Simone Cosimi

Mag 25, 2018

GDPR | Il phishing è affare di Facebook: il 60% passa da pagine fasulle

La pesca a strascico dei cybercriminali si lega in queste settimane al GDPR. E stando a un rapporto di Kaspersky Lab il 52% delle e-mail che riceviamo è spam

Copie (evidentemente imperfette, ma sufficienti a ingannare) di pagine popolari per fregare le persone sui social. Farcite di link malevoli (favoriti da titoli incredibili) che, una volta accalappiate sulla piattaforma di Mark Zuckerberg, le conducono al di fuori del dorato perimetro, su siti dove vengono spinte a inserire le proprie credenziali, i dati della carta di credito o altre informazioni riservate in cambio di chissà quali mirabolanti promesse. Magari, com’è accaduto negli ultimi mesi, aggiudicarsi i famosi iPhoneX a 1 euro e simili bufale pseudocommerciali.

Facebook, Microsoft e PayPal le piazze dello spaccio di phishing

Un’indagine di Kaspersky Lab ha scoperto che proprio Facebook è la piazza principale per i professionisti del phishing, cioè uno dei primi tre obiettivi. Quello su cui pascolano profili e pagine taroccate messe in piedi al solo scopo di ingannare gli utenti. D’altronde con quasi 2,2 miliardi di profili attivi di materiale per una pesca a strascico certo grossolana ma su ampie dimensioni ce n’è moltissimo. Nel 2017 l’8% dei sistemi per rubare i dati personali viene sviluppato su Facebook, il 6% su prodotti Microsoft e il 5% attraverso PayPal.

Non solo, secondo la società di sicurezza russa nei primi tre mesi del 2018 proprio Facebook ha guidato la classifica nel sottogruppo dei social network seguita dalla piattaforma russa Vkontakte e da LinkedIn, altra fonte di specchietti per le allodole. In questo conteggio rientrano anche le applicazioni sconosciute e del tutto insicure che succhiano i dati Facebook e consentono dunque di dragare una serie di informazioni. Ultimamente, dopo lo scandalo Cambridge Analytica, gestire quei programmi “agganciati” al proprio account è più semplice. Provate a dare un’occhiata qui.

L’inganno del Gdpr

Paradossalmente, visto che si occupa di riservatezza e sicurezza, una delle strade più gettonate di queste settimane per il phishing sono le famigerate informative per l’aggiornamento delle condizioni d’uso legate al Gdpr, il nuovo regolamento generale europeo in materia di dati personali, in vigore dal 25 maggio. Stanno arrivando false comunicazioni in poste interne o via e-mail tradizionale che chiedono informazioni aggiuntive, invitano a installare software ad hoc o a partecipare a seminari online di aggiornamento. Ovviamente a pagamento. Nulla di questo è necessario: al massimo ci può essere richiesto di cliccare un bottone per confermare il trattamento dei dati. E anche in quei casi occorre fare molta attenzione.

Oltre 3,7 milioni di tentativi di accesso

Nel primo trimestre dell’anno i sistemi antiphishing di Kaspersky hanno impedito più di 3,7 milioni di tentativi di accesso a pagine social fraudolente, il 60% erano false pagine Facebook. Fra i Paesi più colpiti il Brasile (19% degli attacchi), Argentina (13%), il malridotto Venezuela 13%), l’Albania (13%) e la Bolivia (12%).

Il continuo aumento degli attacchi di phishing, che hanno come obiettivo sia i social network che le organizzazioni finanziarie, mostrano come sia necessario per gli utenti prestare maggiore attenzione alle loro attività online – spiega Nadezhda Demidova, web content analyst di Kaspersky Lab – nonostante i recenti scandali globali le persone continuano a cliccare su link non sicuri e permettono l’accesso ai loro dati personali a delle app sconosciute. A causa di questa mancanza di vigilanza da parte dell’utente, i dati di un gran numero di account possono andare persi o possono essere loro estorti. Tutto ciò può portare ad attacchi distruttivi e a un flusso costante di denaro nelle mani dei cybercriminali”.

I risultati di questa ricerca confermano il fatto che i dati personali sono sempre più importanti sia per organizzazioni legittimate a raccoglierli che per soggetti esterni e criminali. I cybercriminali sono costantemente alla ricerca di nuovi temi di attualità a cui agganciarsi per ingannare gli utenti, che magari ritengono di rispondere a una comunicazione lecita e verificata su un certo argomento. Proprio come sta capitando col Gdpr.

Come difendersi

Come fare a difendersi? I consigli sono sempre gli stessi: anzitutto controllare con attenzione l’indirizzo e-mail del mittente. Se si ha la curiosità, non cliccare mai il link direttamente dalla posta ma eventualmente copiare la Url nel proprio browser. Prima di cliccare qualsiasi cosa controllate se l’hyperlink, cioè l’indirizzo mostrato fermandosi sopra col puntatore del mouse, è preoccupante o meno e soprattutto se è coincidente con quello incluso nel testo. Usare solo connessioni sicure quando andate su siti sensibili (https e, ancora, i domini), non collegatevi a Wi-Fi pubbliche senza protezione della password. Da valutare anche l’uso di Vpn per crittografare il traffico e ovviamente non condividete mai informazioni sensibili con terze parti: le compagnie e le società serie non chiederanno mai questi dati via e-mail.

Lo spam: Italia nel mirino

Quanto allo spam, la quota ha toccato nel primo trimestre il 52% del traffico e-mail mondiale. Più di una e-mail su due è immondizia inutile. Un calo del 4,6% rispetto all’ultimo trimestre dello scorso anno. La gran parte di questo flusso sgorga in Vietnam, Stati Uniti e Cina. Nella top 10 ci sono anche India, Germania, Francia, Brasile, Russia, Spagna e Iran. Fra i Paesi più colpiti c’è invece anche l’Italia dietro a Germania, Russia e Regno Unito.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter