Diverse piattaforme di social media, tra cui Twitter e Discord, stanno assistendo a un’ondata di schemi di phishing per indurre gli utenti a cedere i loro account. Questi truffatori minacciano gli utenti con accuse di abuso dell’account e altre tattiche intimidatorie.
Malwarebytes Labs, una piattaforma di cybersicurezza, ha trovato 2 schemi di phishing come questi nell’ultima settimana. Le piattaforme di social media, in particolare Twitter e Discord, sono state prese di mira da questi schemi di phishing.
La truffa di phishing su Twitter ha utilizzato i messaggi diretti (DM) per indurre gli utenti a fornire i propri dati di accesso. In un primo momento hanno accusato l’utente di aver violato i termini di servizio e di aver usato parole d’odio. Successivamente, hanno chiesto agli utenti di autenticare i loro account per evitare che venissero sospesi. Se si segue la procedura, si viene reindirizzati a un falso centro di assistenza in cui vengono chieste all’utente le informazioni di accesso.
La campagna di phishing di Discord invia agli utenti messaggi attraverso i loro amici o l’account di qualsiasi sconosciuto, accusandoli di aver violato le regole di un server, come l’invio di immagini esplicite. Il messaggio contiene un link al server e all’utente viene richiesto di accedere utilizzando un codice QR. Secondo MalwareBytes, se l’utente esegue questa operazione, il suo account verrà preso in consegna dai truffatori.
Il CEO di SlashNext, Patrick Harr, mette in guardia gli utenti da questi attacchi di phishing, affermando che sono molto più intelligenti delle truffe di phishing tradizionali. Sfruttano la paura per far muovere la vittima prima che si chieda se la cosa sia sospetta. Si dice che queste siano le più pericolose tra le truffe di ingegneria sociale.
Patrick Harr continua dicendo che i truffatori motivano gli utenti di Discord e Twitter minacciando la loro attività, il loro stato o il loro profilo personale. Questo è ciò che li rende così efficaci.
L’obiettivo principale è quello di dirottare la vittima utilizzando tattiche psicologiche e rubare i suoi conti bancari o altri dati personali. Inoltre, l’accesso all’account di un dipendente sui social media dà accesso a informazioni sui dati dell’intera azienda e fa trapelare molte informazioni.
James McQuiggan, consulente di KnowBe4 per la sensibilizzazione alla sicurezza, afferma che molto spesso le truffe di phishing si basano sulle emozioni degli utenti, creando un senso di urgenza e facendo in modo che questi prendano decisioni sbagliate. Ad esempio, nelle truffe di phishing via e-mail che si basano sulla paura e sull’urgenza, gli utenti non si preoccupano di controllare preventivamente il mittente o il link. Questo li rende suscettibili agli attacchi di phishing.
Lo stesso vale per le truffe su Twitter e Discord avvenute la scorsa settimana. Gli utenti sono stati minacciati di sospendere o bannare i loro account. Questo spinge l’utente a cliccare sul link e ad aprire un sito web falso che sembra esattamente la pagina di login ufficiale della piattaforma.
Pressare le vittime affinché agiscano rapidamente e forniscano le loro informazioni prima che notino qualcosa di sospetto sembra essere la strategia perfetta per queste truffe di phishing. Nel caso di Twitter, l’utente verrebbe colto alla sprovvista dal contraccolpo della sospensione del suo account a causa dell’incitamento all’odio. Questo impedisce all’utente di notare eventuali segnali di allarme.
Gli attacchi di phishing sono estremamente pericolosi per i lavoratori a distanza, soprattutto perché non hanno interazioni con i loro colleghi di persona. Questo li rende molto dipendenti dalle piattaforme dei social media e dagli spazi di lavoro digitali.
I criminali informatici possono facilmente verificare dove e in quale posizione lavora un determinato utente utilizzando Twitter o LinkedIn per indirizzare le loro truffe.
Secondo Patrick Harr, per contrastare queste truffe negli spazi di lavoro online e nei lavoratori remoti, l’organizzazione dovrebbe impiegare una formazione sull’ingegneria sociale e misure di sicurezza aggiuntive.
Le organizzazioni dovrebbero inoltre implementare una protezione contro il phishing mobile per tutti gli account personali e aziendali.
Infine, il fatto è che le truffe di phishing non si estingueranno mai e anzi miglioreranno ulteriormente grazie alla tecnologia DeepFake. Ma come accade per ogni nuova invenzione, essa presenta lati positivi e negativi.
