Anche LinkedIn, con la sua messaggistica interna, può essere usato come canale di distribuzione di malware. Lo ha reso noto Reliaquest spiegando la dinamica dell’attacco: gli utenti del social network vengono contattati da falsi recruiter o colleghi, con l’obiettivo di ottenere fiducia e convincere la vittima a scaricare un file, apparentemente innocuo che si presenta come un archivio compresso WinRAR che contiene un lettore PDF open source, una libreria DLL dannosa, un interprete Python e un file RAR di copertura.
La questione richiede particolare attenzione per un motivo molto semplice: generalmente la messaggistica privata di un social network non è sotto il controllo dei sistemi di sicurezza aziendali e questo la rende un canale ideale per i criminali informatici.
Per agire in modo nascosto gli attaccanti utilizzano una tecnica chiamata DLL side-loading: quando la vittima apre il lettore PDF legittimo, viene caricata automaticamente anche la libreria dannosa, camuffata da file legittimo e innocuo. Con questo malware i malintenzionati ottengono accesso remoto al computer colpito e da questo possono ricavare i dati personali e sensibili memorizzati, oltre ad avere la possibilità di mantenere il controllo del sistema.
Raccomandazioni d’obbligo: diffidate dei messaggi inattesi che chiedono di scaricare un file, anche se sembrano provenienti da persone conosciute e verificate l’identità del mittente (sfruttando altri canali, ad esempio via mail, WhatsApp o qualunque altra forma di comunicazione con cui potete mettervi in contatto), perché per un’opportunità professionale seria e legittima nessuno chiederà mai di scaricare file sospetti o di bypassare le procedure di sicurezza. Last but not least: mantenete aggiornati antivirus e sistema operativo e attivate l’autenticazione a due fattori.
È necessario tenere presente che il phishing non è più confinato solo alla posta elettronica e i social media sono terreno di caccia per i cybercriminali, anche quelli professionali come LinkedIn. La prima ldifesa, anche questo va ricordato, è la consapevolezza: se qualcosa sembra troppo bello per essere vero o mette fretta, probabilmente è un tentativo di truffa.
Il caro, vecchio SMS, che ormai nessuno usa più a livello personale, è uno strumento ancora ampiamente sfruttato da aziende e istituzioni per comunicare informazioni ai propri utenti o clienti, non raramente anche in veste di secondo fattore di autenticazione (la password temporanea rilasciata per confermare credenziali, disporre bonifici, eccetera). E in virtù di questo sopravvissuto utilizzo, piace molto anche ai truffatori che fanno smishing, ossia il phishing tramite SMS, appunto.
Il messaggio riportato è a prima vista verosimile, ma in realtà ha sufficienti caratteristiche per essere identificato come “trappola”. Escludendo un motivo strettamente personale legato al numero telefonico su cui è arrivato (numero che non è abbinato ad alcuna utenza di Poste Italiane, ragione che fa precipitare al suolo qualunque possibile attendibilità), troviamo un messaggio scritto in modo non consono all’ente che dovrebbe averlo spedito:
Abbiamo verificato accesso anomalo
Eventualmente dovremmo leggere “un” accesso anomalo (lo so, potrebbe sembrare irrilevante, ma gli SMS provenienti da Poste Italiane sono solitamente scritti in buon italiano). Ma c’è anche un link anonimo:
Il servizio con indirizzo is.gd permette di generare link brevi che sostituiscono indirizzi più lunghi, per farli diventare di facile riscrittura o dettatura, ma anche per occupare meno caratteri in un messaggio SMS o un tweet. Il nome PosteInfo è legato abitualmente a un mittente attendibile da cui potremmo ricevere SMS di vario tipo, inclusi gli aggiornamenti su una spedizione in arrivo, il cui link però è quasi sempre del tipo https://www.poste.it/eccetera.
Da un dispositivo sicuro (per quanto possibile) ho provato a seguire il link indicato, non si riesce ad approdare ad un sito web, il caricamento si ferma prima e permette solo di vedere l’indirizzo di destinazione del link abbreviato: belleviewvenue.com. Che verosimilmente non ha nulla a che fare con Poste Italiane, ma che potrebbe essere (come sempre accade) legato ad un form di richiesta credenziali. Da evitare come la peste.
