Approfondimenti /

Linkedin e Sicurezza: attenzione ai truffatori con profili accattivanti e sexy ma sospetti

Linkedin e Sicurezza: attenzione ai truffatori con profili accattivanti e sexy ma sospetti

06 Aprile 2016 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
Truffatori che si spacciano per esperti di computer per penetrare abilmente le difese dei loro utenti e poi dei loro dispositivi non sono certamente una novità. Nuovo e potenzialmente più pericoloso è però l’uso che alcuni di essi ora fanno di social network professionali come Linkedin, usati per assumere una legittimità e comunicare una professionalità finalizzate a guadagnare la fiducia delle persone e delle potenziali vittime da truffare.

Linkedin, un network professionale non privo di rischi

Tutto nasce da semplici tentativi di contatto avviati attraverso una telefonata, una email o comunicazioni attraverso il social network.

Il motivo della chiamata è di comunicare la disponibilità di servizi di assistenza e al tempo stesso di verificare, attraverso una serie di domande ben mirate, l’esistenza o meno di problemi nell’utilizzo dei computer di casa o in dotazione. La chiamata può terminare, nella stragrande maggioranza dei casi,  immediatamente e in modo brusco, con un immediato ingaggio o con la condivisione di informazioni per un contatto futuro e i riferimenti disponibili in rete per verificare legittimità, referenze e professionalità del chiamante.

Foto di Carlo Mazzucchelli

Le truffe più diffuse continuano a essere quelle generate con il phishing sia attraverso messaggi di posta elettronica sia attraverso pagine Web. A seguire ci sono le truffe su Facebook e quelle dei siti di appuntamenti online o legate ai cuori solitari ma le truffe non nascono soltanto online e non sono sempre e solo digitali. Le truffe più subdole sono quelle che usano approcci misti come semplici telefonate che si camuffano abilmente da telefonate tecniche o di call center e mirano a creare un rapporto diretto, basato sulla voce e sulla ingannevolezza della comunicazione verbale umana per creare una qualche forma di contatto umano e di relazione.

L’aspetto digitale della truffa è legato alla costruzione di siti web truffaldini e fasulli e di profili digitali non collegabili ad alcuna persona reale ma così professionali, completi e perfetti da trarre in inganno anche i più informati e acculturati degli utenti. Negli Stati Uniti hanno calcolato che le telefonate truffaldine siano quasi 90 milioni ogni mese, una ogni 2200 telefonate, con un aumento del 35% negli ultimi due anni.

Le difficoltà nell'individuare le truffe potenziali

La difficoltà nel capire quali siano le telefonate a rischio deriva dal loro numero e dal atto che spesso sono attivate da macchine intelligenti programmate ad hoc. Le telefonate più insidiose sono però quelle che offrono una qualche forma di servizio tecnico e i cui mittenti si spacciano per tecnici del customer service di importanti aziende tecnologiche come Microsoft, Apple, HP, ecc. e che spiegano il motivo della chiamata come legato alla scoperta di virus che avrebbero infettato determinati tipi di computer o piattaforme.

La difficoltà aumenta se le persone che chiamano sono in grado di indicare tutta una serie di informazioni utili a verificare la loro legittimità come profili social, pagine Web costruite ad hoc nelle quali ad esempio si parla delle infezione da virus oggetto della telefonata, contenuti rubati ai siti Web ufficiali delle Aziende usate come biglietto da visita, ecc. Il tutto è fatto per superare le barriere difensive di utenti più o meno sospettosi o sgamati che chiedono tempo per informarsi meglio e per conquistare più facilmente la loro fiducia.

Foto di Carlo Mazzucchelli

Ci si può sempre difendere prendendo tempo (nulla è mai così urgente da richiedere azioni immediate), ponendo molte domande cercando di capire quante delle risposte siano già state previste, usate e programmate, non impegnandosi mai in pagamenti o transazioni fornendo dettagli di carte di credito o conti correnti ed evitando qualsiasi forma di ingaggio nella forma di contratti o sottoscrizione di servizi e infine riportando immediatamente alle autorità di polizia il tentativo di truffa, anche quando è solo percepito.

Le truffe dall'interno di Linkedin

Il profilo professionale Linkedin non è solo usato per vestire di professionalità l’originatore di una chiamata tecnica telefonica ma anche per costruire nuove reti e connessioni direttamente all’interno del social network di Linkedin con l’obiettivo di carpire utili informazioni, entrare in contatto, farsi conoscere ed eventualmente costruire delle relazioni.

