Questa settimana, in tema di truffe, tre notizie raccontano la stessa storia, ossia che gli aggressori sono sempre più bravi a manipolare le persone, non solo a penetrare nei sistemi: ondata di intrusioni legate all’ingegneria sociale; confermata violazione di un’importante piattaforma di pasti a domicilio fra voci di un’estorsione; una notizia legata a una grande azienda tecnologica mette in discussione il modo in cui le app gestiscono i dati delle persone.
Ogni settimana questa carrellata analizza le truffe e i casi della sicurezza informatica che fanno notizia e ne spiega i meccanismi per farti individuare i rischi in anticipo e non cadere nelle trappole.
Entriamo nel merito.
Un’ondata di attacchi informatici colpisce Bumble, Match, Panera e CrunchBase
Il quadro generale: diversi grandi marchi sono stati colpiti da violazioni della sicurezza informatica tramite tattiche di ingegneria sociale come il phishing e il vishing.
I fatti: Bloomberg riferisce la conferma degli attacchi da parte di Bumble, Match Group, Panera Bread e CrunchBase.
Bumble ha dichiarato che l’account di un appaltatore è stato compromesso dal phishing, con un conseguente breve accesso non autorizzato a una piccola porzione della rete. Ha comunque precisato che la banca dati dei membri, gli account, i messaggi e i profili non sono stati violati.
Panera ha riferito l’accesso non autorizzato a un’applicazione software utilizzata per archiviare i dati, specificamente le informazioni di contatto.
Il caso di Match ha riguardato una quantità limitata di dati degli utenti, senza indicazioni di un accesso alle credenziali degli utenti, ai dati finanziari o alle comunicazioni private.
CrunchBase ha subito un impatto sui documenti nella propria rete aziendale, ma riferisce di aver contenuto l’attacco.
Secondo Bloomberg, la società di sicurezza informatica Mandiant ha lanciato un allarme su una campagna di hacking orchestrata da un gruppo che si fa chiamare ShinyHunters. Tramite il vishing, ossia telefonate truffaldine per indurre le persone a fornire i propri dati di accesso, il gruppo accede agli strumenti cloud e ai sistemi di lavoro online usati quotidianamente dalle aziende. I criminali hanno rivendicato alcuni di questi recenti attacchi, ma manca una conferma dalle fonti indipendenti.
I campanelli d’allarme a cui prestare attenzione:
Chiamate che ti fanno pressione per autorizzare un accesso, reimpostare le credenziali o condividere un codice monouso.
Messaggi che si spacciano per l’assistenza informatica, per un fornitore o per la “sicurezza” e che cercano di metterti fretta.
Richieste di autenticazione a più fattori che non hai avviato tu.
Richieste di “verifica rapida” che aggirano le normali procedure interne.
Come si svolge: l’ingegneria sociale funziona perché si mimetizza nella vita normale. Un messaggio o una telefonata convincenti ti inducono a fare una piccola cosa “ragionevole”, come autorizzare una richiesta, leggere un codice, ripristinare un accesso. Ai pirati informatici basta solo questo per accedere a un sistema usando credenziali legittime e poi penetrare negli strumenti in cui risiedono dati preziosi.
L’aggiornamento della politica sulla privacy di TikTok suscita reazioni negative
Benché questo articolo si intitoli “Le truffe di questa settimana”, è anche un bollettino sulla sicurezza informatica. Quindi, quando la notizia più importante della settimana in materia di tecnologia e riservatezza è l’aggiornamento della Politica sulla Privacy di TikTok, dobbiamo parlarne.
Il quadro generale: l’aggiornamento delle condizioni e della politica sulla privacy di TikTok sta sollevando nuovi interrogativi sui dati raccolti, in particolare quelli relativi alla posizione.
I fatti: la scorsa settimana TikTok ha confermato che una nuova entità con sede negli Stati Uniti ha assunto il controllo dell’applicazione dopo lo scorporo da ByteDance avvenuto all’inizio dell’anno. Lo stesso giorno la CBS ha riferito che TikTok ha pubblicato un aggiornamento delle condizioni e una nuova politica sulla privacy, il che ha suscitato reazioni negative sui social media.
Secondo la CBS uno dei principali motivi di preoccupazione è il passaggio secondo il quale TikTok può raccogliere informazioni precise sulla posizione se gli utenti attivano i servizi di localizzazione nelle impostazioni del dispositivo. Si tratterebbe di un cambiamento rispetto al passato, spiegato da TikTok con la volontà di dare agli utenti statunitensi la possibilità di scegliere se partecipare o meno al lancio delle funzioni di localizzazione precisa.
Sempre secondo l’emittente americana, alcuni utenti temono che la nuova politica sulla privacy consenta a TikTok di condividere più facilmente i loro dati privati con enti federali e locali. Il timore si fonda sulla parte del testo secondo cui TikTok “tratta tali dati personali sensibili ai sensi delle leggi vigenti”.
