Tabulario /

Likedin, un acquario speciale per pescatori sempre più attrezzati

Likedin, un acquario speciale per pescatori sempre più attrezzati

25 Settembre 2016 Carlo Mazzucchelli
Carlo Mazzucchelli
Carlo Mazzucchelli
share
Per il mio tredicesimo e-book sulla tecnologia ho deciso di concentrarmi sulle numerose truffe di cui sono vittime migliaia di individui ma anche aziende e organizzazioni, siano esse private o pubbliche. La riflessione ha fatto uso delle metafore della pesca immaginando che tutti gli utenti della Rete e i possessori di dispositivi mobili siano rinchiusi all'interno din un grande acquario mondo nel quale vengono visti e trattati come semplici pesci da pescare. La pesca più proficua è a strascico e viene fatta da chi ha creato le condizioni e le piattaforme che alimentano la vita dell'acquario ma quella più pericolosa avviene all'interno dellacquario e vede all'opera un numero crescente di predatori, sempre più abili e attrezzati per ingannare, imbrogliare e impoverire le loro prede.

Il mio nuovo e-book uscirà prima della fine dell'anno, sempre nella collana Technovisions di Delos Digital. Quelli che segono sono alcuni appunti usati per dare forma a una prima bozza del capitolo assegnato a Linkedin.(L'immagine di copertina di questo articolo è di Aaron Jasinski


Frutto dell’implementazione dei principi e degli algoritmi delle teorie delle Reti, Linkedin ha da sempre favorito la costruzione di reti professionali personali permettendo, grazie ai suoi algoritmi, di ridurre i gradi di separazione, aumentare la prossimità e densità del profilo individuale rispetto a quelli degli altri e soprattutto di costruire nuove opportunità professionali.

A differenza di altri social network Linkedin è sempre stato un ambito più sicuro e protetto da attività criminali. Una sicurezza non più garantita e anzi messa a rischio da un aumento considerevole di attività che segnalano un uso anomalo e malevolo di alcune funzionalità per social network con l’obiettivo di ingannare, truffare e trarre vantaggi e benefici abusando della buona fede degli utenti di Linkedin.

Il social network professionale di Linkedin è come una balena, un pesce troppo grande per essere evitato e scartato da predatori sempre più attrezzati e soprattutto informati sulla potenzialità di rendimento di vittime che hanno e vantano ruoli chiave in aziende, università e organizzazioni o professioni di successo in ambiti di mercato ricchi e promettenti. Persone con profili ben diversi da quelli disponibili sui social network popolari e riferite a semplici persone come casalinghe, pensionati o ragazzini al di sotto dei tredici anni.

Su Linkedin può capitare di ricevere messaggi come quelli ricevuti da Jennifer, partner di Social Media Today e inviati da un contatto della sua rete personale, con un profilo di alto prestigio e responsabilità all’interno della Royal bank of Scotland. Il messaggio, lungo, preciso nel linguaggio e dettagliato nelle informazioni fornite, segnalava la disponibilità di una eredità milionaria chiedendo un contatto via email per confermare l’eventuale interesse e la disposnibilità all’incasso. Percepita la trappola Jennifer si è limitata a cancellare l’email e a segnalare l’evento a Linkedin. Questa è solo una delle numerose attività predatrorie che si manifestano sempre più frequentemente su Linkedin.

Un altro esempio di truffa usa la tecnica della proposta del lavoro da casa, solitamente inviata da profili che riportano a società di cacciatori di teste. La truffa si evidenzia al momento del mancato pagamento del lavoro effettuato, spesso una attività di call center con chiamate outbound, e con la quasi contemporanea sparizione del profilo del committente o datore di lavoro. Tipico della truffa su di Linkedin è l’uso di profili fasulli per richiedere un collegamento invitando la potenziale vittima a cliccare un link potenzialmente perisoloso o semplicemente per raccgliere informazioni personali.

Può anche capitare di ricevere proposte romantiche o promettenti avventure erotiche e sessuali. L’attacco più pericoloso è però quello mirato, studiato a tavolino e personalizzato dopo avere preso visione di profili professionali, spesso ricchi di informazioni perché usati come strumento di immagine da parte di persone di successo o con ruoli aziendali apicali, che suggeriscono teniche note come whaling (caccia alla balena o al pesce grosso), a volte progettate e praticate per colpire l’azienda per cui la vittima lavora o di cui è l’amministratore delegato  o il proprietario.