Da quanto tempo si parla di ransomware? E di phishing? Nel 2005 si parlava già di ransomware sui telefoni cellulari, pertanto si tratta di argomenti sufficientemente maturi per essere conosciuti dagli addetti ai lavori o da chi utilizza tecnologie digitali di comunicazione (dall’e-mail ai sistemi di messaggistica), quindi non è più il caso di spalancare occhi e bocca di fronte a notizie come quella dell’attacco informatico alla Regione Lazio.
Sulla vicenda abbiamo letto di tutto: virus, hacker, ipotesi terroristiche, coinvolgimento dell’FBI. All’origine di tutto, per l’ennesima volta, ci sarebbe stato un episodio di imprudenza: un dipendente (in smart working, ma questo dovrebbe essere un particolare poco rilevante) ha incautamente cliccato su un link pericoloso contenuto in un messaggio di posta elettronica ritenuto innocuo, portandosi in casa uno di quei ransomware che ha crittografato e blindato i dati dei sistemi informatici della Regione, mettendoli in ginocchio e bloccando il sistema di gestione delle vaccinazioni, delle prenotazioni e delle certificazioni. Le indagini di Polizia Postale e FBI metteranno in luce particolari sicuramente interessanti, per capire in che tempistiche si è verificato l’attacco (il clic avventato, secondo alcune fonti, sarebbe avvenuto settimane fa) e come è stato concretamente attuato.
Certo, è auspicabile che siano state adeguate le tecnologie utilizzate nella realizzazione del piano di disaster recovery di qualche anno fa. Ne riporto un estratto nell’immagine, onde evitare che la fonte istituzionale non renda più disponibili queste informazioni, che includono anche l’ammontare di denaro pubblico investito a suo tempo:
Indubbiamente il numero di episodi legati a questo tipo di attacchi è in crescita e il fatto che il bersaglio sia un servizio di primaria importanza e di pubblica utilità rende ancora più evidente la necessità di soluzioni di sicurezza idonee a proteggere le informazioni gestite da un sistema. Il rapporto Clusit 2021, ha evidenziato che gli “attacchi gravi di dominio pubblico” (quelli che hanno avuto conseguente importanti su economia, società e politica) tra il 2019 e il 2020 sono aumentati del 12%, in buona parte originati da un’organizzazione criminale.
Se ricevete un SMS con le caratteristiche indicate, cestinatelo. Io l’ho segnalato alla Polizia Postale e delle Comunicazioni: non è credibile che Poste Italiane mandi ai propri clienti un SMS simile, con un testo approssimativo e con un link palesemente inattendibile:
Gentile Cliente,Poste Italiane la informa che a causa anomalie la invitiamo a compilare il modulo per evitare il blocco al seguente link:https:/bit.ly/3lrHvUu
Come si vede dall’immagine, nel link effettivo il nome “Poste Italiane” è annegato in un indirizzo che nulla a che vedere con le Poste. Per dovere di cronaca, selezionando quell’indirizzo si approda ad una pagina web assolutamente fasulla, che invita ad inserire le credenziali dell’account Poste.it e, successivamente, i dati della carta di credito. Per poi utilizzarli alle spalle di chi li ha incautamente forniti, ovviamente.
Comunque si sono evoluti: una volta si presentavano come Poste Italiene: non ho mai capito se venissero da un altro mondo (it-aliene), o se fosse un fake dichiarato, da pronunciare con l’accento di Lino Banfi (italiène!)
P.S.: il numero telefonico che ha ricevuto quel messaggio non è legato ad alcun account di Poste.it… Almeno prendessero la mira, prima di sparare
Attenzione agli acquisti online, soprattutto in prossimità del Natale: la fretta di trovare un regalo può essere cattiva consigliera e far calare quell’attenzione che invece è necessaria per distinguere un vero sito di e-commerce da un sito truffaldino che punta ad avere le vostre credenziali o direttamente al vostro denaro, facendovi credere di aver comprato un prodotto che non riceverete mai. Come nei casi di alcuni siti web che mi hanno segnalato in questi giorni, come it-disney.com e breil-italia.com, che nulla hanno a che vedere con le aziende di cui citano i brand.
