I social network sono ormai diventati parte integrante della vita di moltissime persone, grazie alle interessanti funzionalità e ai numerosi vantaggi offerti in termini di relazione e condivisione. Grazie alla loro costante crescita, essi offrono grandi opportunità anche alle aziende che ne fanno sempre più uno strumento per attività promozionali, campagne aziendali e addirittura per il recruiting e l’head hunting. Chiunque voglia ampliare la propria copertura mediatica trova in questi strumenti un ottimo alleato. La mancata partecipazione ai social network oggi significa essere tagliati fuori dall’enorme flusso di informazioni e relazioni che essi sono in grado di veicolare con efficacia.
Come in tutte le cose, però, c’è un’altra faccia della medaglia. La forte evoluzione dei social network è stata per troppo tempo focalizzata sui servizi e sulle funzionalità, spingendo moltissimo verso la condivisione di informazioni e l’allacciamento di legami fra gli utenti. Gli sforzi profusi in questa direzione hanno penalizzato lo sviluppo di idonee misure di sicurezza, abituando gli utenti ad adottare comportamenti errati e pericolosi senza la giusta prevenzione.
Nella maggior parte dei social network la configurazione di base prevede che i contenuti siano sempre condivisi, perciò gli utenti devono agire sulle singole impostazioni per rendere privati i propri dati. Ultimamente i social network più conosciuti hanno investito sul potenziamento delle misure di sicurezza, introducendo nuove funzionalità di protezione. Ma la comunicazione delle nuove misure di sicurezza è stata sostanzialmente inefficace e la strada da percorrere per giungere ad un livello di sicurezza accettabile è ancora lunga.
Non dimentichiamo però che stiamo parlando di social network, ovvero strumenti di socializzazione, dove la condivisione, lo scambio e i rapporti costituiscono il cuore del sistema. La maggior parte di coloro che si iscrivono ad un social network vogliono appunto socializzare, stringere legami, trovare nuove amicizie e condividere informazioni ed esperienze. La misura di sicurezza più importante, quindi, consiste nell’aumentare il più possibile la consapevolezza, perché è l’utente che per primo deve scegliere quali impostazioni di protezione e privacy adottare sul proprio account e, soprattutto, quali contenuti pubblicare.
Dal punto di vista dei malintenzionati, più gente si iscrive e partecipa ai social network, più opportunità vengono offerte per perpetrare azioni criminali di diverse tipologie. A partire dal semplice spam, passando per la diffusione di virus, worm, bot, fino ai più pericolosi casi di furto d’identità, phishing, whaling, stalking, scam e social engineering. Fenomeni dannosi che, nelle forme più gravi, possono realmente rovinare la reputazione, la carriera e la serenità di un individuo.
Quanto sono frequentati i social network?
Facebook rappresenta il principale social network con quasi 800 milioni di utenti in tutto il mondo, dei quali circa 200 milioni si sono iscritti solo nel corso del 2011. Per fare un raffronto, gli utenti Facebook rappresentano un nono della popolazione mondiale. I siti integrati con Facebook sono circa 2 milioni e mezzo, mentre i contenuti condivisi ammontano a circa 30 miliardi al mese. Ogni utente ha in media 130 amicizie ed è iscritto a 80 fra pagine e applicazioni. In Italia gli utenti di Facebook sono circa 22 milioni, praticamente un terzo della popolazione complessiva, ma se escludiamo la maggior parte dei bambini fino a 12 anni e degli anziani, ci siamo praticamente tutti!
Il secondo social network è Twitter che conta circa 250 milioni di utenti (di cui circa 100 milioni attivi), con circa 500 mila nuovi utenti iscritti al giorno. Il volume dei contenuti condivisi ammonta a circa 200 milioni di tweet al giorno. In Italia gli utenti di Twitter sono circa 2 milioni, dei quali circa 400 mila attivi su base mensile.
Il terzo social network è costituito da LinkedIn, un network professionale che conta circa 110 milioni di utenti in tutto il mondo, seguito da MySpace (circa 70 milioni di utenti) e Google+ (circa 65 milioni ma in forte aumento).
Una ricca fonte di informazioni
Con una base d’utenza così ampia è abbastanza semplice immaginare quante opportunità vengono offerte ai numerosi malintenzionati alla ricerca di preziose informazioni per organizzare al meglio i propri attacchi in maniera più mirata.
Nel corso del terremoto e dello tsunami in Giappone, Twitter contribuì efficacemente a condividere informazioni in tempo reale e aiutò sia nelle operazioni di salvataggio che nelle successive raccolte fondi. Ma non impedì il verificarsi di casi di frode, come quello di un utente che, impersonando la croce rossa britannica, riuscì a dirottare diversi fondi tramite sistemi di pagamento online verso un proprio account personale.
