I social network sono ormai parte integrante della vita di tutti noi e di tutti i giorni. Oltre a fornire un’illimitata serie di benefici, sono diventati, purtroppo, il terreno ideale per vere truffe catalogate sotto il nome di social phishing, utilizzate per ottenere l’accesso a informazioni personali o riservate utilizzando ogni genere di piattaforma sociale: Facebook, Twitter, LinkedIn…

Il modus operandi più comune vede l’invio di un messaggio all’utente da parte della piattaforma sociale stessa, contenente un link utile per risolvere problemi di sicurezza o per controllare eventuali blocchi da parte di “profili amici”.

Cliccando, la vittima si trova di fronte ad una schermata, esteticamente molto simile alle pagine ufficiali, con richiesta d’inserimento di username e password. Una volta in possesso delle password degli utenti, i truffatori possono utilizzare il profilo acquisito, per attacchi spam o per rubare i dati personali. In casi più gravi, l’accesso alla pagina permette di scaricare sul computer dell’utente vari tipi di malware, software creati con il solo scopo di causare danni , come i cookie grabbers (software parassiti che attingono informazioni dai cookies depositati nel PC dai vari siti web), i keyloggers (in grado di intercettare tutto ciò che un utente digita sulla tastiera), i trojan horses (che permettono di avere accesso a tutta l’attività del pc).

Nel momento in cui i truffatori entrano in possesso dei vostri dati, possono avere facile accesso anche ai vostri contatti, allargando così su scala più ampia l’inganno mediatico. I vostri amici ricevono un messaggio che invita a guardare un video, una foto o aprire un’applicazione. Non vi è mai successo con alcune applicazioni o addirittura con la chat di Facebook?

I malintenzionati possono anche utilizzare social network professionali (come LinkedIn) per una ricerca più specifica e mirata al reddito. Questo genere di phishing mirato ai “pesci grossi” è stato denominato, non a caso, “whaling”, o caccia alle balene.

Il phishing legato ai siti di commercio elettronico, tipo Ebay, segue lo stesso schema, cambia solo la finalità: in questo caso il furto d’identità serve a mettere in vendita oggetti che non verranno mai recapitati agli acquirenti, dopo aver ricevuto il pagamento degli stessi, utilizzando il profilo di un altro venditore, ignaro della truffa. Inutile dire che il proprietario del profilo utilizzato per attuare la truffa, riceverà le rimostranze dei truffati, e dovrà dimostrare la propria estraneità alla frode.

L’ultimo tipo di phishing conosciuto, è legato al tema dell’ingegneria sociale (di cui abbiamo parlato). Agli utenti di MSN Messenger o Yahoo Instant Messenger viene offerta la possibilità di verificare, utilizzando una utility online, se sono stati cancellati o bloccati da loro contatti, ovviamente dopo avere inserito la propria ID e Password. Con queste credenziali di accesso, i truffatori potranno mettere in atto furti d’identità, visualizzare conversazioni private, collegare gli ID ad altri account, ed avere persino accesso al conto corrente online dell’utente.

Probabilmente qualcuno di voi è stato vittima, mezzo inconsapevole o semplicemente ha sentito parlare di social phishing. Scrivete la vostra esperienza, raccontateci la vostra storia.