Il phishing e le varie modalità con le quali può essere praticato ricordano le tecniche di pesca a canna fissa con el sue varianti a fondo, a galla, ecc. L’obiettivo è sempre lo stesso ma la tecnica adottata tiene conto della diversità delle potenziali vittime e della loro maggiore o minore percepita abilità nel difendersi. Una di queste tecniche di phishing, riconducibile alla pesca a galla, consiste nel segnalare la presenza di email non lette nella casella di posta di Linkedin, la necessità di prestare loro immediata attenzione e nell’inviare un link diretto per farlo. L’email è corredato da una immagine di un edificio Linkedin per convalidare l’dentità del mittente ma non è inviato da Linkedin. E’ un semplice modo per convicere il destinatario del messaggio al click e per raccogliere le informazioni necessarie al login su una pagina web Linkedin, copia di quella originale. A differenza di quella standard la procedura di login prevede la compilazione di altri moduli con la richiesta di informazioni aggiuntive come numero di telefono e password della email con la spiegazione che verranno usati per segnalare in futuro nuovi messaggi da leggere. Se la procedura viene completata i predatori-pescatori disporranno di informazioni necessarie a prendere il controllo sia del profilo Linkedin sia dell’account di posta elettronica e con essi portare a termine altri attacchi criminali.

CONSIGLIATO PER TE:

SMISHING

La tecnica più abusata è la richiesta di nuovi contatti usando profili fasulli e costruiti ad arte per trarre in inganno le potenziali prede. L’obiettivo principale è l’acquisizione di informazioni personali come le credenziali di accesso da utilizzare successivamente per azioni di phishing. Le richieste sono spesso individuali e personalizzate, mirate (pesca a canna fissa) a persone con ruoli aziendali apicali come Amministratori Delegati o dirigenti di funzione e di unità organizzative. Per rendere plausibile la richiesta, i potenziali predatori e cybercriminali creano profili aziendali, in genere società per la ricerca di personale o agenzie di marketing a cui associare i profili fasulli creati per mostrare l’esistenza di una struttura aziendale con persone, ruoli e responsabilità distribuite. Uno dei primi esempi di attività di questo tipo è stato fatto risalire a una azione criminale partita dall’Iran mirata a colpire professionisti operanti nel mercato delle telecomunicazioni e delle amministrazioni pubbliche (ritenuti forse più vulnerabili e prede più facili da catturare).

Il successo dell’azione porta all’acquisizione di informazioni come email e numeri di telefono, vendibili nei meandri del deep web ai migliori offerenti, ma anche alla ricerca di altri profili che per la loro caratteristica possono essere scelti come target prioritari dell’attacco criminale. Entrati in possesso delle credenziali e dei profili di persone con ruoli manageriali in aziende medie e grandi, i cybercriminali possono puntare ad azioni di phishing mirate ai loro collaboratori e colleghi chiedendo loro di agire, ad esempio approvando trasferimenti di denaro, attivandosi in azioni legate al loro ruolo aziendale e già espletate precedentemente.

Un hacker può anche assumere l’identità di un partner o fornitori di un’azienda per inviare email contenenti allegati con malware o richieste che possono essere facilmente interpretate come normale routine ma che in realtà sono contraffazioni sopraffine di email e messaggi, percepiti come assolutamente normali per le richieste da evadere in essi contenute. Con tecniche di questo tipo i predatori di Carbanak, un’iniziativa di phishing identificata nel 2015 dai russi di Kasperky Lab e mirata alle istituzioni finanziarie, sembra avere truffato le loro prede rubando loro più di 500 milioni di denaro. La campagna ha coinvolto, nel ruolo di prede da pescare, dipendenti bancari con responsabilità legate ai protocolli e alla gestione degli ATM o bancomat.

La pericolosità dei profili fasulli di Linkedin sta nella vulnerabilità dei membri del social network e nella loro scarsa propensione e inesistente attenzione ai profili di chi chiede loro il collegamento. Una maggiore attenzione e una lentezza di riflessi prima di cedere all’urgenza del click immediato potrebbero permettere di evidenziare alcune caratteristiche di questi profili che li rendono sospetti. Ad esempio le foto sono sempre di persone, spesso di genere femminile, attraenti e interessanti anche da un punto di vista professionale, il curriculum è frutto di un copia e incolla di CV reali presenti altrove nella banca dati di Linkedin ed è arricchito di parole chiave, usate per convincere della plausibilità e dell’utilizzo reale del profilo, per essere visibile al motore di ricerca di Linkedin e farsi trovare.

La scelta di profili fasulli associati a cacciatori di teste non è casuale. Linkedin è nato come strumento da proporre alle numerose società di head-hunting del mondo fornendo loro la possibilità di avere database sempre aggiornati di potenziali candidati da usare per le loro attività di ricerca in nome di aziende e organizzazioni. L’interesse per il social network delle persone nasce dal desiderio di far parte di queste banche dati, di essere contattati dai cacciatori di teste e di avare nuove opportunità professionali. A queste forti motivazioni e grande disponibilità si affida il cybercriminale con la sua richiesta di collegamento ed eventuali proposte o conversazioni successive.