Un negozio online fasullo non sempre è facilmente identificabile. I due siti web che ho citato – così come altri in cui mi sono imbattuto in passato (ad esempio in occasione del black friday, ma anche in precedenza) – sono realizzati discretamente e un occhio non allenato può cadere nella loro trappola: la grafica è abbastanza curata e alla base c’è una piattaforma di e-commerce strutturata (talvolta si tratta di software disponibili sul mercato, come Shopify). Esistono però alcuni indicatori fondamentali che possono rivelare la vera natura del sito web:
la sicurezza della connessione: senza dilungarmi in dettagli tecnici sui protocolli, un negozio online deve offrire – almeno nella fase del pagamento online, se non su tutto il sito – la massima sicurezza della connessione, pertanto l’indirizzo web deve iniziare con il protocollo https: (che contraddistingue una connessione criptata e sicura), se vedete solo “http” quel sito non è sicuro. Precisazione: non è detto che un sito sia pericoloso solo perché non vedete https nell’indirizzo. Il protocollo sicuro è indispensabile solo per siti web che richiedono l’inserimento di dati personali e sensibili (commercio elettronico, istituti bancari, siti medico-sanitari, enti pubblici e privati che offrono servizi, social network, eccetera);
i requisiti di legge: un sito web di e-commerce non può essere privo dei dati che identificano l’azienda che rappresenta. Un’attività commerciale italiana deve indicare la ragione sociale e la partita iva, in homepage e/o in un’area dedicata alle informazioni aziendali (termini di utilizzo, condizioni di vendita, eccetera); Amazon, per esempio, opera sul mercato italiano pur non essendo una società italiana, ma alla pagina Condizioni generali di uso e vendita fornisce tutti i dati societari e i riferimenti della rappresentanza italiana;
contatti certi e rintracciabili: se mancano le informazioni indicate sopra, non basta una pagina “contatti” con un form in cui l’utente può indicare, nome, indirizzo e-mail e scrivere un messaggio;
la coerenza dei contenuti: se in un sito trovate testi che non c’entrano nulla, c’è qualcosa che non va… in un sito che si presenta come Disney Store, non potete trovare le condizioni del sito breil-italia.com, questo è sintomo di un copia+incolla decisamente “poco accurato” da parte di qualcuno che forse realizza siti web farlocchi in serie…
il buon utilizzo della lingua italiana: un professionista serio non ha cadute di stile, ne va della propria immagine e il sito web in cui vende i propri prodotti deve essere all’altezza della reputazione che vuole mantenere. Non ci possono essere errori vistosi ortografici o grammaticali e non si possono trovare alcune parti in italiano e altre in una lingua diversa. Avere un sito web in italiano e presentare la sezione del pagamento online in inglese e senza https, come in questa immagine, è decisamente sospetto:
Evitate gli acquisti di corsa: qualche minuto in più, speso (anzi investito) nel verificare a chi state per dare il vostro denaro… non ha prezzo!
Avete un account per l’Internet banking? Fate acquisti online pagando con carta di credito o strumenti come PayPal? Fate molta attenzione ai messaggi che vi invitano a confermare i vostri dati personali sul sito di uno di quei servizi, molto probabilmente si tratta di phishing: in tal caso il messaggio è una trappola con un link che, anziché portare al sito che vi interessa, rimanda ad una pagina web fasulla, realizzata appositamente per trarre in inganno gli utenti e indurli a inserire le proprie credenziali.
Inutile dire che così username e password finiscono in mani sbagliate. Dall’altra parte c’è chi può utilizzare l’account a nome di altri e utilizzarne conto corrente e carte di credito, ma c’è anche chi potrebbe rivendere i dati personali altrui sul dark web. E le conseguenze potrebbero non essere solo economiche: come spiega Kaspersky, in alcuni casi i dati altrui possono essere utilizzati a scopo di doxing: il doxing – o doxxing – consiste proprio nella ricerca e nella pubblicazione di informazioni private, personali se non sensibili, per ridicolizzare, denigrare o mettere in pericolo qualcuno.
