Le truffe di phishing che cercano di indurti a inserire la tua vera password in un sito falso esistono da decenni. Precauzioni come l’utilizzo di un gestore di password e l’attivazione dell’autenticazione a due fattori (2FA) possono aiutarti a proteggerti dagli incidenti di phishing, perché:
- I gestori di password associano nomi utente e password a pagine Web specifiche. Ciò rende difficile per i gestori di password tradirti per errore su siti Web fasulli, perché non possono inserire nulla automaticamente per te se si trovano di fronte a un sito Web che non hanno mai visto prima. Anche se il sito fasullo è una copia perfetta in pixel dell’originale, con un nome di server abbastanza vicino da essere quasi indistinguibile all’occhio umano, il gestore delle password non si lascerà ingannare perché in genere cerca l’URL, l’intero URL e nient’altro che l’URL.
- Con 2FA attivato, la tua password da sola di solito non è sufficiente per accedere. I codici utilizzati dai sistemi 2FA in genere funzionano una sola volta, sia che vengano inviati al tuo telefono tramite SMS, generati da un’app mobile o calcolati da un hardware sicuro dongle o portachiavi che porti separatamente dal tuo computer. Conoscere (o rubare, acquistare o indovinare) solo la tua password non è più sufficiente per un criminale informatico per “dimostrare” falsamente che sei tu.
Sfortunatamente, queste precauzioni non possono immunizzarti completamente contro gli attacchi di phishing e i criminali informatici stanno diventando sempre più bravi a indurre utenti innocenti a consegnare contemporaneamente sia le loro password che i loro codici 2FA, come parte dello stesso attacco…
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
… a quel punto i truffatori provano immediatamente a utilizzare la combinazione di nome utente + password + codice monouso che hanno appena ottenuto, nella speranza di accedere abbastanza velocemente da entrare nel tuo account prima che ti accorga che c’è qualcosa di phishing in corso.
Ancora peggio, i truffatori spesso mireranno a creare quello che ci piace chiamare un “soft dismount”, nel senso che creano una conclusione visiva credibile per la loro spedizione di phishing.
Questo spesso fa sembrare che l’attività che hai appena “approvato” inserendo la tua password e il codice 2FA (come contestare un reclamo o annullare un ordine) sia stata completata correttamente, e quindi non sono necessarie ulteriori azioni da parte tua.
Pertanto, gli aggressori non solo entrano nel tuo account, ma ti lasciano anche insospettabile e improbabile che ti segua per vedere se il tuo account è stato davvero violato.
La strada breve ma tortuosa
Ecco una truffa di Facebook che abbiamo ricevuto di recente che cerca di portarti esattamente su quella strada, con diversi livelli di credibilità in ogni fase.
I truffatori:
- Fai finta che la tua pagina Facebook violi i termini di utilizzo di Facebook. I truffatori avvertono che ciò potrebbe portare alla chiusura del tuo account. Come sapete, il brouhaha che sta attualmente scoppiando su e intorno a Twitter ha trasformato questioni come la verifica, la sospensione e il ripristino dell’account in rumorose controversie. Di conseguenza, gli utenti dei social media sono comprensibilmente preoccupati di proteggere i propri account in generale, indipendentemente dal fatto che siano specificamente preoccupati per Twitter o meno:
L’e-mail non richiesta “avviso” che dà inizio a tutto. - Ti attirano su una pagina reale con un
facebook.comURL. L’account è falso, creato interamente per questa particolare campagna di truffa, ma il link che compare nell’e-mail che ricevi porta effettivamente afacebook.com, rendendo meno probabile che attiri sospetti, sia da parte tua che dal tuo filtro antispam. I truffatori hanno intitolato la loro pagina Proprietà intellettuale (i reclami sul copyright sono molto comuni in questi giorni) e hanno utilizzato il logo ufficiale di Meta, la società madre di Facebook, per aggiungere un tocco di legittimità:
Una pagina di account utente fraudolenta con un nome e un’icona dall’aspetto ufficiale. - Fornisci un URL per contattare Facebook per presentare ricorso contro la cancellazione. L’URL di cui sopra non termina con
facebook.com, ma inizia con un testo che lo fa sembrare un collegamento personalizzato del modulofacebook-help-nnnnnn, dove i truffatori affermano che le cifrennnnnnsono un identificatore univoco che denota il tuo caso specifico:
Il sito di phishing finge di essere una pagina “personalizzata” sul tuo reclamo. - Raccogli dati in gran parte innocenti sulla tua presenza su Facebook. C’è anche un campo facoltativo per Informazioni aggiuntive in cui sei invitato a discutere il tuo caso. (Vedi immagine sopra.)
Ora “mettiti alla prova”.
A questo punto, devi fornire alcune prove che sei effettivamente il proprietario dell’account, quindi i truffatori ti diranno di:
Intermezzo promozionale ... continua la lettura dopo il box:
- Autenticati con la tua password. Il sito in cui ti trovi ha il testo
facebook-help-nnnnnnnnella barra degli indirizzi; usa HTTPS (HTTP sicuro, cioè c’è un lucchetto in vista); e il marchio lo fa sembrare simile alle pagine di Facebook:
I truffatori ti chiedono di “provare” il tuo ID tramite la tua password. - Fornisci il codice 2FA da abbinare alla tua password. La finestra di dialogo qui è molto simile a quella utilizzata da Facebook stesso, con il testo copiato direttamente dall’interfaccia utente di Facebook. Qui puoi vedere la finta finestra di dialogo (in alto) e quella vera che verrebbe visualizzata da Facebook stesso (in basso):
Quindi chiedono il tuo codice 2FA, proprio come farebbe Facebook. 