Facebook, in particolare, è un’ottima fonte di informazioni per l’allestimento di attacchi di social engineering tagliati su misura per la vittima designata e con diversi scopi: furto d’identità, intrusioni, phishing, whaling, stalking e truffe in genere. Gli utenti dovrebbero sempre tenere a mente che Facebook trae i suoi profitti dalla pubblicità e dalle aziende inserzioniste, non dai suoi utenti. Ecco perché i suoi meccanismi sono fortemente focalizzati sulla massima interazione fra utenti, sulla condivisione dei contenuti e sulla loro diffusione al maggior numero di utenti possibile. L’aggiunta del riconoscimento facciale e il potenziamento del sistema di tagging aumentano gli effetti di questi fattori, aggravati ulteriormente dal pericoloso senso di fiducia indotto nell’utente dalle molte funzionalità a disposizione.
Il risultato più evidente è un grave abbattimento delle inibizioni nel concedere l’amicizia a soggetti sconosciuti o semi-sconosciuti, nell’iscriversi a gruppi con obiettivi e frequentazioni discutibili, nonché nell’autorizzare pagine e applicazioni di dubbia provenienza ad accedere ai propri dati. Non bastasse questo, spesso e volentieri è l’utente stesso che pubblica, inavvertitamente o inconsapevolmente, informazioni che in altre situazioni difficilmente sarebbe propenso a condividere con persone estranee. Da qui a condividere un segreto personale o aziendale con una nuova (sconosciuta) amicizia che casualmente condivide gli stessi interessi o analoghi problemi, il passo è veramente breve.
Provate a pensare a quante e quali informazioni normalmente vengono pubblicate su un profilo Facebook: nome e cognome, ovviamente, ma anche indirizzo e-mail (spesso coincidente con quello utilizzato per l’accesso), numeri telefonici, città di residenza, città e data di nascita (grazie alle quali è semplicissimo calcolare il codice fiscale!), studi, situazione sentimentale e nominativo della persona con cui si intrattiene il rapporto, preferenze su musica e programmi TV, attività ed interessi, note varie. Non solo. Un’attenta lettura della bacheca consente di ottenere preziosissime informazioni su abitudini, consuetudini, convinzioni personali, preferenze, commenti, affiliazioni, credenze religiose, interessi politici, eventi a cui si è partecipato o si parteciperà, grado di istruzione, proprietà di linguaggio e molto altro ancora. Per non parlare degli album fotografici che, oltre a tutte le informazioni già citate, illustrano l’aspetto generale, il volto, le preferenze nell’abbigliamento, viaggi, frequentazioni, atteggiamenti, famigliari, amici intimi, animali domestici, abilità particolari, sport praticati e molto altro.
Se poi queste informazioni vengono incrociate con i tweet pubblicati dall’utente su Twitter, con il suo profilo professionale ben particolareggiato su LinkedIn, con quanto pubblicato su MySpace o Google+ (giusto per citare i più popolari) e con tutte le altre informazioni eventualmente disponibili su altri servizi web (es. Flicker, Picasa, YouTube, ecc.), ecco che la mole e la qualità delle informazioni personali diventa enorme.
I rischi connessi all’utilizzo dei social network
Le informazioni che è possibile collezionare sono più che sufficienti per tracciare un profilo sociologico completo ed esaustivo della vittima al fine di intraprendere diverse tipologie di attacchi mirati da parte di malintenzionati. E su centinaia di milioni di utenti, potete stare certi che i malintenzionati non sono pochi! La pubblicazione dell’indirizzo e-mail, ad esempio, unita alla mole di informazioni aggiuntive spesso utilizzate per generare la propria password di accesso e per le domande di verifica, facilita enormemente il lavoro del ladro d’identità professionista. Così come il profilo tracciato consente ad un perfetto estraneo, in possesso di spiccate abilità di social engineering, di impersonare facilmente un amico, un collega o un semplice conoscente della vittima con l’obiettivo di ottenere ulteriori informazioni personali sensibili, di introdursi nel suo personal computer o di allestire attacchi mirati di phishing e whaling.
