L’attività sui social media espone molti utenti a una serie di minacce cyber. Secondo i risultati di un report “How to Hack a Human” della società di sicurezza informatica Tessian, oltre tre quarti delle persone pubblicano informazioni sui Social che potrebbero renderle vulnerabili a un attacco cyber.
I ricercatori di Tessian hanno rilevato che l’84% delle persone pubblica sui propri account Social ogni settimana, con il 42% che pubblica ogni giorno. Molte di queste persone, inconsapevolmente rivelano informazioni che potrebbero aiutare gli hacker a lanciare attacchi di social engineering o a prendere il controllo dell’account. Tra i comportamenti più pericolosi è emerso che il 50% delle persone condivide nomi e foto dei propri figli; il 72% menzionato le celebrazioni del compleanno e l’81% aggiorna il proprio stato lavorativo sui Social media.
Il report è il risultato di un sondaggio fra 4.000 professionisti di Regno Unito e Stati Uniti e delle interviste con gli hacker della comunità HackersOne.
Il 55% degli intervistati ha dichiarato di avere profili pubblici su Facebook e solo il 32% ha una pagina Instagram privata.
Gli hacker intervistati hanno spiegato che i criminali cyber utilizzano i post sui social per identificare gli obiettivi e poi effettuare attacchi social engineering altamente mirati e convincenti.
Ad esempio, gli hacker possono mettere nel mirino i nuovi membri di LinkedIn con frodi di phishing impersonando un dirigente senior di un’azienda, che probabilmente non ha mai incontrato. I criminali cyber possono anche utilizzare la conoscenza di una persona del network di amici della quale il bersaglio si fida, al fine di rassicurarlo e convincerlo a inviare denaro o a condividere le credenziali dell’account.
“La maggior parte delle persone è molto generosa di particolari in fatto di condivisone online”, ha affermato Harry Denley, un hacker, esperto di sicurezza e anti-phishing presso MyCrypto. “Si può trovare praticamente qualsiasi cosa. Anche se non riesci a farlo pubblicamente, è abbastanza facile creare un account e entrare nella cerchia di amici”.
Il report ha anche rilevato che le e-mail out-of-office (OOO) vengono utilizzate per creare attacchi di social engineering. Il 53% dei dipendenti afferma di comunicare nelle e-mail il tempo esatto in cui sarà fuori sede, il 51% fornisce anche informazioni utili al contatto personale e il 42% spiega dove andrà durante il periodo di assenza.
“I messaggi OOO, se sufficientemente dettagliati, possono fornire ai cyber criminali tutte le informazioni di cui hanno bisogno per impersonare la persona che è fuori sede, senza dover svolgere attività particolarmente sofisticate”, ha affermato Katie Paxton-Fear, docente di cybersecurity presso la Manchester Metropolitan University e membro della comunità HackerOne.
Gli attacchi di social engineering stanno diventando sempre più frequenti, secondo Tessian. I dati della piattaforma dell’azienda hanno rivelato che sono aumentati del 15% nella seconda metà del 2020, rispetto ai sei mesi precedenti, mentre anche gli attacchi di frode telematica sono aumentati del 15%. L’88% degli intervistati ha dichiarato di aver ricevuto almeno una e-mail sospetta nel 2020. Inoltre, solo il 54% degli intervistati presta attenzione all’indirizzo e-mail del mittente durante il lavoro e meno della metà verifica la legittimità degli allegati o dei link presenti.
“L’aumento delle informazioni disponibili pubblicamente rende il lavoro di un hacker molto più semplice di un tempo”, ha affermato Tim Sadler, co-fondatore e CEO di Tessian. “Sebbene tutte queste informazioni possano sembrare innocue prese singolarmente – un post di compleanno, un aggiornamento sul proprio stato di lavoro e altro – gli hacker le metteranno insieme per creare un quadro completo dei loro obiettivi e rendere le truffe il più credibili possibile. Gli hacker hanno tempo, non vanno di fretta. Oltre a proteggere i dati, bisogna fare in modo di aiutare le persone a capire come le informazioni personali pubblicate sui Social possano essere utilizzate contro di loro attraverso attacchi di phishing, se vogliamo impedire ai cyber criminali di proliferare e continuare ad hackerare gli esseri umani”.
