martedì 19 agosto 2008

Comunità virtuali e il phishing e lo spam personalizzato

MySpace, YouTube, Second Life o World of Warcraft rappresentano per i cyberpirati quello che la biblica manna rappresentò per gli ebrei nel deserto. Grazie a queste piattaforme infatti i pirati riescono a recuperare, praticamente senza colpo ferire, informazioni personali in quantità degli utenti iscritti a queste ecomunità virtuali, informazioni che utilizzano poi negli attacchi mirati contro gli stessi utenti, ad esempio tramite phishing o spam personalizzati.
Ogni iscritto a queste comunità virtuali divulga coram populo su sé stesso tutta una serie di informazioni, della cui importanza magari neppure si rende conto, ma di cui invece si rendono conto, benissimo, i cybercriminali, che le utilizzano per spiare i singoli utenti.
Con queste informazioni, il malintenzionato può ad esempio inviare un messaggio di phishing personalizzato con un falso mittente, ad esempio un amico o un conoscente del destinatario. Pensateci bene: una cosa è ricevere una mail strana da uno sconosciuto, che vi chiede di cliccare su un allegato o su un link inserito nella mail, una cosa è ricevere la stessa mail da una persona di vostra fiducia, un amico. In questo secondo caso le vostre difese inevitabilmente si abbassano. E' umano, lo so, e i cybercriminali lo sanno benissimo.
Non parliamo poi delle password. Molti appartenenti a queste comunità virtuali utilizzano password semplicissime, come il nome della figlia o la propria data di nascita, informazioni tutt’altro che segrete visto che molti le rendono note nel proprio spazio web. Per un cracker è facilissimo violarle. Capita anche che ci sia l’utente distratto che non ricordi più la propria password. Nella maggior parte dei siti Web, questo non rappresenta affatto un problema visto che, se viene persa la precedente, può essere richiesta una nuova password. Di solito, viene richiesto di rispondere ad una domanda segreta, come fornire il nome da nubile della madre. Se questo nome è visibile nel profilo o se la madre è presente nell'elenco degli amici virtuali dell'utente, il gioco è fatto: è possibile rispondere a questa domanda con la stessa facilità con cui si ruba un leccalecca a un bambino. Da qui a ottenere l'accesso ad un account PayPal o eBay in questo modo il passo è breve e molto più facile di quanto si possa pensare.