Uno stalker troverà altresì interessante sapere che tutti i lunedì e il giovedì alle 21.00 può attendervi all’uscita dalla piscina o dalla palestra, oppure scoprire dove si trova la vostra abitazione. Se si viene contattati da un soggetto che ha i nostri stessi interessi, frequenta la stessa palestra, ha fatto il nostro stesso viaggio o alloggiato nel medesimo albergo, oppure conosce bene alcuni nostri amici, probabilmente si è più inclini a condividere con lui informazioni che normalmente ci guarderemmo bene dal rendere pubbliche ad un perfetto sconosciuto. Informazioni che potrebbero servire a completare al meglio il profilo sociologico che questo soggetto ha precedentemente tracciato su di noi, con chissà quali obiettivi. Un ladro d’appartamenti, infine, sarà facilitato nel sapere in quali orarie siete sicuramente fuori di casa.
Le tipologie di attacco informatico
In aggiunta ai rischi generati dalle informazioni pubblicate sui nostri account, sono in agguato anche i rischi derivanti da un certo numero di minacce tecnologiche sempre più diffuse nei social network. Facebook, ad esempio, è un veicolo costantemente sfruttato per portare attacchi di tipo cross-site scripting (XSS), clickjacking, survey scams e malware in genere.
Uno dei metodi preferiti dai criminali è quello di utilizzare post con titoli particolarmente interessanti e irresistibili come “guarda questo video, troppo forte, ci sei anche tu!”, “scopri chi sta guardando il tuo profilo”, “ragazza balla in webcam e si schianta contro il muro, troppo divertente!”, “il video censurato di Lady Gaga”, “il video dello tsunami in Giappone!” e altri contenuti con riferimenti espliciti a sesso, fatti di cronaca rilevanti e altri argomenti di attualità. Cliccando sul link di questi post si viene indirizzati verso pagine web camuffate o del tutto simili a quelle di Facebook in cui viene richiesto di copiare una porzione di codice JavaScript sulla barra degli indirizzi del proprio browser (XSS), di installare un plugin mancante per poter vedere un ipotetico video o di compilare un questionario (survey scam) prima di accedere al contenuto promesso.
Un altro tipo di attacco consiste nel clickjacking (detto anche likejacking o UI redressing) tramite pagine web apparentemente innocue che riportano finti pulsanti per attivare le funzioni “share” e “like” di Facebook, ma che in realtà inducono l’utente ad inserire le proprie credenziali di accesso o a rivelare altre informazioni riservate. E non è finita qui, perché l’ottenimento dell’accesso al vostro account viene successivamente sfruttato per distribuire post malevoli a tutti i vostri contatti, che cadranno a loro volta nella trappola vedendo arrivare tali post dal vostro account e contribuiranno a propagare a dismisura le opportunità di furto di informazioni e d’identità.
Queste operazioni possono provocare anche l’installazione silente e inavvertita di malware sul proprio personal computer, in particolare worm, spyware, bot e keylogger, ovvero software che consentono di prelevare informazioni riservate dal disco fisso, di tenere traccia di tutte le azioni eseguite dall’utente, di scaricare e installare altro malware o di far partecipare il computer della vittima a vere e proprie botnet utilizzate per portare attacchi informatici a terze parti.
Anche gli altri social network non sono esenti da minacce. Twitter, ad esempio, pur essendo un formidabile strumento di informazione in tempo reale, soffre di due importanti debolezze rappresentate dagli shortened URLs e dalla facilità di impersonare gli utenti. I servizi di accorciamento degli URL, spesso indispensabili per contenere la lunghezza del tweet nei 140 caratteri consentiti, di fatto nascondono il reale indirizzo di destinazione. Ciò consente di creare ad arte URL accorciati per indirizzare gli utenti verso siti dannosi o pagine web camuffate che richiedono all’utente il reinserimento delle proprie credenziali di accesso. Più o meno i meccanismi sono analoghi a quelli utilizzati fraudolentemente su Facebook. Molta attenzione, infatti, deve essere posta alla reale identità degli utenti con cui ci si relaziona, poiché la creazione di account del tutto simili a quelli di altri utenti legittimi è un’operazione relativamente semplice e alla portata di chiunque: basta utilizzare il medesimo avatar, la stessa intestazione e un nome account che può differire solo di una lettera (es. @aIemannotw per impersonare l’account @alemannotw del vero sindaco di Roma, vedere il relativo case study).
LinkedIn, dal canto suo, essendo un network professionale che raccoglie numerosi dipendenti e liberi professionisti, offre numerose possibilità di data mining, ovvero di collezione di dati sulle aziende e sui rispettivi dipendenti per lanciare attacchi di spearphishing in cui si impersona un dipendente di una società-obiettivo con l’intento di rubare credenziali, segreti industriali e altre informazioni critiche, oppure di installare malware nei personal computer aziendali, oppure lanciare attacchi mirati di whaling verso top manager. Queste minacce e i relativi rischi sono più o meno comuni anche agli altri social network meno popolari, poiché le funzionalità e i meccanismi di relazione sono analoghi.
