Il phishing è una delle modalità di attacco informatico più comuni degli ultimi anni e avviene utilizzando dei messaggi di posta elettronica costruiti su misura per incuriosirlo e truffarlo. I normali attacchi ormai sono poco efficaci, per tale motivo i criminali ormai individuano una specifica vittima e raccolgono una serie di informazioni personali per produrre messaggi ancora più mirati ed efficaci.Spesso i dati personali vengono prelevati dai social network, dove le vittime raccolgono una miriade di dati personali. Ma non solo. Gli hacker vanno alla ricerca di informazioni personali anche in altri spazi del web. Per esempio, scansionano i siti web aziendali, dove è possibile trovare dati sensibili dei dipendenti. Spesso in queste pagine è possibile trovare il nome e cognome della persona, ma anche una fotografia e una breve biografia. In alcuni casi c’è anche l’indirizzo e-mail aziendale a cui scrivere oppure il collegamento al profilo LinkedIn e così via. Insomma, in una pagina web ci possono essere così tante informazioni che imbastire un messaggio su misura risulta molto semplice. Questo tipo di attacco prende il nome di spear phishing e negli ultimi anni è cresciuto così tanto da rappresentare una minaccia per intere aziende e comunità.Spear Phishing e furto foto: un rischio da considerareAlcune azioni di spear phishing iniziano proprio dal furto della fotografia che ritrae la vittima. I cybercriminali rintracciano un utente grazie al suo volto ritratto in una foto. Esistono diversi servizi che permettono di trovare un utente a partire da un’immagine. Tra questi c’è FindFace, che consente di ricondurre una fotografia ad uno specifico profilo social. Il servizio è inaccessibile a utenti privati, ma attualmente è a pagamento e lavora solo con organizzazioni aziendali e governative.Dalla foto quindi è possibile risalire al nome e cognome della persona, e ad altre informazioni personali. Quando poi si riesce a scovare anche il suo indirizzo e-mail, ecco che l’attacco di phishing mirato può essere portato a termine.Le azioni di phishing a partire dal nome e cognome della vittimaQuando si cerca una persona sul web, il primo passo è inserire nel motore di ricerca il suo nome e cognome. Da queste due informazioni si può aprire un mondo: su Google si trova la foto della persona, magari quella inserita nel profilo social oppure nel sito aziendale. Inoltre, nella SERP è possibile trovare il profilo Facebook o quello Instagram, fino addirittura al suo eventuale curriculum vitae e tanti altri contenuti ricchi di dati sensibili.E quindi non è un caso se gli attacchi di spear phishing più efficaci sono quelli che hanno nell’oggetto il nome e cognome della vittima, che quindi si sente subito tirata in causa ed è più stimolata ad aprire l’e-mail e seguire eventuali inviti presenti nel testo.
Ma gli hacker riescono a recuperare il nome e cognome degli utenti in tanti altri modi. Per esempio, possono sfruttare le falle presenti nei form precompilati di Chrome, Firefox o altri browser. Questi moduli registrano nome, cognome ed e-mail delle persone. Molti sistemi sono costruiti per rubare tali informazioni e usarle per attacchi di phishing. Per evitare pericoli, il consiglio è quello di evitare il riempimento automatico o usarlo solo su siti web sicuri.Inserire nel motore di ricerca e-mail e numero di telefonoInserendo queste due informazioni su Google o un altro motore di ricerca ci sono diverse possibilità di arrivare all’account social della vittima. Se si vuole andare sul sicuro, anche in questo caso esistono servizi appositi. Uno di questi si chiama Pipl e dopo aver inserito il numero di telefono o l’e-mail di una persona, rinvia al suo profilo social. Secondo gli sviluppatori, questa piattaforma raccoglie informazioni su più di tre miliardi di persone. Il servizio è gratuito previa iscrizione.Nome utente nell’e-mailMolti utenti usano il proprio nome e cognome all’interno del proprio indirizzo e-mail. Ciò succede sia a livello personale che professionale. Infatti, ciò consente ad eventuali clienti di ricordare facilmente l’indirizzo a cui scrivere. Ma d’altra parte, permette anche ai criminali di inviare un’e-mail conoscendo già due informazioni essenziali della vittima. Infatti, il nome utente nelle mani degli hacker diventa una vera bomba a orologeria, e può essere usato per aumentare l’efficacia di un attacco phishing.
Esistono poi dei servizi come Namechk che permettono di trovare il nome di un account in oltre cento piattaforme diverse. Si tratta di un sito web gratuito, che viene usato dai cybercriminali per fare una prima scrematura e trovare un particolare utente online.Come difendersi?Non è affatto difficile risalire all’account social di una persona date alcune informazioni personali, come il nome e cognome oppure la fotografia. Una volta approdati sul profilo – se pubblico – si ha accesso ad altre informazioni, come i gusti in fatto di moda, musica, eventuali legami famigliari e così via.Per difendersi da un eventuale furto di foto o altri dati, occorre restringere al massimo le impostazioni sulla privacy. Inoltre, è sempre meglio evitare di inserire la stessa foto sul proprio profilo personale e su quello aziendale, in questo modo sarà difficile connetterli. Infine, le aziende dovrebbero migliorare la sicurezza dei propri utenti, e adottare soluzioni anti-phishing nella casella di posta aziendale. 16 maggio 2019
Fonte Fastweb.it