Mondo
L’ultimo episodio in ordine di tempo a sollevare il dibattito sulle pericolose conseguenze dello spear-phishing sui social network è stato il falso tweet partito ad aprile scorso dall’account ufficiale dell’Associated Press, che annunciava due esplosioni alla Casa Bianca e il ferimento del presidente Barack Obama. Messaggi cui sono seguiti momenti di panico che hanno contagiato le Borse, fino alla smentita ufficiale da Washington e alla sospensione dell’account (@AP) da cui è partito il messaggio.
Tra le vittime illustri di questa sofisticata forma di phishing che mira a specifici obiettivi individuali o aziendali, anche il quotidiano inglese The Guardian, la BBC, Al Jazeera, la CBS, E! Online.
In seguito a questa escalation di attacchi ai grandi gruppi editoriali di tutto il mondo, dietro i quali pare ci sia sempre lo stesso gruppo hacker – autodefinitosi ‘Esercito Elettronico Siriano’ – Twitter ha lanciato una serie di linee guida per aiutare gli utenti a difendersi e ridurre i rischi di un hackeraggio dell’account.
Il social network invita a “ridurre la vulnerabilità al phishing dei computer aziendali con misure di sicurezza più forti, designare un solo computer all’uso di Twitter per impedire che la password si diffonda su diversi dispositivi, evitare di navigare sul web e leggere la posta da quello stesso computer”.
Per prevenire ulteriori rischi, Twitter ha anche annunciato il test di un sistema di autenticazione a due fattori che richiede, oltre alla consueta password, l’uso di un secondo device (di solito uno smartphone) sul quale viene invitato, via SMS o APP, un codice generato casualmente da inserire durante il log in.
Secondo gli esperti del Centro Ricerche ESET, uno dei principali produttori di software per la sicurezza digitale, queste raccomandazioni potrebbero tuttavia non essere sufficienti per prevenire gli attacchi, in quanto non tutti gli account Twitter vengono attaccati con phishing o spear-phishing.
“Gli hacker possono inviare falsi tweet anche quando riescono ad attaccare una sessione non cifrata, dunque talvolta le violazioni della sicurezza sono dovute a errori e superficialità da parte degli stessi utenti”, spiegano gli esperti.
Che fare allora?: “Si può ridurre il rischio connettendosi tramite VPN o accedendo ai siti via SSL, sebbene questo possa rendere il processo meno immediato. Può inoltre essere utile non avere l’account Twitter permanentemente aperto in background mentre si lavora ad altro, anche se questo potrebbe risultare scomodo per molti utenti che usano i social network”.
In definitiva per ESET “che si tratti di spear-phishing o meno, l’unico modo per rendere più difficile il lavoro degli hacker è l’accurata formazione e consapevolezza dell’utente”. (a.t.)