Gli effetti della grande diffusione di dispositivi mobili
Le statistiche sull’utilizzo dei social network evidenziano che circa un terzo degli accessi a Facebook e oltre la metà degli accessi a Twitter avviene per mezzo di dispositivi mobili come palmari, tablet, smartphone e telefoni cellulari. In tal senso uno dei principali problemi è costituito dal falso senso di sicurezza che questi dispositivi inducono negli utenti che continuano a considerarli poco più che telefoni cellulari.
In realtà questi dispositivi si sono evoluti e sono ormai diventati dei veri e propri computer, con un sistema operativo e una miriade di applicazioni scaricabili dai mobile app store. Purtroppo, fra questa moltitudine di applicazioni si nasconde un elevato numero di malware. Non a caso, i dispositivi mobili sono stati indicati da tutti i più autorevoli laboratori di sicurezza fra le minacce più rilevanti previste per il 2012, individuando il sistema operativo Android come il bersaglio numero uno del mobile malware. Infatti, mentre nell’app store di Apple le applicazioni vengono in qualche modo controllate prima della pubblicazione, ciò non avviene per l’Android Market. D’altronde com’è possibile pensare che su un’applicazione che costa solo 99 centesimi l’autore abbia potuto investire adeguatamente in termini di sicurezza?
I dispositivi mobili, infine, sono costantemente soggetti al rischio di sottrazione o smarrimento. In questi casi quanti di voi, oltre a precipitarsi a bloccare la scheda SIM, si preoccuperebbero di cambiare immediatamente le credenziali di accesso ai social network normalmente utilizzate per accedere dal vostro smartphone?
L’ombra del grande fratello
Purtroppo non sono solo i malintenzionati a tenere d’occhio i social network alla ricerca di opportunità di frode e guadagno. Un numero sempre crescente di società sono specializzate in tecniche avanzate di collezione dei dati disponibili sui social network e di data mining per vari scopi. A queste società si rivolgono grandi multinazionali per fini di marketing aggressivo, ma anche partiti politici e organizzazioni governative con l’obiettivo di mappare e studiare l’opinione pubblica.
Una delle più famose società di monitoraggio ed analisi del Web 2.0 è la Visible Technologies, i cui software sono in grado di scansionare e analizzare più di mezzo milione di siti al giorno, visitando i post di blog e social network, nonché i commenti e le recensioni sui siti commerciali. L’analisi identifica gli umori espressi nei post, gli indici di gradimento, l’influenza di una conversazione o di un autore su uno specifico argomento. Le multinazionali che vi fanno ricorso sono diverse e tra queste troviamo AT&T, Verizon, Dell e Microsoft.
Ma non solo. Da tempo vi ricorrono anche istituzioni governative e servizi di intelligence come NSA, CIA, FBI e In-Q-Tel, ma molto probabilmente il numero degli osservatori non si limita a queste. In definitiva, non ci sono solo gli amici, i conoscenti e i malintenzionati a consultare le nostre informazioni personali poiché queste ultime sono un base di informazione molto appetibile per controllare l’opinione pubblica e, recentemente, anche per indirizzarne il sentimento o a rendere inefficaci i sistemi di Social Media Marketing grazie a tecniche emergenti di inquinamento dei dati come il Social Media Poisoning.
Ettore Guarnaccia
A conferma di quanto scritto nell’articolo, vi posto una notizia decisamente pertinente: Ana Laura Ribas, casa svaligiata per colpa di Twitter. Il titolo è fondamentalmente errato: la casa è stata svaligiata per colpa di Ana Laura Ribas che non conosceva a fondo Twitter. Adesso sicuramente è molto più “aware”…
Altro articolo sul furto alla Ribas: Ribas, casa svaligiata dai ladri. Poi altri articoli interessanti a supporto dell’articolo: Ladri e criminali utilizzano internet, poi Social network, aumenta il rischio di furti in casa e infine Per i ladri il social non passa mai di moda. Buona lettura!
Living in Public: What Happens When You Throw Privacy Out the Window – Traduzione: Vivere in pubblico: cosa avviene quando butti la privacy fuori dalla finestra: http://lifehacker.com/5905347/living-in-public-what-happens-when-you-throw-privacy-out-the-window. Articolo molto interessante (in inglese).
Interessante articolo di TheBestDegrees (http://www.thebestdegrees.org/) dal titolo “7 Most Common Facebook Crimes”: http://securityaffairs.co/wordpress/4891/cyber-crime/7-most-common-facebook-crimes.html