Questo tipo di informazioni può essere ottenuto in molti modi, da contenuti condivisi superficialmente su social network, ma anche – come detto prima – tramite phishing. E sul dark web c’è un autentico mercato nero di informazioni personali che possono avere tariffe differenziate. Nomi, date di nascita, documenti di identità e codici fiscali possono costare anche meno di un euro, mentre la foto di una persona, un suo documento o una cartella clinica possono costare qualche decina di euro. Si possono trovare anche le credenziali per accedere a un conto corrente, e possono costare molto di più.
Quando ricevete un messaggio e-mail che sembra provenire da una banca, dall’istituto che ha emesso la carta di credito, dall’azienda che vi fornisce l’energia elettrica, dalle Poste o da qualunque mittente che possa sembrarvi affidabile, prima di cliccare sul primo link che trovate, verificate che si tratti effettivamente di ciò che sembra. A volte basta poco, perché il messaggio esteticamente è diverso da quelli autentici, o perché ci sono dettagli rivelatori nel testo del messaggio, che spesso tradisce una scarsa padronanza della lingua italiana. A volte il messaggio è invece ben realizzato, quindi dovete verificare l’indirizzo internet (url) del link che vi è stato indicato.
Guardate l’esempio dell’immagine seguente: l’indirizzo è chiaramente estraneo a Poste Italiane, ma spesso gli utenti non ci fanno nemmeno caso e proseguono a navigare ignari del pericolo. Occhio!
Lo stesso possiamo dire per questa pagina web, che evidentemente non è di Amazon:
Avete ricevuto un sms come questo? Attenzione, si tratta di una vera e propria esca di phishing, ossia una truffa con l’obiettivo di estorcervi dati personali e denaro. Non illudetevi di essere i vincitori di un iPhone 12: Amazon ve lo comunicherebbe via e-mail, o con una notifica nel vostro profilo, sul sito o dalla app, non ve lo scriverebbe con un sms inducendovi a cliccare un link che porta ad un sito estraneo che chiede dati personali, quindi non cedete alla tentazione, evitate il link e non lasciate a nessuno le credenziali del vostro account.
Come capire a colpo d’occhio che si tratta di un sms falso? In questo caso, alcuni dettagli del messaggio – caratteristici di molti tentativi di phishing anche via e-mail – sono rivelatori, per essere individuati serve attenzione:
non è scritto in corretto italiano: qui c’è scritto “e stato premiato” e “e stato riservato”, non “è stato premiato” o “è stato riservato”; un’azienda come Amazon non si concede queste approssimazioni;
la forma cambia: prima si rivolgono al cliente dandogli del lei (“Gentile cliente il suo ID…”), poi gli danno del tu (“riservato per te”); è un’altra leggerezza che non compare nei messaggi di un’azienda di quel calibro;
il link porta ad un indirizzo internet che non è legato ad Amazon.
Alla pagina che riporto nell’immagine sono giunto volontariamente, ignorando volutamente tutti gli avvertimenti di pericolosità ricevuti: si tratta di uno degli innumerevoli tentativi di phishing annidati in un messaggio mail identico ad altri:
Di questo tentativo truffaldino ho inviato segnalazione sia alla “vittima” del furto di identità (la società Aruba.it), sia alla Polizia Postale e delle Comunicazioni. L’aspetto originale e inquietante di questo tipo di phishing è che la pagina web con il form da compilare (quella che ho riportato nell’immagine iniziale), dall’url che compare nella barra degli indirizzi del browser, sembra appartenere ad un sito web assolutamente al di sopra di ogni sospetto (quello dell’Ordine dei Commercialisti ed Esperti Contabili di una città italiana). In seguito alla segnalazione la pagina è stata rimossa, ma l’ipotesi è che il sito ospite sia stato violato per accogliere la pagina truffaldina. Sto seguendo la questione ed eventualmente pubblicherò un aggiornamento in merito.
Sono anni che riceviamo messaggi palesemente malevoli come quello riportato in figura, eppure c’è ancora chi ci casca. Per cui nessuna meraviglia se c’è anche chi sprofonda nella trappola indicata oggi dalla Polizia delle Comunicazioni:
È in corso massiva attività di spamming a scopo estorsivo con l’invio di email in cui gli utenti vengono informati dell’hackeraggio del proprio account di posta elettronica ad opera di un gruppo internazionale di Criminali. L’account sarebbe stato hackerato attraverso l’inoculamento di un virus mentre venivano visitati siti per adulti. Da qui scaturisce la minaccia di divulgare a tutti il tipo di siti visitati e la conseguente richiesta di denaro in criptovaluta.
