Negli scorsi giorni un report della società Group-IB ha messo in evidenza la mostruosa cifra di password trafugate nei soli primi 7 mesi del 2022 da 34 diversi gruppi di cyber-criminali.
50 milioni di password alla quale si aggiungono 2 miliardi di cookies, 114 mila crypto-wallet( portafogli elettronici contenenti crypto-valute) e 100 mila informazioni relative a carte di pagamento e credito.
Photo by regularguy.eth on Unsplash
A rendere degna di nota la questione non è tanto il numero di computer compromessi, circa 900 mila in giro per il mondo con preferenza europea per i device italiani e tedeschi, ma il fatto che gran parte delle vittime hanno subito due tipologie di attacchi differenti:
- Da una parte gli utenti con la prospettiva di acquisti vantaggiosi cadevano vittime di una truffa (Scam);
- Dall’altra i loro computer venivano compromessi e i dati trafugati rivenduti nel Dark-Web generando un mercato illegale di quasi 6 milioni di dollari.
E’ importante sottolineare che da questo genere di attacchi ci si può difendere senza aver necessità di competenze informatiche, non occorre capire di Cyber-Sicurezza, basta essere informati ed esercitare una sana e doverosa diffidenza.
Lo Scam non è altro che una vecchia e conosciuta tecnica usata dai truffatori di tutto il mondo. Lo schema classico è quello della Truffa del Pacco con mattone che ha fatto tante vittime tra gli sprovveduti turisti degli anni ’80/’90 e che ancora viene usata con successo.
Un venditore ad un angolo di strada proponeva videoregistratori a prezzi stracciati, mostrava la merce, tutto pareva in ordine, il turista si faceva ingolosire e acquistava senza accorgersi che il pacco visionato non era lo stesso che si stava portando a casa. Brutta sorpresa scoprire che il videoregistratore nuovo altro non era che un mattone.
L’aggiornamento digitale segue uno schema simile.
Photo by Victor Serban on Unsplash
Fase 1 – Preparare l’esca
I cyber-criminali pubblicano annunci molto interessanti che riguardano la vendita a prezzi incredibili di console, smartphone o altri beni molto ricercati. Sconti incredibili, pochi pezzi a disposizione, in poche parole il classico attacco di ingegneria sociale che stuzzica la curiosità e l’avidità dei consumatori.
Fase 2 – Conquistare la fiducia
Ingolosito dalla prospettiva di acquistare a basso prezzo qualcosa di desiderato l’utente clicca sugli annunci e si trova a navigare in siti che sembrano legittimi, curati, fatti bene, addirittura viene messa a disposizione una chat per contattare direttamente il venditore. Tutto molto professionale e cosi attraverso quella chat la vittima entra in contatto con i truffatori.
Fase 3 – Sfruttare la fiducia
Sino a questo punto l’unico elemento di “allarme” è rappresentato dalla straordinarietà dell’offerta, “troppo bella per essere vera” si potrebbe dire, però attenzione che se i truffatori se le giocano bene senza esagerare, in certi periodi dell’anno e in certe nazioni potrebbe non essere cosi semplice distinguere un’offerta falsa da una vera, ad esempio chi non ha visto sconti al 75% di giocattoli nei supermercati svizzeri dopo Natale? Io stesso ho acquistato online una Ps4 al 50% di sconto qualche anno fa.
Photo by Christian Wiediger on Unsplash
Il vero elemento dissonante che deve metterci sul “chi va là” è la strana richiesta di discutere i dettagli dell’acquisto e delle spedizione attraverso una comune app di messaggistica come, ad esempio, whatsapp.
Questo è un vero e proprio campanello d’allarme, qualcosa non quadra!
Fase 4 – Scatta la trappola
L’ignaro utente fornisce i dati richiesti per la spedizione e riceve un link al sito di un noto spedizioniere nel quale trova una pagina già compilata. Gli verrà richiesto di completare e verificare i dati e poi effettuare il pagamento. Peccato che quello sia una sito di phishing; sembra il sito del famoso trasportatore, ma non lo è.
Fase 5 – Compromettere il device della vittima
A questo punto la vittima non solo ha pagato per un bene che non gli verrà mai spedito, ma navigando su un sito di phishing, oltre ad aver fornito dei dati personali e di pagamento, può anche aver scaricato inconsapevolmente del malware permettendo ai cyber-criminali di avere accesso ai dati presenti sul device che verranno rivenduti del dark-web. Un attacco simile è stato alla base della compromissione di Uber della quale abbiamo parlato a settembre.
Photo by Lindsey LaMont on Unsplash
Per alcuni utenti non è finita, perché al danno si è aggiunta la beffa. Alcune vittime non vedendo arrivare la merce hanno ricontattato i truffatori. Scusandosi i cyber-criminali hanno proposto un rimborso inviando il link per richiederlo e autorizzarlo, ma ovviamente le vittime ignare non hanno fatto altro che autorizzare un nuovo addebito.
In conclusione ricordatevi che i siti di e-commerce mettono a disposizione uno scaffale virtuale dal quale selezionare i prodotti; non vi chiederanno mai di discutere i dettagli dell’acquisto al telefono o per app di messaggistica, quindi siete sempre diffidenti e affidatevi solo ad aziende ben conosciute.
Header Photo by Claudio Schwarz on Unsplash
