Blog
Compliance and Archiving
Conoscere le minacce legate ai social network e imparare a proteggersi
Understanding Social Media Threats and How to Protect Against Them

Conoscere le minacce legate ai social network e imparare a proteggersi

Share with your network!
Roman Tobe

I social media e i social network costituiscono un ottimo modo, per le aziende, di interagire con i clienti. Non è un caso che i ricavi derivanti dalla pubblicità su Facebook e gli altri maggiori social siano in continua ascesa anno dopo anno. Negli Stati Uniti, ad esempio, hanno raggiunto quota 13,1 miliardi di dollari nella prima metà del 2018, con un incremento del 38% rispetto all'anno precedente.1 Non c'è da meravigliarsi che le aziende siano disposte a spendere così tanto nei social media e nei social network investendo su una buona campagna social. Basti considerare che nel solo 2018 gli utenti attivi nei social sono stati 3,2 miliardi,2 con numeri in continua ascesa.

Ma queste moderne piazze di incontro digitali, sono allo stesso tempo piene di pericoli. I cybercriminali si intascano 3,25 miliardi di dollari all'anno attraverso le truffe legate ai social network.3 La maggior parte delle aziende non ha né il tempo né i mezzi per monitorare, identificare e classificare tutte le minacce in cui si imbatte su Facebook, YouTube, Twitter, Instagram e LinkedIn. È troppo dispendioso per un'azienda fare questo lavoro da sola.

TIPI DI MINACCE SUI SOCIAL NETWORK AZIENDALI

Chiunque utilizzi i social media o i social network potrebbe diventare bersaglio dei cybercriminali – dai personaggi pubblici alle celebrità, dalle aziende alle persone comuni. I malintenzionati si servono di tutta una serie di trucchi e tattiche per raggiungere i propri obiettivi – che siano motivati da interessi economici o politici. Quindi come usare i social network per le aziende, come riconoscere i pericoli quando si presentano e come evitarli? Ecco un elenco delle più comuni4 tipologie di minacce che potrete incontrare:

  • Accesso all'account: Le credenziali di accesso ai social vengono trattate con troppa superficialità nella maggior parte delle aziende. Ogni volta che viene assunto nuovo personale, le password vengono condivise e gli ex dipendenti continuano ad avere accesso agli account del social network interno aziendale. E il livello presente di sicurezza sui social network non è sufficiente. Ad esempio, il fatto che Facebook colleghi gli account da amministratore agli account personali, rappresenta una vulnerabilità che potrebbe danneggiare l'azienda. Le organizzazioni devono assicurarsi che siano stabilite specifiche politiche di gestione delle credenziali aziendali e personali. Le conseguenze di una gestione superficiale delle password possono portare a perdere il controllo dei propri account, con effetti devastanti alla reputazione social di un brand.
  • Attacchi phishing contro i dipendenti: I truffatori possono spacciarsi per dirigenti d'azienda attraverso la creazione di falsi profili LinkedIn, per riuscire ad esempio a farsi trasferire denaro o soltanto per carpire informazioni sensibili. Solitamente in un'azienda vengono presi di mira i responsabili del dipartimento finanziario o della distribuzione. I malintenzionati sfruttano il fattore umano principalmente in due modi. In primo luogo cercano di carpire la fiducia spacciandosi per qualcuno che la vittima conosce, magari un cliente verso cui viene naturale essere ben disposti. In secondo luogo, mettono pressione alla vittima, inducendo un senso di urgenza, aggirando il normale processo decisionale del bersaglio. Il truffatore potrebbe richiedere un bonifico urgente sul proprio conto o richiedere più semplicemente informazioni confidenziali attraverso cui perseguire i suoi intenti criminali.
  • Attacchi phishing contro i clienti: Anche nota come angler phishing, questa tecnica consiste nel creare account per l'assistenza clienti molto convincenti e aspettare che i clienti si rivolgano all'azienda per una richiesta di assistenza. Specifici strumenti di monitoraggio automatico dei social, consentono ai cybercriminali di tenere sotto controllo i vostri account aziendali, alla ricerca di potenziali vittime. Colpiscono di solito la sera o nei weekend, quando gli addetti all'assistenza clienti tendono a controllare meno le richieste di assistenza ricevute. Quando un truffatore nota che un vostro cliente vi ha contattato sui social, intercetta la richiesta di assistenza ed invia una pronta risposta dal proprio account del tutto simile all'originale e di conseguenza del tutto credibile. Dopodiché il malintenzionato inviterà l'ignaro utente a visitare una pagina web del tutto simile all'originale, dove verrà derubato delle sue credenziali di accesso.
  • Attacchi fisici contro dirigenti d'azienda: I tentativi di phishing per carpire credenziali di accesso, non rappresentano l'unica minaccia che può colpire una persona sui social. Il doxing è una pratica che consiste nel raccogliere e divulgare pubblicamente online le informazioni private e personali di un individuo, al fine di umiliare, spaventare o ricattare la vittima. Negli Stati Uniti, il doxing è considerato una forma di stalking ed è perseguito a livello federale e statale in relazione all'entità dei fatti e alla località in cui avvengono. I cybercriminali potrebbero, ad esempio, pubblicare sui social network informazioni personali relative ai dirigenti della vostra azienda, e una volta che tali informazioni vengono divulgate pubblicamente, possono essere utilizzate da chiunque per perseguitare o danneggiare queste persone.