Secondo Symantec il numero di attacchi portati dall’interno di Linkedin sono in costante aumento così come crescono di numero e qualità i profili fasulli creati per operare in quasi tutti gli ambiti lavorativi rappresentati all’interno del social network. Il numero elevato dei contatti associati ad alcuni di questi profili evidenzia la loro efficacia e capacità attrattiva ma anche la credulità, la superficialità e la vulnerabilità di quanti popolano le reti professionali di Linkedin e hanno accettato la richiesta di connessione.

A caccia di profili Linkedin

La tecnica di pesca delle potenziali prede non prevede solo l’uso interno delle funzionalità di Linkedin ma sfrutta anche lo strumento della posta elettronica, ad esempio inviando richieste di contatto con allegati link, assolutamente uguali e facilmente confondibili,  che non portano sulle pagine del social network ma su siti web, creati ad hoc e con una durata limitata nel tempo per non farsi rintracciare, che scaricano sul computer del malcapitato e generoso professional networker malware e virus infettanti e pericolosi.

Tentativi di frodi di questo tipo, perpetrate a scapito di membri di Linkedin sono noti dal 2010 quando si scoprì in azione sul social network BlackHole, un kit basato su codice HTML e MySQL capace di scaricare un malware pericoloso come Zeus 2 su un dispositivo per rubare credenziali di accesso e informazioni personali. BlackHole è stato usato sia per frodare utenti Linkedin sia per ingannare i membri di un altro popolare social network del tempo come Plaxo.

La pericolosità di questo tipo di tecnica è evidenziata dalle statistiche effettuate dopo un attacco sui suoi effetti. Il 68% dei destinatari delle richieste di collegamento hanno cliccato sul pulsante falso di Linkedin. Una percentuale elevatissima determinata dall’abitudine che ha contagiato i frequentatori dei social network sempre pronti a cliccare senza alcuna riflessione sul gesto da compiere e sulle motivazioni per farlo. L’occhio e la mente vanno ormai all’azione da compiere, il cervello riconosce la forma e la struttura dell’email di Linkedin e l’occhio si focalizza immediatamente sul bottone che chiama urgentemente all’azione del click. Un gesto molto rischioso che avviene sempre più spesso senza alcuna verifica sull’autenticità, validità e utilità personale della richiesta ricevuta e senza una valutazione dei potenziali effetti collaterali o nel tempo. Una verifica e una valutazione richiederebbero tempo, una risorsa che sembra diventata scarsa da quando l’arco temporale è stato ristretto al Grande Presente (The Big Now) e alla sua urgenza. Nel 2010 tra le aziende prese di mira attraverso Linkedin ci sono state molte aziende importanti come Sony, Epsilon, RSA e la stessa Google.

Nel 2013 un profilo con l’accattivante e sorridente immagine di Jessica Reinsch ha portato centinaia di membri di Likedin a visitare un sito di appuntamenti online. Un sito collocato nella parte oscura della Rete, e predisposto per attacchi criminali e download di software maligno. La visita non era legata ad alcun malware ma probabilmente usata con finalità di ingegneria sociale per acquisire conoscenze utili ad attacchi futuri da perpetrare contro altri membri del network. Target di Jessica, un profilo regolarmente registrato come membro pagante e quindi con accesso a informazioni allargate, furono persone adulte, anziane e di sesso maschile ma anche direttori di funzione, senior manager e responsabili di progetto.

Nel 2015 è stata segnalata un’attività di pesca tentata in nome di Linkedin ma perpetrata da pescatori che hanno utilizzato un’esca intelligente per chiamare all’azione i membri di Linkedin. L’email segnalava l’esaurimento delle risorse di archiviazione (storage) disponibili associate al profilo chiedendo di cliccare un link con l’obiettivo di ristabilire la piena operatività. Sempre nel 2015 Symantec ha segnalato un attacco di cybercriminali finalizzato al furto di informazioni e credenziali di accesso attraverso email che recavano messaggi con richieste da parte del supporto tecnico di Linkedin di collaborare per apportare aggiornamenti necessari ai loro spazi personali onilne. Gli email contenevano allegati con codice HTML che comunicavano informazioni utili ad un aggiornamento legato alla sicurezza del profilo personale ma che in realtà era stato costruito per pportare l’utente su una pagina Linkedin fasulla e predisposta per catturare, in modalità phishing, le credenziali dell’utente ‘boccalone’ (su Linkedin nessuno può essere certo di non esserlo!).

