Chiunque abbia qualche anno sulle spalle avrà avuto modo di vedere lettere con la cosiddetta “truffa alla nigeriana”, un raggiro che circola da anni, cominciato prima con tradizionali lettere inviate via posta e poi sfruttando le più moderne mail, con truffatori alla ricerca di boccaloni pronti a fare da prestatomi per aiutare uno sconosciuto che (ma guarda un po’!) non riesce a sbloccare un fantomatico conto in banca da milioni di dollari e ha bisogno del nostro aiuto, un raggiro nel quale cadono ogni anno migliaia di persone, senza che le autorità possano davvero fare qualcosa per fermare il fenomeno.
Il sito TheNextWeb racconta che i truffatori sono diventati sempre più abili al punto da riuscire a ingannare persino esperti in cybesicurezza che per loro natura dovrebbero essere diffidenti. Il trucco usato dai cybercriminali è quello di individuare relazioni tra le persone, tenendo conto di post e commenti sui social, un sistema responsabile solo nel primo trimestre del 2022 del 52% di attacchi di phishing che hanno sfruttato LinkedIn.
Quelle che in gergo si chiamano motivazioni psicologiche dell’obbedienza alle autorità, spingono la maggiorparte delle persone a rispondere a una richiesta se questa proviene da persone più in alto nella nostra sfera sociale o gerarchia lavorativa, un elemento del quale i truffatori sono ben consapevoli. I cybercriminali non devono faticare molto per trovare legami nelle strutture aziendali e mandare mail del tipo: “Sono XXX dell’ufficio YYY” inviando richieste in nome dei buoni rapporti con i colleghi.
Gli scammer sfruttano dati ottenuti da LinkedIn e altri social per guadagnare la fiducia della vittima, attirandola con esche che portano a rivelare informazioni, trasferire denaro, ottenere documenti, ecc. I social media rendono facile creare mail credibili usando quello che in gergo si chiama spear phishing: i cybercriminali raccolgono minuziosamente informazioni riguardanti la vittima (tipicamente un impiegato di una azienda specifica) inviando a un certo punto mail con allegati o documenti dannosi con lo scopo di diffondere malware più pericolosi nella rete della vittima, aiutando i cybercriminali a individuare ciò di cui hanno bisogno.
Con tecniche di questo tipo sono state attaccate grandi aziende, banche e personalità influenti, con reparti (es. PR, vendite, risorse umane) che ricevono ogni giorno tantissime mail e non sempre adottano cautele nel maneggiare documenti provenienti da fonti esterne.
Le tecniche più efficaci per difendersi da questo tipo di phishing sono le stesse valide per tutte le altre tipologie di attacchi (non fidarsi ciecamente di qualsiasi mail che arriva, non aprire allegati potenzialmente dannosi, verificare le intestazioni dei messaggi, non fornire informazioni a chicchessia) ma sono altresì necessarie misure organizzative, formando i dipendenti a riconoscere i trucchi dei cybercriminali e a combatterli, elemento imprescindibile nella lotta contro le minacce informatiche.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.