccogliere i cyber criminali proprio scavando tra i contenuti e tra i dati inseriti e resi pubblici dagli utenti stessi.
Queste informazioni possono essere rubate tramite attacchi mirati proprio al furto di dati o con lo scopo specifico di danneggiare la web reputation di un singolo e dell’azienda di cui fa parte.
Per questo motivo, i social sono uno dei primi obiettivi per hacker e cyber criminali: sono un raccoglitore di dati che l’utente rende pubblici spontaneamente e anche in modo incontrollato e sono uno strumento per avere accesso diretto a questi stessi dati.
Sono davvero poche, infatti, le persone che conoscono l’importanza di utilizzare in modo consapevole e informato social network e piattaforme online e che sanno quanto valore abbiano per i cyber criminali dati e informazioni su essi contenuti.
Ma come fare a prevenire e a scongiurare simili rischi?
Consigli per la sicurezza aziendale
Per cominciare, è importante fare attenzione a ciò che si pubblica sui propri social, quindi ai contenuti immessi sulle piattaforme.
Sono tantissime le informazioni che si rendono pubbliche e ad esse hanno libero accesso eventuali malintenzionati.
La stragrande maggioranza degli attacchi informatici avviene tramite mail, in particolare nel phishing e nello spear phishing, ossia un attacco mirato ad un dato soggetto per carpirne dati specifici.
Nel secondo caso, infatti, la vittima viene selezionata e studiata, raccogliendone informazioni tramite social e web, in modo da preparare mail “su misura” così da rendere più semplice cadere nel trucco. Proprio nello spear phishing la differenza viene fatta dalla quantità e dalla tipologia di informazioni che il cyber criminale riesce a raccogliere sulla vittima: quale posto migliore per trovarle se non un social? Al contrario, non mancano e, anzi, aumentano i casi in cui è la vittima a fornire in modo più o meno inconsapevole le informazioni di cui il criminale ha bisogno.
Insomma, pensateci bene prima di pubblicare qualcosa, in particolare informazioni private, come interessi personali, programmi di viaggio, dettagli sui propri familiari o notizie sul proprio lavoro.
Ricordate che si tratta di informazioni che possono essere utilizzate per ottenere la fiducia e ingannare voi o i vostri amici e colleghi.
Seconda dritta: evitate di geotaggare le immagini che pubblicate.
Ciò significa indicare le coordinate GPS dei luoghi in cui sono state scattate e, magari, inviarvi un falso sondaggio sul vostro soggiorno in hotel, nel quale incorporare un malware. Il consiglio è quello di controllare le impostazioni privacy, innalzando il livello di riservatezza e impostando il profilo privato o riducendo le informazioni personali che un non-amico può visualizzare.
In tergo luogo, non condividete mai il vostro indirizzo e-mail di lavoro al di fuori di esigenze lavorative: il primo metodo per attaccare una rete aziendale è compromettere un account di posta aziendale per inviare messaggi di spear phishing anche ad altri dipendenti o per realizzare una truffa CEO fraud o BEC.
In questo caso, consigliamo di avere almeno quattro indirizzi mail separati: uno personale, uno lavorativo, uno per la registrazione di nuovi account su siti che potrebbero generare spam e uno per i social media.
Un altro accorgimento può essere quello di utilizzare immagini profilo diverse per i vostri social. Infatti, l’acquisizione di informazioni tramite il web avviene in modo automatico e attraverso tool software basati sull’intelligenza artificiale.
Questi tool riescono a correlare i diversi account cercando corrispondenze tra immagini del profilo e caratteristiche comuni, come amici, nome utente, interessi, città, data di nascita.
Un’altra cattiva abitudine che sta spopolando di recente è quella di pubblicare sui social il QR Code del proprio Green Pass Covid-19.
Questo QR Code deve essere esibito solo alle forze dell’ordine e a chi è autorizzato a richiederlo nei casi e nei modi indicati dalla legge: al di fuori di questi contesti, può essere inutile mostrarlo, mentre può essere addirittura pericoloso renderlo pubblico.
Il QR Code, infatti, contiene informazioni personali e sanitarie, che possono essere estratte e utilizzate da chi abbia gli strumenti idonei a ciò.
Basti pensare che da questo codice è possibile rilevare eventuali patologie incompatibili con la vaccinazione o la contrarietà del soggetto al vaccino: queste informazioni potrebbero essere utilizzate a fini discriminatori, per mettere in atto truffe mirate o per profilare il soggetto da un punto di vista commerciale.
Insomma, anche da qui possono essere ricavate informazioni scambiabili e vendibili dentro e fuori il dark web.
L’invito è a tenere alta la guardia e a riparo i propri dati personali, evitando di consegnarli liberamente a quel mare infinito che è il web.
Ulteriori suggerimenti utili in questo post.
