Di seguito il commento di Kaspersky in merito alla maxi truffa che ha colpito gli account Twitter di diversi personaggi noti.
“Questa enorme truffa ha evidenziato che in un’epoca come questa non sono immuni dalle truffe digitali neppure le persone dotate di competenze e conoscenze informatiche e che anche gli account più sicuri possono essere violati. Secondo le nostre stime, in sole due ore almeno 367 utenti hanno trasferito in totale circa 120.000 dollari agli attaccanti. La sicurezza informatica è senza dubbio una delle massime priorità di tutte le principali piattaforme di social media che ogni giorno si impegnano per prevenire molti attacchi. Nonostante ciò, siti web e software non sono completamente immuni ai bug, così come l’essere umano non è immune agli errori. Pertanto, qualsiasi piattaforma nativa potrebbe essere compromessa. Per ottenere un effetto sorpresa e guadagnare la fiducia delle persone, oggi le truffe combinano nuovi vettori di attacco a tecniche vecchie ed efficaci con cui gli attaccanti sono in grado di facilitare l’attacco e attirare le vittime nella trappola. Ad esempio, potrebbero utilizzare un mix di attacchi alla supply chain sfruttando strategie di social engineering. Inoltre, gli attori della minaccia possono accedere all’account della vittima in altri modi: ad esempio, possono penetrare all’interno di un’applicazione di terzi accedendo al profilo dell’utente oppure forzando la password dell’utente.
Tuttavia invitiamo le persone a non farsi prendere dal panico e ad accettare semplicemente che è giunto il momento di adottare una nuova mentalità: gli utenti dei social media devono utilizzare un approccio responsabile e dotarsi di una protezione completa. Questo incidente dovrebbe farci riflettere sul fatto che tutti noi dobbiamo prenderci un po’ di tempo per rivalutare il nostro approccio nei confronti dei social media e della sicurezza dei nostri account, e una volta che lo avremo fatto diventerà evidente che possediamo conoscenze e strumenti per riconoscere anche la truffa più elaborata e minimizzarne l’impatto”, ha dichiarato Dmitry Bestuzhev, cybersecurity experts di Kaspersky.
Per riconoscere le truffa veicolate tramite i social media è importante tenere presente quanto segue:
- L’elemento più importante di ogni truffa è il limite di tempo. Non solo impedisce alla vittima di effettuare un controllo approfondito sulla questione, ma aggiunge anche una certa pressione psicologica che induce a trascurare i dettagli. Temendo di perdere una grande opportunità, anche le persone più attente potrebbero essere indotte a correre un rischio e cadere nella trappola degli attaccanti.
- In questo caso, la truffa è stata anche accuratamente adattata alla personalità dell’utente o al tone of voice dell’account violato, il che l’ha resa ancora più credibile. I criminali potrebbero spingersi anche oltre utilizzando deepfake o un design dall’aspetto autentico. Bisogna sempre tenere in considerazione che le campagne ufficiali o anche le singole iniziative di tale portata hanno sempre documenti prescrittivi a sostegno anche della più breve delle offerte promozionali e sono collocate al di fuori dei social media. Inoltre, la parte finanziaria è solitamente più trasparente e non legata ai wallet privati di bitcoin.
- È importante ricordare che è altamente improbabile che un’azienda o un individuo chieda un trasferimento di denaro, anche se l’intenzione è quella di restituirlo in un secondo momento, o anche solo per scherzo, poiché potrebbe avere problemi con le tasse e con la rendicontazione finanziaria.
Per massimizzare la protezione del vostro account sui social media, è necessario tenere presente che:
- Le password non devono essere solo forti ma anche uniche. Questo permette agli utenti di tenere al sicuro il proprio account anche nel caso in cui altri siti web facessero trapelare le credenziali. Per creare una password sicura e complessa per ogni sito web è possibile utilizzare tecniche di memoria o un servizio di password manager.
- Utilizzare l’autenticazione a due fattori quando viene richiesta la conferma di login e password inserendo un codice speciale. In questo caso è importante non utilizzare un messaggio di testo per ricevere il codice, in quanto potrebbe essere dirottato, ma sarebbe meglio utilizzare un’applicazione che li genera. In alternativa, utilizzare una chiave fisica collegata al dispositivo tramite cavo USB o NFC.
- Un’altra misura di sicurezza che dovrebbe essere adottata è la revisione approfondita delle applicazioni che hanno accesso all’account Twitter. Queste informazioni si trovano nelle impostazioni dell’account di Twitter. Consigliamo di revocare l’accesso all’account a tutte le applicazioni o a quelle su cui non avete la certezza che siano completamente sicure. In questo modo in caso vengano attaccate dai criminali informatici il vostro account non verrà coinvolto.
- Utilizzare “Privacy Checker” per garantire un livello di privacy maggiore ai vostri profili sui social media. Renderà più difficile a terzi di trovare le informazioni personali.