Il messaggio indicato dalla Polizia generalmente si presenta così:
Salve!
Come avrai già indovinato, il tuo account xxxxxxx è stato hackerato, perché è da lì che ho inviato questo messaggio 🙁
Io rappresento un gruppo internazionale famoso di hacker. Nel periodo dal xx.yy.2018 al xy.yz.2018, su uno dei siti per adulti che hai visitato, hai preso un virus che avevamo creato noi. In questo momento noi abbiamo accesso a tutta la tua corrispondenza, reti sociali, messenger. Anzi, abbiamo i dump completi di questo tipo di informazioni.
Nel seguito del messaggio, arriva la richiesta di estorsione, pena la diffusine di tutte le peccaminose informazioni.
In realtà non c’è niente di vero in quelle mail. Quindi, chi ci casca? Un utente che, oltre a non essere troppo smaliziato da capire che si tratta di un’esca, ha visitato – magari una tantum – un sito per adulti. Si tratta di una possibilità ampiamente concreta, perché i siti web vietati ai minori sono tra i più frequentati al mondo. Pertanto, nell’affollato e pescoso mare degli utenti, non è affatto difficile trovare qualcuno che abbocchi facilmente al phishing (espediente per indurre un utente a compiere un’azione apparentemente innocua, ma in realtà foriera di disastri).
Non credete a tutto ciò che ricevete via mail, soprattutto quando l’utente è sconosciuto, o addirittura quando il mittente siete voi (e non vi risulta di aver spedito a voi stessi quel messaggio)!
Da qualche tempo non passa giorno senza che Instagram mi segnali l’account di una presunta procace ragazzotta che avrebbe iniziato a seguirmi. Parlo di persone a me completamente sconosciute, con nomi probabilmente inventati di sana pianta da persone che creano account ad hoc con foto ammiccanti – quando non provocanti – allo scopo di catturare a loro volta il maggior numero possibile di follower.
Non riesco a capire quanto sia vincente questa tattica di phishing, dal momento che nel giro di pochi minuti scopro che l’account non esiste più (nemmeno nella mia lista di follower), ma – se ne riceveste anche a voi – suggerisco di cancellaresenzaremore, prima di scoprire di aver seguito qualche account poco raccomandabile.
Forse è la declinazione social dei vecchi tentativi di aggancio via mail, che però – a mio avviso – potevano essere leggermente più efficaci:
Ciaoooo !! Mi chiamo *****a! Hai ricevuto le mie immagine? Ho letto il tuo lettera e ti replico subito.
Spero che mi ricordi??? attendo una responso con impazienza. Ho mandato a te qualche nuove foto. Esse ti sono piaciute?
Saro contenta se mi manderai le tue nuove foto. Ho 35 anni, lo sai? Sono una donna sola e nubile. Non ho figli.
abito con i genitori. Vorrei trovare l.altra meta per costituire una focolare...
Ho cancellato il mio profile dal sito di amicizia. Se mi risponderai, ti inviero piu mie foto.
Aspetto una risposta con impazienza.
Se mi risponderai, ti inviero piu mie foto. Scrivi a me la mia e-mail personale, che ho inviato la foto -
r********@*****.com !!
Buona serata!! La tua *****a!!
Poste Italiane è uno dei soggetti preferiti da chi fa phishing tentando di far cadere in trappola utenti ignari. Qui, però, non compare come mittente, ma in una dichiarazione in calce al messaggio spedito da una fantomatica Postazione 18 con due PDF in allegato.
Non bastano le querele fasulle, adesso anche l’arresto che sta per entrare in vigore (con testi fantasiosi e link che portano a siti esotici di nulla affidabilità).
Se lo ricevete non spaventatevi... cestinate e basta!
Testo del messaggio vago, generico e senza alcun presupposto (non fa seguito a nulla che il destinatario si aspetti). Quelle in rosso sono mie aggiunte.