A essere a rischio truffa non ci sono più soltanto i profili e gli account di Facebook ma anche quelli professionali di Linkedin. Chiunque sia dotato di un profilo Linkedin non deve più ritenersi al sicuro, anzi deve aumentare il suo livello di attenzione con l’obiettivo di evitare collegamenti e contatti con profili all’apparenza perfetti per il proprio profilo ma in realtà molto pericoli perché truffaldini. I profili dei truffatori professionali sono più pericolosi di quelli delle numerose fanciulle che mettono in mostra le loro bellezze con profili quasi sempre legati al marketing e alla comunicazione e con studi quasi sempre compiuti in università inglesi e seguiti da conseguimento di Master in economia più o meno importanti e di eccellenza.

La truffa su un social network professionale come Linkedin è ben congegnata e costruita da truffatori professionisti dotati di cultura media o elevata e come tali capaci di trarre in inganno manager e dirigenti d’azienda con profili professionali importanti e che fanno un uso diffuso e avanzato delle funzionalità di Linkedin per migliorare e coltivare le loro opportunità e aspirazioni lavorative.

Foto di Carlo Mazzucchelli

Il profilo Linkedin

Il profilo Linkedin truffaldino punta alla massima visibilità e si presenta come una vera e propria pagina Web capace di attrarre traffico, legittimarsi attraverso una rete di contatti e di promuovere iniziative e attività percepibili come vantaggiose e degne di una sperimentazione o prova immediata online.

I tentativi di truffa su Linkedin sono diventati un disturbo per chiunque disponga di un profilo, costruito appositamente per sfruttare i benefici della rete entrando in contatto con persone sconosciute e mai incontrate prima. Queste reti per essere utili devono superare di gran lunga il numero di Dunbar che indica in 150 il numero massimo di persone con cui ogni individuo può interagire. Dal numero e dal bisogno di continuare a farlo aumentare nascono i rischi da cui possono derivare le potenziali truffe.

Premesso che difendersi dalla ambiguità intrinseca della Rete e dei suoi oggetti è missione quasi impossibile, ci sono alcune buone pratiche che potrebbero aiutare a evitare precipizi e disavventure varie (per saperne di più si possono visitare le numerose risorse online come il portale di Internet Crime Complaint Center (IC3).

Le buone pratiche a cui affidarsi e coltivare

Alcune di queste buone pratiche prevedono comportamenti quali quelli che seguono:

  • Fare particolarmente attenzione alle richieste e agli inviti: due sono i rischi potenziali, uno senza immediate conseguenze, il secondo immediatamente pericoloso. Il primo si presenta come una richiesta proveniente da profili fasulli, il secondo gestito attraverso un’attività di phishing condotta al di fuori di Linkedin ma che chiede la conferma di connessione attraverso una pagina Web. Per evitare il secondo meglio non confermare mai una richiesta Linkedin o Facebook direttamente dall’interno di un’e-mail. Un modo per cercare di capire se si tratta di una richiesta valida si può passare il mouse sul bottone per accettare l’invito e verificare l’URL. Qualsiasi sospetto suggerisce di evitare il click. Un URL valido dovrebbe cominciare con ‘https://www.linkedin.com’ ma è sempre meglio andare su Linkedin e verificare dal suo interno le eventuali richieste.
  • Non tutti i cacciatori di teste lo sono realmente: si sta su Linkedin sperando o ricercando nuove opportunità di lavoro. L’urgenza del bisogno o l’emozione di un salto di carriera abbassa le difese e getta molti nelle braccia di cacciatori di teste fasulli, truffaldini che usano Linkedin per costruire le loro reti di contatti e mirare a profili sui quali esercitare la truffa, con la responsabile ed emotiva collaborazione di chi li ha involontariamente aiutati. Tra le truffe vanno segnalate anche le proposte di lavori altamente retribuiti o lavori da svolgere da casa.

