Il Web non è un posto sicuro, i social network lo sono ancora meno. Così verrebbe da pensare ad inanellare in rapida successione gli eventi degli ultimi giorni. Prima l’esposizione dei dati di Facebook (erano stati in verità sottratti già nel 2019, e nei giorni scorsi sono stati pubblicati), con le informazioni di 36 milioni di account italiani rubati e diffusi, poi quella di 500 milioni di profili Linkedin (sono circa 21 milioni i profili degli italiani potenzialmente sul mercato) con l’esposizione delle informazioni relative a ID, nominativi completi, indirizzi email, numeri di telefono, collegamenti ad altri profili Linkedin e a quelli di altri social media, titoli professionali e altre informazioni lavorative inserite nei propri profili dagli utenti.
Non è certo proponibile associare a questi eventi anche l’attacco ransomware ad una delle piattaforme più diffuse nella scuola utilizzata come registro elettronico – quella di Axios, che potrebbe essere ripristinata solo nei prossimi giorni (dopo oltre una settimana) -, ma è di sicuro lungimirante aprire gli occhi e prendere atto che le vulnerabilità dei servizi digitali si pagano care, riguardano tutti e, come confermano analisti ed esperti, saranno proprio i servizi digitali, di qualsiasi tipo, gli obiettivi prioritari del crimine.
Il problema presenta diverse sfaccettature. Per esempio, nel caso dell’esposizione dei dati “rubati” dai social network e delle relative credenziali sono da valutare le possibilità di utilizzo per sferrare ulteriori attacchi, ma anche i possibili furti di identità.
Disporre di credenziali aggiornate permette di elevare il livello di efficacia degli attacchi phishing e quindi, a cascata, di replicare il ciclo di attacchi ransomware alle aziende. Nel caso specifico, quello dell’attacco a Linkedin – non è chiaro se i profili esposti siano quelli più aggiornati o si tratti anche in questo caso di esposizione di dati precedenti – la possibilità comunque di sfruttare informazioni accurate come sono quelle inserite nei profili professionali, rappresenta un’esca doppia.
I rimedi per l’utente finale sono sempre di scarsa consolazione: una volta verificata l’effettiva “esposizione” di dati e account attraverso il servizio gratuito sul sito disponibile su Cybernews.com, che ha segnalato per primo la vendita nel dark web dei profili Linkedin, sarà consigliato almeno cambiare la password di accesso ma anche rivedere per esempio impostazioni e privacy, per un minimo di consapevolezza, e per prendere atto di tutte le possibilità a disposizione cui non sempre si bada e si presta attenzione.
Il “valore della merce” la dice lunga. In questo caso per appena due dollari è possibile scaricare due milioni di record offerti “come prova”, ad un prezzo simbolico, dall’autore del post su un forum hacker attraverso il quale è emersa l’esposizione, mentre per avere accesso all’intero database è richiesto il pagamento di circa 1.800 dollari.
E’ facilmente intuibile quindi come operare nel cybercrime sia oggi alla portata di “tanti”. Nel caso di Linkedin poi non si parla nemmeno di data breach ma dell’utilizzo di una tecnica di Web scraping e quindi di estrazione di dati da un sito per mezzo di specifici programmi software che simulano la navigazione umana facendo uso di bot.
Decisamente tempestivo in Italia l’intervento del Garante che, sul caso Facebook, aveva già richiesto una serie di interventi ai social network per limitare i rischi ed ora ha aperto un’istruttoria su Linkedin (anche tenuto conto di come l’Italia sia tra i Paesi con il più alto numero di iscritti alla piattaforma), avvertendo da una parte gli utenti del social network e tutti gli utenti interessati dalla violazione di “prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account”.
Per esempio è importante verificare l’improvvisa assenza di campo in luoghi dove normalmente il cellulare ha una buona ricezione; potrebbe essere questo il segnale dell’utilizzo fraudolento del proprio numero di telefono da parte di malintenzionati che possono aver chiesto e ottenuto il trasferimento del numero su un’altra Sim all’insaputa del legittimo proprietario. Così come è fondamentale “diffidare di eventuali messaggi di testo provenienti dal numero di telefono di persone anche conosciute, con richieste di soldi, aiuto o dati personali”.
I dati infatti “potrebbero essere utilizzati per una serie di condotte illecite, che vanno dalle chiamate e dai messaggi indesiderati sino a minacce gravi come le truffe on line o il furto di identità” o a fenomeni come il cosiddetto Sim swapping, una tecnica utilizzata per violare determinate tipologie di servizi online che usano il numero di cellulare come sistema di autenticazione. Il Garante infine avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che “il loro eventuale utilizzo è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati, ricorda il Garante, comporta conseguenze, anche di carattere sanzionatorio”.
© RIPRODUZIONE RISERVATA