Il phishing sui social media è una forma di attacco informatico che utilizza i siti di social network anziché le e-mail. Sebbene il canale sia diverso, l'obiettivo è lo stesso: indurti a fornire le tue informazioni personali o scaricare un file dannoso.
I social media sono i preferiti dai criminali informatici perché non c'è carenza di vittime. E grazie all'ambiente affidabile, esiste una miniera d'oro di dati privati che possono utilizzare per lanciare un successivo attacco di spear phishing.
Ecco come lo fanno su alcune delle piattaforme più popolari.
Facebook è il terzo marchio più comunemente impersonato per gli attacchi di phishing. Con oltre 2,6 miliardi di utenti in tutto il mondo, è facile capire perché. La piattaforma offre una miriade di profili e messaggi brulicanti di informazioni personali che i phisher possono sfruttare.
Gli attacchi a Facebook sono spesso mirati ai consumatori e non tanto alle grandi organizzazioni. I phisher utilizzano l'ingegneria sociale per indurre le vittime ignare a esporre i propri dati.
Fingono di essere di Facebook e inviano e-mail agli utenti su un avviso di sicurezza, ad esempio. Da lì, agli utenti viene chiesto di accedere ai propri profili Facebook e modificare la password. Vengono quindi inviati a una falsa pagina di accesso di Facebook dove vengono raccolte le loro credenziali.
In che modo il phishing prende di mira i tuoi amici
Se hanno accesso al tuo account, possono lanciare una rete più ampia vittimizzando i tuoi contatti. Possono anche utilizzare le informazioni che i tuoi amici condividono con te in una campagna di spear phishing più mirata.
I phisher useranno il tuo account per inviare messaggi o pubblicare uno stato con un collegamento dannoso. E poiché i tuoi contatti si fidano di te, c'è una maggiore possibilità che ci facciano clic.
Cos'è il Phishing Angler?
Questo è un tipo di phishing che utilizza i social media ma ha un MO più sofisticato. Si rivolgono agli utenti che pubblicano (per lo più invettive) su un servizio o sul proprio account. Gli aggressori fingono di provenire dal fornitore di servizi, quindi inviano all'utente un collegamento per mettersi in contatto con un rappresentante del servizio clienti.
I truffatori utilizzano tecniche di phishing per ingannare le vittime. Scopri come individuare gli attacchi di phishing e restare al sicuro online.
Ma hai indovinato: il link porta a un sito falso per raccogliere informazioni.
Quella che era una galleria di selfie ora è un'attività multimilionaria utilizzata dai più grandi marchi e influencer del mondo.
Come i phisher su Facebook, quelli che sfruttano Instagram inviano e-mail agli utenti avvisandoli di un avviso di sicurezza. Ad esempio, potrebbe essere un messaggio su un tentativo di accesso da un dispositivo sconosciuto. L'e-mail ha un collegamento che invia gli utenti a un sito falso in cui vengono raccolte le informazioni di accesso.
Una volta ottenuto l'accesso, avranno una miniera d'oro di informazioni personali da sfruttare in diversi modi. Un sinistro attacco, ad esempio, implica il ricatto di te o dei tuoi amici minacciando di trapelare foto che hai condiviso in privato o tramite Instagram Direct Messenger (IGdm) se non cedi nelle loro richieste.
Che cos'è una truffa per violazione del copyright?
Se i phisher mettono le mani su account aziendali, in particolare quelli verificati, possono lanciare campagne di phishing più insidiose tramite IGdm.
Un account verificato per la filiale di una grande azienda in Cile, ad esempio, è stato segnalato dagli utenti nel giugno 2020 per l'invio di messaggi di phishing.
Il messaggio ha avvisato gli utenti di una violazione del copyright in un post. Il resto del messaggio diceva: "Se ritieni che la violazione del copyright sia sbagliata, dovresti fornire un feedback. In caso contrario, il tuo account verrà chiuso entro 24 ore. " Il link per il feedback era ovviamente una falsa pagina Instagram che raccoglieva le informazioni di accesso.
Che cos'è una truffa con badge blu?
Niente sembra più legittimo di avere quell'ambita spunta blu. Anche i phisher sfruttano questo.
Una truffa di phishing su Instagram prevede l'invio di un'e-mail agli utenti che offre loro un badge certificato. Una volta che gli utenti fanno clic sul pulsante "Verifica account", vengono indirizzati a una pagina di phishing dove verranno raccolte le loro informazioni personali. Il più delle volte, gli influencer e gli utenti "Insta-famosi" sono presi di mira per questo tipo di attacco.