Nel 2016 i predatori specializzati dell’acquario Linkedin hanno raffinato le loro tecniche e tattiche di pesca per pescare non solo semplici pesciolini ma soprattutto portare a riva delfini, megattere e grandi balene. A rivelare uno di questi attacchi è stata BLM, una società inglese di avvocati, che ha raccontato ai media il tentativo di estorcere denaro sia con attività di phishing sia attraverso chiamate telefoniche fatte da persone che si presentavano nel ruolo del direttore finanziario della società. L’attacco non è andato in porto grazie alle buone pratiche di vigilanza messe in opera anche nei confronti di uno strumento potente e utile come Linkedin, usato in questo caso come porta di accesso e chiave di truffe di tipo phishing e whaling. Le misure predisposte da BLM per difendersi da attacchi esterni evidenziano quanto sia diffusa la pratica della pesca digitale e quanto possa essere pervasiva e pericolosa. BLM ha calcolato di ricevere almeno 35000 allegati a settimana, cinquanta dei quali sono maligni, un numero basso ma potenzialmente esplosivo, soprattutto in assenza di opportune misure di prevenzione e protezione.

Operando all’interno di una rete professionale i cybercriminali devono dotarsi di strumenti adeguati per interagire con persone mediamente di cultura elevata e maggiormente informati sulla tecnologia. Nel giugno del 2016 è stata segnalata in Olanda una campagna di malware che ha evidenziato grandi abilità e capacità di comunicazione oltre che di coahing. La tecnica usata è stata l’invio di un testo in lingua olandese fornito sia come contenuto del messaggio sia in forma di allegato. Il testo era stato costruito in modo perfetto usando informazioni prese dai profili di Linkedin con l’obiettivo di renderlo più personalizzato possibile, convincente e capace di motivare il destinatario all’azione con l’apertura dell’allegato. Tutto è stato curato, il campo dell’oggetto del messaggio così come il nome dell’allegato associato a informazioni personali del destinatario prese dal social network. L’apertura del file allegato portava al download del malware Zeus Panda.

Un’indagine di NetSafe ha evidenziato come nei primi tre mesi del 2016 gli attacchi criminali che hanno avuto Linkedin come spazio di attività hanno generato una perdita di quasi seicentomila dollari in cinque attacchi di whaling. Un valore quasi uguale (612000 dollari) a quello generato nell’arco dell’intero 2015 con 12 diversi attacchi riusciti. I dati sono quelli che sono stati resi noti dalle vittime, ignoti sono invece quelli di attacchi simili ma rimasti sconosciuti. Ad essere cacciati e pescati sono state sia aziende private sia pubbliche, istituzioni governative e amministrazioni pubbliche. Le tecniche sono aggressive e vedono l’utilizzo di esche vive che impegnate in telefonate da call center per chiedere la conferma di un ruolo o titolo professionale e informazioni personali. Le prede prese di mira sono persone con profili Linkedin e con ruoli chiave per il raggiungimento degli obiettivi della truffa da perpetrare, spesso di tipo ransomware.

Le truffe possono avere forme e modalità creative sorprendenti ma essere anche perfide e subdole, in particolare se rivolte a persone nella necessità di lavorare e per questo alla ricerca costante di opportunità. Molte sono le persone che hanno avuto la disavventura di provare sulla loro pelle cosa significa trovarsi truffate per essersi entusiasmate e illuse di una proposta di lavoro rivelatasi poi inesistente. Linkedin non contiene solo cacciatori di teste. Molti di essi sono comunque da evitare, soprattutto quelli che, nella realtà fuori dall’acquario di Linekdin, non lo sono per nulla. Lavoratori con occupazioni precarie o in cerca di lavoro possono essere vittime di proposte di lavoro accompagnate dalla richiesta di fornire informazioni personali, nonostante esse siano già presenti su Linkedin con la scusa di doverle inoltrare all’azienda che ha commissionato la ricerca. E’ quello che è successo a Sara, una disoccupata americana, che ha ricevuto una proposta per un impiego in un’azienda alla ricerca di persone incaricate di ispezionare prodotti medicali e valutare il customer service delle farmacie. A distanza di breve tempo Sara ha ricevuto un assegno di 2500 dollari con la richiesta di depositarli sul suo conto corrente e poi di caricarli su una carta prepagata da inviare al mittente. A questo punto Sara ha deciso di segnalare il tentativo di truffa. L’azienda coinvolta nella proposta truffaldina di lavoro esisteva realmente con sede in Norvegia e ha confermato la truffa così come di averla segnalata per tempo a Linkedin.

Le storie e i casi arrivati alla ribalta della cronaca sono numerosi. Tutti segnalano la trasformazione di Linkedin in un luogo di pesca preferenziale per pescatori e predatori abili, preparati, creativi e operanti con tecniche studiate appositamente per tipologie ben definite di utenti. Per evitare di essere catturati non basta interagire con la tecnologia con maggiore attenzione ma anche tenersi informati sulla evoluzione delle tecniche criminali applicate ai social network e prendere le necessarie precauzioni.

Come evitare di essere pescati

.......nel libro saranno fornite numerose indicazioni utili per una frequentazione e un utilizzo di Linkedin più tranquillo e senza rischi!

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database