La vera finestra di dialogo 2FA utilizzata da Facebook stesso. - Attendi fino a cinque minuti nella speranza che il “blocco dell’account” possa essere rimosso automaticamente. I truffatori qui giocano a doppio gioco, invitandovi a partire bene per non interrompere un’eventuale risoluzione immediata, e suggerendovi di restare a disposizione nel caso in cui venissero richieste ulteriori informazioni:
Come puoi vedere, il risultato probabile per chiunque sia stato risucchiato in questa truffa in primo luogo è che daranno ai truffatori una finestra completa di cinque minuti durante i quali gli aggressori possono provare ad accedere al proprio account e prenderne il controllo.
Il JavaScript utilizzato dai criminali sul loro sito esplosivo sembra persino contenere un messaggio che può essere attivato se la password della vittima funziona correttamente, ma il codice 2FA che hanno fornito no:
Il codice di accesso inserito non corrisponde a quello inviato al telefono. Si prega di verificare il numero e riprovare.
La fine della truffa è forse la parte meno convincente, ma serve comunque a spostarti automaticamente fuori dal sito truffaldino e a riportarti in un posto del tutto autentico, vale a dire il Centro assistenza ufficiale di Facebook :
Cosa fare?
Anche se non sei un utente particolarmente serio dei social media, e anche se operi con uno pseudonimo che non rimanda ovviamente e pubblicamente alla tua identità reale, i tuoi account online sono preziosi per i criminali informatici per tre motivi principali:
- L’accesso completo ai tuoi account sui social media potrebbe consentire ai truffatori di accedere agli aspetti privati del tuo profilo. Sia che vendano queste informazioni sul dark web, sia che ne abusino, la loro compromissione potrebbe aumentare il rischio di furto di identità.
- La possibilità di pubblicare tramite i tuoi account consente ai truffatori di diffondere disinformazione e notizie false sotto il tuo buon nome. Potresti finire espulso dalla piattaforma, bloccato fuori dal tuo account o in guai pubblici, a meno che e fino a quando non puoi dimostrare che il tuo account è stato violato.
- L’accesso ai contatti scelti significa che i truffatori possono prendere di mira in modo aggressivo i tuoi amici e la tua famiglia. I tuoi contatti non solo hanno molte più probabilità di vedere i messaggi che provengono dal tuo account, ma sono anche più propensi a prenderli seriamente in considerazione.
In poche parole, consentendo ai criminali informatici di entrare nel tuo account di social media, alla fine metti a rischio non solo te stesso, ma anche i tuoi amici e la tua famiglia, e persino tutti gli altri sulla piattaforma.
Cosa fare?
Ecco tre suggerimenti rapidi:
- SUGGERIMENTO 1. Tieni traccia delle pagine ufficiali “sblocca il tuo account” e “come gestire le sfide relative alla proprietà intellettuale” dei social network che utilizzi. In questo modo, non dovrai mai fare affidamento sui link inviati via e-mail per orientarti in futuro. I trucchi comuni utilizzati dagli aggressori includono violazioni del copyright inventate; violazioni inventate di Termini e Condizioni (come in questo caso); affermazioni fasulle di accessi fraudolenti che è necessario esaminare; e altri falsi “problemi” con il tuo account. I truffatori spesso includono una certa pressione temporale, come nel limite di 24 ore rivendicato in questa truffa, come ulteriore incoraggiamento a risparmiare tempo semplicemente facendo clic.
- SUGGERIMENTO 2. Non lasciarti ingannare dal fatto che i collegamenti “click-to-contact” sono ospitati su siti legittimi. In questa truffa, la pagina di contatto iniziale è ospitata da Facebook, ma si tratta di un account fraudolento e le pagine di phishing sono ospitate, complete di un certificato HTTPS valido, tramite Google, ma il contenuto offerto è fasullo. Al giorno d’oggi, la società che ospita il contenuto è raramente la stessa delle persone che lo creano e lo pubblicano.
- SUGGERIMENTO 3. In caso di dubbio, non darlo in giro. Non sentirti mai sotto pressione per correre dei rischi per completare rapidamente una transazione perché hai paura del risultato se ti prendi del tempo per fermarti , per pensare e solo allora per connetterti . Se non sei sicuro, chiedi consiglio a qualcuno che conosci e di cui ti fidi nella vita reale, così non finirai per fidarti del mittente proprio del messaggio di cui non sei sicuro di poterti fidare. (E vedi SUGGERIMENTO 1 sopra.)
Ricorda, con il Black Friday e il Cyber Monday in arrivo questo fine settimana, probabilmente riceverai molte offerte autentiche, molte offerte fraudolente e un numero qualsiasi di avvisi ben intenzionati su come migliorare la tua sicurezza informatica in particolare per questo periodo dell’anno…
… ma tieni presente che la sicurezza informatica è qualcosa da prendere sul serio tutto l’anno: inizia ieri, fallo oggi e continua così domani!
Affida La Tua Sicurezza Informatica Agli Esperti Di Cybersecurity
Oltre 12.000 aziende utilizzano Sophos Managed Detection and Response
Il nostro team selezionato di esperti di threat hunting e risposta agli incidenti agisce rilevando ed eliminando per conto tuo anche le minacce più sofisticate. Si chiama Sophos MDR ed è il futuro della sicurezza informatica, che viene fornita “as a service”.