Check-out la nostra guida su come ottenere la verifica su Instagram per aggirare quei truffatori.
La piattaforma principale per la comunità imprenditoriale mondiale utilizzata da oltre 700 milioni di professionisti è anche un obiettivo preferito dei phisher.
Le persone si fidano di LinkedIn più di qualsiasi altro sito di social networking secondo a rapporto sulla fiducia digitale. È anche più probabile che gli utenti pubblichino dettagli sul proprio lavoro, rendendoli un obiettivo primario per attacchi di spear phishing e caccia alle balene.
Una delle più crudeli campagne di phishing sui social media è un file attacco che prende di mira le persone in cerca di lavoro su LinkedIn. I criminali informatici si atteggiano a reclutatori e contattano gli utenti per un annuncio di lavoro falso tramite LinkedIn Messaging.
I phisher ti attirano dicendo che il tuo background è perfetto per il ruolo che stanno cercando di ricoprire. Lo renderanno ancora più irresistibile con un pacchetto di risarcimento aumentato.
Vedrai un link che dice il phisher contiene tutti i dettagli sul lavoro. In alternativa, potrebbero inviare un allegato in Microsoft Word o Adobe PDF da scaricare.
Sembra eccitante, soprattutto per qualcuno che cerca lavoro. Ma i collegamenti ti portano a una pagina di destinazione falsificata e il file di Word ha macro per lanciare malware. Quest'ultimo potrebbe rubare i tuoi dati o aprire una backdoor al tuo sistema.
RELAZIONATO: Come bloccare qualcuno su LinkedIn
Esistono due richieste di contatto false più comuni. Il primo vede gli utenti che ricevono un'e-mail che li avvisa di una richiesta di contatto. Questo viene fornito con un collegamento che porta a una falsa pagina di accesso a LinkedIn.
Il secondo è più complicato: implica la creazione di account falsi e l'invio di richieste di connessione dall'interno di LinkedIn. Una volta accetti l'invito, i phisher hanno accesso a maggiori informazioni nel tuo profilo ed essere un passo più vicino a tutti i tuoi collegamenti.
Possono quindi inviare un messaggio di phishing o utilizzare le tue informazioni per lanciare attacchi più mirati ai tuoi contatti. Essere il tuo 1st-degree contatto dà loro anche più credibilità facendo sembrare il loro profilo più legittimo.
State tutti attenti alle informazioni che pubblicate sui social media. Soprannomi, insegnanti, colori preferiti, scuole, DOB, città natale, animali domestici sono tutte domande in un test della password dimenticata. So che i post di catena sono interessanti e tutto tranne il phishing è una cosa. I truffatori adorano i social media per questo. Stai attento. 🖤
- MELISSA MEDINA 🔜 #IWOCon (@melissamedinavo) 10 novembre 2020
Per proteggerti da questi tipi di attacchi, non fare clic sui link all'interno di email e messaggi diretti. Ricontrolla la fonte. Anche se sembra che il messaggio provenga da qualcuno di cui ti fidi, è possibile che il suo account sia stato compromesso.
Chiama prima la persona per assicurarti che sia reale, in particolare se il messaggio contiene allegati che ti viene chiesto di scaricare.
Controlla sempre l'URL dei siti web che visiti. Gli hacker producono URL falsificati modificando una o più lettere dell'URL di siti Web noti. Possono anche utilizzare lettere simboliche per assomigliare alle lettere originali. Passa il mouse sui link per esaminare l'intero URL, che dovrebbe apparire nella parte inferiore del browser.
Ricorda che la corrispondenza ufficiale dei social network e di altre organizzazioni non verrà mai da nessuno che utilizzi indirizzi email con nomi di dominio @gmail o @yahoo.
Altri segni rivelatori a cui prestare attenzione sono errori tipografici e grammaticali o messaggi che ti affrettano ad agire. Quest'ultimo è progettato per causare paura o panico, quindi non avrai tempo per pensare.
Se ti esponi ad attacchi di phishing sui social media, rischi i tuoi amici e i tuoi cari, poiché gli hacker possono utilizzare il tuo account come gateway per raggiungerli.
Fortunatamente, un po 'di cautela e buon senso aiutano a proteggerti.
Qui ci sono diversi modi in cui la tua identità può essere rubata sui social media. Sì, i truffatori possono rubare la tua identità su Facebook!
- Social media
- Sicurezza
- Phishing
- Fregature
- Sicurezza in linea
Loraine scrive per riviste, giornali e siti web da 15 anni. Ha un master in tecnologia dei media applicata e un vivo interesse per i media digitali, gli studi sui social media e la sicurezza informatica.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.