Foto di Carlo Mazzucchelli

  • Le truffe accadono per negligenze varie: molte truffe vedono le vittime come corresponsabili del truffatore, ad esempio per non avere prestato la dovuta attenzione alla configurazione del proprio account di Linkedin definendo attentamente i vincoli legati alla privacy e all’uso del profilo. Un modo per proteggersi è di diventare meno visibili attraverso opportune configurazioni della privacy del profilo. Cosa non semplice perché Linkedin è diventato nel tempo un vero e proprio labirinto con bottoni nascosti o difficili da trovare. Uno dei luoghi da visitare è associato al link Privacy Settings > Communications che può essere usato per discriminare chi può inviare inviti e richieste di collegamento. Ogni scelta comporta limiti, vincoli e rischi e deve essere fatta coerentemente con le motivazioni che guidano le attività dentro il professional network.
  • Meglio verificare sempre con attenzione ogni profilo: in questo caso si tratta di potenziali truffe generate dopo la creazione di appositi profili truffaldini o criminali usati per l’invio di richieste di amicizia. Questi inviti sfruttano la diffusa e corretta percezione degli abitanti del professional network di Linkedin costruiti sul numero dei contatti perché legato ai sei gradi di separazione di Erdos e alle regole della teoria delle reti e dei grafi. S e si accetta la connessione il rischio rimane minimo fino a quando si intavola una qualche forma di conversazione e interazione via email o chat. L’esistenza di un numero crescente di profili fasulli non deve incidere nell’uso di Linkedin ma suggerire un’attenzione maggiore nel verificare la validità del profilo dei ogni richiedente o mittente. Nell’azione di verifica conviene prestare attenzione a quanto segue:
    • Richiesta proveniente da persone con profili completamente diverso da quello del destinatario
    • Richieste successive provenienti da persone con nomi e profili tra di loro simili
    • Profilo con poche o pochissime connessioni
    • Profilo con esperienze di lavoro che mostrano carriere tanto luminose quanto troppo rapide per essere vere
    • Assenza di riferimenti di contatto
    • Profilo incompleto o lacunoso nelle parti compilate
    • Errori linguistici, grammaticali, sintattici
    • Assenza di una foto personale sostituita da un logo o immagine
    • Profili legati al mondo bancario, finanziario e borsistico
    • Località di provenienza spesso associata a paesi nord-africani
    • Un numero limitato di endorsement (raccomandazioni)
    • Limitata presenza in gruppi Linkedin
    • Testo usato per descrivere posizioni lavorative copiato da profili professionali reali
    • Attenzione anche ai profili ben fatti e completi, la truffa è diventata un’arte che si esprime anche attraverso la qualità dei profili e dei loro contenuti

    Foto di Carlo Mazzucchelli

  • Evitare con cura di cadere vittime di frodi associate a promesse, contratti e vincite varie: i social network si prestano per tutti i tipi di frodi già note e documentate perché avvenute più volte in Rete. Queste truffe si presentano anche all’interno di uno spazio virtualmente (potenzialmente) protetto come Linkedin nelle forme che tutti hanno ormai imparato a conoscere:
    • Richieste con promesse di guadagno
    • Richieste con scopi di amicizia, di avventure sentimentali e proposte a sfondo sessuale
    • Messaggi che segnalano la vincita improbabile di milioni di euro e che chiedono di fornire i dettagli bancari per accrediti che mai verranno completati
“I was surfing through when i came across your sweet profile, i must confess you sure do have a lovely and interesting page on here, have you been lucky to meet someone special on here? Have a blessed evening, hope to hear from you soon.”
  • Mai condividere o confermare le credenziali di accesso anche se richieste da Linkedin: può capitare di ricevere una email il cui mittente è un account amministrativo di Linkedin. La legittimità del mittente è resa tale dalla presenza nella email delle credenziali di accesso all’account personale di Linkedin unitamente alla richiesta di cambiarle. Nel caso avvenisse meglio non cadere nell’inganno. Si tratta di una attività di phishing resa possibile ad esempio dal furto delle credenziali da parte di una azione di hackeraggio. Il problema si è già presentato dopo un furto di informazioni perpetrato da parte di hacker russi.
  • Mai fornire informazioni diverse dalla email: su Linkedin qualsiasi richiesta di informazioni diverse da quelle della posta elettronica indicano una provenienza truffaldina e tipicamente di spam
  • Se si è stati truffati agire immediatamente: inviando una email a safety@linkedin.com per segnalare l’accaduto, rimuovere l’eventuale mssaggio che ha dato origine alla truffa e monitorare con un antivirus il proprio computer per eliminare eventuali cookie o software maligni installati

Foto di Carlo Mazzucchelli

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


GoalGames

Vai al profilo

Mobile App

Mobile app offre una serie completa di apps per tablet e smartphone B2B e B2C, la sua b.u...

Vai al profilo

Consoft Sistemi S.p.A.

Web & Digital Technology, Big Data, IoT & Telemonitoring

Vai al profilo

Doxinet srl

Doxinet è un’azienda capace di adattarsi alle esigenze del mercato, in grado di...

Vai al profilo