SOCIAL NETWORK – RISCHI E PERICOLI PER GLI UTENTI COMUNI

Ora che avete un'idea di come agiscono i cybercriminali sui social network per perseguire i propri intenti malevoli contro singoli individui e organizzazioni, passiamo ad analizzare le minacce che colpiscono gli utenti comuni.

Le più comuni si basano su tecniche di ingegneria sociale che fanno leva ad esempio sul desiderio degli utenti, di accaparrarsi sconti, offerte, coupons per prodotti o servizi, ma che in realtà si rivelano soltanto delle esche per portare gli utenti su pagine malevole. In altri casi i cybercriminali si spingono anche oltre, proponendo le loro truffe, dopo aver contattato direttamente gli utenti con messaggi privati sui social.

Questo genere di truffe include spesso:

  • Download gratuiti di film
  • Proclami del tipo “Lavora da casa – metodi per fare soldi facilmente”
  • Falsi coupon
  • Voli aerei gratuiti

PROTEGGERSI DALLE MINACCE LEGATE AI SOCIAL NETWORK: LE REGOLE BASE

Esistono diversi modi per difendere la vostra azienda e i vostri dipendenti dalle minacce legate ai social network. Vediamone alcuni:

  • Abilitare l'autenticazione a due fattori per proteggere i vostri account social e strumenti o servizi ad essi legati, oltre che le vostre password. Questa verifica aggiuntiva vi farà arrivare un sms o un'email con un codice di verifica se qualcuno tenta di effettuare il login da un dispositivo o un indirizzo IP non riconosciuto.
  • Se attivate l'autenticazione a due fattori, vi sarà chiesto di fornire un codice di accesso o di confermare il vostro tentativo di login ogni volta che qualcuno proverà ad accedere a Facebook da un dispositivo fisso o mobile non riconosciuto o semplicemente vi verrà notificato il tentativo di accesso.
  • Invitate gli addetti alla sicurezza della vostra azienda a coordinarsi con il reparto addetto ai social network in modo da avere una visione più ampia di come la vostra azienda interagisce con i social. Partendo da lì, gli esperti della sicurezza saranno in grado di predisporre delle misure di sicurezza adeguate per mitigare le minacce legate ai social networks.
  • Preparate un inventario in cui terrete traccia di tutti gli account social della vostra azienda – sia ufficiali che non ufficiali. Prendete in considerazione l'utilizzo di strumenti automatici per monitorare e tracciare qualsiasi nuovo account creato.
  • Una volta che avete creato un inventario, identificate i social network manager e tutti coloro che hanno accesso ad account, applicazioni o servizi. Assicuratevi che chiunque abbia le credenziali di accesso, sia effettivamente autorizzato ad accedere.
  • Semplificate l'amministrazione. Iniziate col ridurre il numero degli amministratori dei vostri account, scegliete password sicure e utilizzate soluzioni per la memorizzazione e gestione delle password. Considerate di estendere anche agli account social, lo stesso servizio SSO (single sign-on) con cui gestite l'accesso a email, applicazioni e reti.
  • Riducete il numero di applicazioni per i social di terze parti, soprattutto quelle utilizzate per pubblicare post e commenti dai vostri account. In questo modo mitigherete il rischio che gli hackers prendano possesso degli account utilizzandoli per pubblicare contenuti inappropriati.
  • Implementate una soluzione in grado di monitorare automaticamente i vostri account social, alla ricerca di eventuali anomalie che possano indicare attività sospette da parte dei cybercriminali.

Se volete saperne di più su come proteggere al meglio i vostri dipendenti e la vostra azienda dalle minacce legate ai social network, visitate la pagina:

1 https://www.proofpoint.com/it/products/digital-risk-protection/social-media-protection
2 https://blog.hootsuite.com/social-media-advertising-stats/
3 https://www.bleepingcomputer.com/news/security/social-media-attacks-generate-325-billion-for-crooks-each-year/
4 https://www.proofpoint.com/sites/default/files/pfpt-en-how-to-stop-social-media-hacks-whitepaper.pdf

Next Blog Post