I modi sempre più diversi di utilizzare LinkedIn per il social engineering
Oramai, se ne leggono di ogni tipo. Un tempo si basavano su falsi annunci di lavoro, oggi ne troviamo anche di sentimentali o basate sul furto d’identità social. Quel che accadeva, un tempo, solamente attraverso Facebook, Instagram e le app di messaggistica istantanea (vedi Whatsapp e Telegram), oggi succede anche altrove, come testimonia l’aumento delle truffe su LinkedIn. Un fenomeno in costante crescita che deve far accendere il campanello d’allarme a chi utilizza questa piattaforma. A partire dalle aziende.
LEGGI ANCHE > «Mi può mandare un piano marketing?». La truffa di social engineering che usa il brand di lusso Lancel
Già due anni fa avevamo parlato di come oltre il 50% dei tentativi di truffa online (compresi anche gli attacchi informatici con l’invio di file contenenti malware) vedesse proprio in LinkedIn come protagonista inconsapevole. All’epoca di parlava di “brand phishing”, ovvero di mail inviate agli utenti da parte di account che si fingevano parte del team della piattaforma social con l’invio di link a portali che imitavano LinkedIn. Contestualmente a tutto ciò, erano emersi anche casi di finti profili LinkedIn (spesso automatizzati) che contattano aziende e singole persone per la promozione di prodotti.
Truffe su LinkedIn sono in aumento, tutte le tipologie
Oltre due anni dopo, questo fenomeno delle truffe su LinkedIn (o tentativi di frode) non si è spento. Anzi, in alcuni casi si è acuito. Se un tempo si faceva riferimento solamente a falsi annunci di lavoro, oggi occorre essere molto attenti a tutto. Oltre al caso oggetto del nostro monografico di oggi, sono moltissime le truffe che si stanno moltiplicando come funghi attraverso la piattaforma.
Dal phishing per il furto delle credenziali, fino allo scam (anche romantico). Tecniche di social engineering di ogni tipo. Nel corso degli ultimi mesi, infatti, abbiamo visto come finti annunci di lavoro – attraverso contatti in chat sulla piattaforma – si fossero rilevati come cavallo di Troia per un attacco informatico (compreso il furto dei dati personali). Poi c’è l’invio, sempre attraverso un messaggio chat, di documenti – spesso cartelle compresse nel formato Zip – che in realtà contengono malware in grado di infettare i nostri dispositivi. E, sulla stessa falsariga, troviamo l’invio di link malevoli in chat.
Il pretexting
Infine, ma solo per l’ordine temporale dell’evoluzione di questo fenomeno, c’è il furto d’identità per provare a ottenere delle informazioni riservate. Nel gergo tecnico delle tecniche e tattiche di social engineering, si parla di “pretexting“:
«L’aggressore crea un’identità o uno scenario inventato per convincere la vittima a divulgare informazioni riservate, concedere l’accesso a sistemi riservati o eseguire azioni che altrimenti non intraprenderebbe. A differenza degli attacchi di phishing che spesso si basano sull’indurre panico o urgenza, il pretexting in genere implica la creazione di fiducia con il bersaglio attraverso storie e narrazioni di sfondo attentamente costruite. Il successo di questi attacchi dipende dalla capacità dell’aggressore di apparire abbastanza legittimo e affidabile da far abbassare le difese della vittima».
Da questa definizione, appare evidente come questa pratica sia molto preoccupante, perché è in grado di creare un mix potenzialmente letale basato su due princìpi: la natura della piattaforma LinkedIn (considerata sempre tra le più affidabili visto il suo ruolo differente rispetto agli altri social network) e l’aspetto empatico che rende gli utenti potenziali vittime di un raggiro.
L'articolo I modi sempre più diversi di utilizzare LinkedIn per il social engineering proviene da Giornalettismo.