Sono tutti fattori che portano ad un unico risultato: phishing, un’esca per far abboccare chi riceve il messaggio, una trappola in cui è opportuno non cadere. Cliccando sull’allegato (o su un eventuale link) per aprirlo, si attiva qualcosa di malevolo.
CESTINATELO. Sempre. Senza se e senza ma, direbbe qualcuno.
Da non credere! E quindi da evitare… (questa è la versione breve, di seguito mi spiegherò meglio).
Apparentemente allettante e da non perdere, questa super occasione che compare su web cliccando su alcune pagine farcite di pubblicità attirerà facilmente l’attenzione di tante persone. Ricordando però che – anche su Internet – nessuno regala niente per niente, prima di cedere alla tentazione di rispondere all’invito, è opportuno chiedersi cosa realmente ci sia dietro. O… sotto.
Con un altro pc, dopo aver visto quella pagina segnalatami da un amico, ho aperto il browser e digitato lo stesso indirizzo web che mi aveva portato a quell’invito che dichiarava 01 possibilità rimanenti per partecipare al test del nuovissimo iPhone 7. Per scoprire che le possibilità rimanenti erano addirittura aumentate!
E’ già sufficiente questa “verifica” per capire che quel conteggio non è il numero delle possibilità rimanenti che diminuisce in tempo reale con l’aumentare delle adesioni, ma è semplicemente un numero che diminuisce in modo predefinito, programmato per indurre l’utente ad aderire in tutta fretta per non perdere la (presunta) succosa opportunità.
Sotto c’è un questionario da panico. Dopo la prima domanda (Possiedi già un prodotto Apple?), l’utente si vede chiedere quale funzione gli piacerebbe trovare sul nuovo iPhone 7, potendo scegliere tra “Schnurlos Ladung” e “HD Bildschirm”. Dopo un altro paio di domande più o meno attinenti all’argomento, segue una fase di controllo delle risposte date, prima di arrivare alle congratulazioni per essere riusciti ad essere inseriti tra i partecipanti al test e al ringraziamento, reso tangibile di ricevere gratuitamente un iPhone 6. Prima di procedere, però, si riceve la richiesta di cliccare su un link con questa frase:
Inserisci il tuo numero di telefono corretto e il PIN alla pagina seguente per ricevere un regalo tuo iPhone 6. Le scorte sono limitate, quindi affrettatevi!
Cliccando sul link si trova questo:
Offerta Limitata! Servizio in abbonamento! Il tutto in una schermata visualizzata solo parzialmente. Solo scorrendo verso la parte inferiore si scoprono le condizioni del servizio in abbonamento a cui l’utente aderirà, se inserirà i dati richiesti, vedendosi poi addebitare 5,08 euro alla settimana.
L’unica certezza che avrà l’utente sarà un addebito settimanale.
P.S.: del nuovo iPhone 7, ovviamente, non si sa ancora nulla di ufficiale
Attenzione alle false informazioni su fantomatiche spedizioni in arrivo a casa vostra.
Quella che vi riporto, ad un’occhiata superficiale (quella che un utente potrebbe buttare sul messaggio per alcuni secondi), potrebbe sembrare attendibile e indurre a cliccare sull’allegato, soprattutto se siete in attesa di una consegna.
Ma ecco quattro indizi che denotano l’approssimazione con cui è stato composto il messaggio, un’approssimazione che un’azienda seria, cioè un mittente attendibile, non potrebbe certo permettersi nel corrispondere con i clienti, e grazie ai quali è possibile identificare il phishing:
L’allegato ha il nome generico Numero collo senza alcuna informazione specifica.
Quale link sottostante? .
Ufficio postaly? La parola postaly in effetti dovrebbe significare postale, ma in lingua ceca, non nella lingua in cui è stato scritto il resto del messaggio.
Hai? Mi danno del lei in tutto il messaggio e nell’ultima frase mi danno del tu? Cambiamento di stile improbabile,
Il tipo di messaggio può cambiare, così come il formato dell’allegato e il mittente (che potrebbe apparire come un qualsiasi corriere). Ciò che non cambia è il rischio di imbattersi in un malware. Ma ora che sapete che non dovete mai cliccare sul link che vi propongono, ne’ aprire l’allegato (se presenti), non vi resta altro che cestinare senza pietà.
DARIO BONACINA 