Social Network e cybercrime, oggi, purtroppo vanno a braccetto. Se pensiamo ad un’infrastruttura che ha radicalmente cambiato il modo in cui le persone interagiscono tra di loro o con i vari brand, ci viene in mente una sola parola, anzi due: Social Network. Hanno dato a tutti la possibilità di inviare e ricevere informazioni e dato vita ad un canale di comunicazione diverso da qualsiasi altro predecessore.
Ma, come in tutte le innovazioni, oltre agli innumerevoli “pro” ci sono anche dei “contro” da non sottovalutare e legati ai gravi rischi di sicurezza sia per gli utenti che per le aziende.
L’ultimo Breach Level Index di Gemalto ci afferma che gli incidenti dei social media hanno rappresentato oltre il 56% dei 4,5 miliardi di record di dati compromessi a livello mondiale nella prima metà del 2018. Secondo il report, infatti, durante i primi sei mesi del 2018, più di 25 milioni di registrazioni sono state quotidianamente compromesse o esposte. Inclusi dati medici, di carte di credito e / o dati finanziari o di identificazione personale.
Questo perchè oltre a consentire la distribuzione di contenuti falsi, le piattaforme di social media in genere favoriscono l’uso di profili falsi. Impersonando imprese legittime e persone reali, i criminali possono ingannare gli utenti portandoli a fornire loro dettagli personali o aziendali che possono essere utilizzati per crimini finanziari o furti di identità o per intraprendere azioni che danno loro altri benefici a spese delle vittime.
Sicurezza informatica ed il fenomeno BYOD
La crescente adozione dei dispositivi mobili, ha decisamente incrementato questi rischi. L’uso personale dei social media si è intrecciato all’uso aziendale degli stessi strumenti, a favore di una sovrapposizione di tecnologie e dispositivi personali ad infrastrutture aziendali.
Si tratta di conseguenze derivanti da un fenomeno nato circa 10 anni fa e chiamato BYOD (Bring your own device) in cui le persone accedono ai dati aziendali dai propri dispositivi per ricevere e visualizzare le email aziendali e i loro allegati e per interagire con i colleghi, i clienti o i fornitori con strumenti di messaggeria istantanea. Oltre che per accedere ai social network. Tra i principali rischi ci sono:
- Furto o smarrimento del dispositivo e conseguente perdita e/o diffusione dei dati aziendali in assenza di back up e se non ben cifrati.
- Riguardo l’uso di Social Network da app, non bisogna tralasciare i concetti “geolocalizzazione” e “profilazione”.
- Le app sono spesso progettate e sviluppate attenzionando maggiormente l’usabilità e meno il fattore sicurezza esponendo l’applicazione ed il device a dei rischi relativamente ad attacchi informatici mirati.
Le modalità di attacco sui social:
- Spray-or-pray: in cui il cybercriminale pubblica il maggior numero possibile di link infetti, con l’intento di ricevere anche solo un click o due per ciascuno. È una tecnica molto furba perché i contenuti pubblicati rispettano i Termini di servizio dei social network.
- Watering hole: il nome deriva dalle pozze d’acqua dove i cacciatori si appostano prima di cacciare le proprie vittime. È un tipo di attacco che ha come bersaglio un gruppo di persone, generalmente i dipendenti di una stessa organizzazione. Prima dell’attacco il criminale informatico diffonde dei malware su un sito web fortemente frequentato da quel gruppo di persone individuando tra essi le persone da infettare.
- Land-and-expand: con questo attacco, l’hacker colpisce in un primo momento gruppi di utenti specifici, per poi espandersi su altre persone che hanno dati demografici molto simili ai primi.
Ma a tutto c’è una soluzione
La risposta sta nell’ educazione. L’azienda potrebbe promuovere la sicurezza informatica stilando un regolamento aziendale in cui elencare le misure di sicurezza da configurare sui dispositivi personali dei dipendenti ed educarli così alle policy di Social Engineering.
Dall’altro canto i dipendenti potrebbero attenzionare maggiormente la privacy dei propri account social. Ad esempio assicurandosi che le proprie informazioni personali siano mantenute private o facendo regolamente ricerche per vedere se qualcuno ha aperto un account a proprio nome.
Riguardo gli account social aziendali, un’altra strategia è sicuramente collaborare con il team di cybersecurity presente in azienda per creare delle impostazioni di sicurezza adeguati.
Non è difficile immaginare che se un cybercriminale vuole attaccare un’azienda, consulti i profili Linkedin dei propri dipendenti, li cerchi sui social, invii una richiesta di amicizia e li attacchi seguendo una delle dinamiche di cui sopra.