Il phishing sui social media si riferisce a un attacco eseguito attraverso piattaforme come Instagram, LinkedIn, Facebook o Twitter. Lo scopo di tale attacco è sottrarre dati personali o ottenere il controllo di un account sui social media.
I social media sono diventati onnipresenti come l'aria che respiriamo. Facebook, Instagram, Twitter e una miriade di altre piattaforme vengono utilizzati dalle persone per restare in contatto con i loro amici e familiari, rimanere aggiornati sulle ultime notizie, fare nuove conoscenze e comunicare con il mondo.
Le aziende li usano per mantenere i clienti informati sulle ultime offerte di prodotti, sugli eventi e sulle attività di marketing e per attirare nuovi clienti. Questo rende i social media una piattaforma attraente per i malintenzionati che intendono eseguire attacchi di phishing. Strumenti come Hidden Eye o ShellPhish rendono questi tipi di attacchi di phishing facili quanto eseguire un'applicazione.
Le informazioni raccolte dagli hacker includono credenziali di accesso all'account di social media, informazioni sulla carta di credito e dati personali su una persona che potrebbero essere utilizzati per lanciare altre truffe e attacchi.
Instagram è una popolare piattaforma di condivisione di foto e testi. Gli instagrammer a livello mondiale utilizzano questa piattaforma come una sorta di video-diario per condividere attività e momenti quotidiani.
Un attacco di phishing su Instagram inizia quando un hacker crea una falsa pagina di accesso a Instagram. Al fine di ingannare l'utente, queste pagine fittizie sono create per assomigliare il più possibile al sito reale. Quando un utente fornisce il proprio ID e la password Instagram alla pagina fasulla, tali credenziali vengono acquisite dal malintenzionato. L'utente viene quindi rediretto alla pagina di accesso di Instagram corretta per l'autenticazione, ma il danno ormai è fatto. Con in mano le credenziali Instagram dell'utente, l'attaccante ha pieno accesso al suo account.
Se l'utente usa quelle stesse credenziali per accedere ad altri siti di social media o, peggio ancora, al suo conto corrente bancario, il malintenzionato potrebbe potenzialmente accedere anche a tali account.
Una volta che l'hacker ha accesso all'account Instagram di un utente, può usarlo per spiarlo. L'hacker può anche fingere di essere l'utente legittimo e richiedere informazioni personali a tutti i suoi amici e follower. Naturalmente, l'hacker copre ogni traccia cancellando i messaggi fraudolenti.
Elevando l'attacco al livello successivo, l'attaccante può assumere la totale proprietà dell'account Instagram. L'hacker può modificare le informazioni personali, le preferenze e persino cambiare la password, impedendo così l'accesso all'utente originale in modo permanente.
LinkedIn è la piattaforma di networking professionale più utilizzata al mondo. Gli hacker inviano email, messaggi LinkedIn e collegamenti agli utenti nel tentativo di indurli a divulgare informazioni sensibili, dati di carte di credito, informazioni personali e credenziali di accesso. Il malintenzionato potrebbe entrare nell'account LinkedIn di un utente per spacciarsi per esso e inviare messaggi di phishing ai suoi contatti per raccogliere dati personali.
È anche possibile che l'hacker invii email che sembrano provenire direttamente da LinkedIn. Ciò è possibile a causa del fatto che il sito ufficiale di LinkedIn utilizza diversi domini email legittimi, tra cui linkedin@e.linkedin.com e linkedin@el.linkedin.com. Ciò rende difficile mantenersi aggiornati sui domini autentici rispetto a quelli fasulli che potrebbero essere utilizzati da un aggressore.
Lanciato all'inizio degli anni 2000 e con oltre 2,9 miliardi di utenti attivi a livello mondiale, Facebook è il re di tutte le moderne piattaforme di social media. Siti come Friendster e MySpace lo hanno preceduto, ma Facebook ha definito il modello per il modo in cui le persone e le imprese si mettono in contatto con amici, familiari e clienti.
Un tipico attacco di phishing su Facebook viene lanciato attraverso un messaggio o un link che chiede di fornire o confermare le proprie informazioni personali. Trasmesso tramite un post di Facebook o attraverso la piattaforma Facebook Messenger, è spesso difficile distinguere un messaggio legittimo di un potenziale amico da un tentativo di phishing.
I dati raccolti attraverso un tentativo di phishing su Facebook danno agli aggressori le informazioni di cui hanno bisogno per ottenere l'accesso all'account Facebook dell’utente. L'utente potrebbe ricevere un messaggio che lo informa di un problema con il suo account Facebook e che lo invita ad accedere per porvi rimedio.
Questi messaggi includono un comodo collegamento che porta a un sito molto simile a quello di Facebook. Una volta che l'utente accede a questo sito web impostore, gli viene chiesto di accedere. Da questo momento in poi l'hacker è in grado di acquisire le credenziali. Bisogna prestare attenzione all'URL per essere certi di essere reindirizzati a www.facebook.com. Qualunque altra cosa rischia di essere un falso.
Mentre Facebook è commercializzato come un modo per tenersi in contatto con amici e familiari e LinkedIn è usato come uno strumento di creazione di connessioni per i professionisti, Twitter consente di interagire con persone che mai incontrate nel mondo reale. Questo livello di comfort adottato dagli utenti nelle interazioni con gli estranei ha reso Twitter una piattaforma popolare per gli attacchi di phishing.
Gli hacker che operano su Twitter utilizzano le stesse tattiche e tecniche di quello operato sulle altre piattaforme di social media. Un malintenzionato invierà messaggi falsi facendo in modo che appaiano come inviate da Twitter. Questi messaggi tentano di convincere l'utente a divulgare informazioni sensibili come le credenziali di accesso, le informazioni personali e persino i dati della carta di credito. Twitter ha chiarito che invia email agli utenti solo da due domini: @twitter.com o @e.twitter.com.
Questi attacchi di phishing possono portare ad altri attacchi correlati, incluso l'attacco "pay for followers". In questo metodo di phishing, si ricevono messaggi dagli hacker che affermano di fornire un numero specifico di "follower" per il modico prezzo di cinque dollari. La condivisione delle informazioni personali e del numero della carta di credito apre la porta agli hacker affinché possano prelevare fondi dal conto dell'utente e/o accedere all’account Twitter e continuare la truffa sfruttando la lista dei follower.