Un rapido spunto pratico: questo caso è un buon promemoria del fatto che le controversie sulle politiche di privacy riguardano spesso una cosa facilmente controllabile come le autorizzazioni delle app.
Cosa fare (passaggi generali per la riservatezza):
Controlla le impostazioni del telefono per TikTok e verifica se l’accesso alla posizione è non consentito, consentito mentre l’app è in uso o sempre consentito.
Se il tuo dispositivo supporta questa opzione, prendi in considerazione la possibilità di disattivare la localizzazione precisa per le app che non ne hanno realmente bisogno.
Esegui un rapido controllo delle autorizzazioni per le app sociali: posizione, contatti, foto, microfono, fotocamera e Bluetooth.
Assicurati che gli account siano protetti da password robuste e univoche, nonché dall’autenticazione a due fattori.
Nota: questa non è una raccomandazione per decidere se tenere o rimuovere un’applicazione specifica. È un promemoria per ricordare che le impostazioni di un dispositivo sono importanti e vale la pena rivederle.
Grubhub conferma una violazione dei dati tra voci di un’estorsione
Il quadro generale: anche quando un’azienda dichiara che i dati di pagamento non sono stati toccati da una violazione, quest’ultima può comunque creare un rischio perché i dati rubati vengono spesso riutilizzati per il phishing.
I fatti: secondo BleepingComputer, Grubhub ha confermato che persone non autorizzate hanno scaricato dei dati da alcuni sistemi. L’azienda ha quindi indagato, ha sospeso le proprie attività e sta adottando delle misure per rafforzare la sicurezza. Le fonti di BleepingComputer riferiscono che l’azienda sta subendo estorsioni legate ai dati rubati. Grubhub ha dichiarato che i dati sensibili, come i dettagli finanziari e le cronologie degli ordini, non sono stati colpiti ma non ha fornito ulteriori dettagli sulla tempistica e portata del problema.
I campanelli d’allarme a cui prestare attenzione: le notizie di violazioni vengono spesso seguite da ondate di truffe. Stai all’erta per:
inattese email di “rimborso” o di “problemi con l’ordine”;
falsi messaggi dell’assistenza clienti che chiedono di verificare i dettagli di un account;
richieste di ripristino della password che non hai avviato tu;
link per “risolvere il tuo account” che non provengono da un dominio ufficiale noto.
Come si svolge: poiché i sistemi di assistenza clienti possono contenere dati personali, le truffe di questo tipo hanno una parvenza di autenticità. Nomi, indirizzi di posta elettronica e note sugli account sono spesso sufficienti per creare messaggi che sembrano davvero provenienti dall’assistenza, soprattutto se la marca interessata è già al centro dell’attenzione dei media. 
Estensioni false per Chrome si impossessano silenziosamente degli account
Il quadro generale: alcune estensioni per browser che sembrano normali strumenti di lavoro, sono in realtà concepite per impossessarsi degli account e, tramite i controlli di sicurezza, impedire agli utenti di accedervi.
I fatti: alcuni ricercatori della sicurezza hanno dichiarato a Fox News di aver scoperto delle estensioni dannose di Google Chrome che si spacciano per note piattaforme aziendali e di risorse umane, comunemente utilizzate per buste paga, indennità e accesso al posto di lavoro.
I ricercatori hanno identificato diverse di queste estensioni fasulle, commercializzate come strumenti di produttività o di sicurezza. Una volta installate, funzionano silenziosamente in background, senza suscitare allarme. Google avrebbe dichiarato che le estensioni sono state rimosse dal Chrome Web Store, ma alcune sono ancora scaricabili da siti terzi.
Come si svolge la truffa: invece di rubare direttamente le password, le estensioni acquisiscono le sessioni di accesso attive. Quando si entra in un sito web, il browser memorizza dei piccoli file che consentono di mantenere l’accesso. Se gli intrusi trovano questi file, possono entrare in un account anche senza conoscerne la password.
Alcune estensioni si sono spinte addirittura oltre, interferendo con le impostazioni di sicurezza. Le vittime non sono state in grado di modificare le password, esaminare la cronologia degli accessi o raggiungere i controlli dell’account. Questo ha reso loro più difficile la scoperta dell’intrusione e ancora più complicato l’accesso una volta accortesi che qualcosa non andava.
Perché è importante: questo tipo di attacco elimina il meccanismo di protezione su cui si fa affidamento quando un account viene compromesso. La reimpostazione della password e l’autenticazione a due fattori sono utili solo se sono raggiungibili. Tagliando l’accesso a questi strumenti, gli intrusi possono mantenere il controllo più a lungo e muoversi attraverso i sistemi connessi incontrando minore resistenza.
A cosa fare attenzione:
estensioni del browser che non ricordi di aver installato;
componenti aggiuntivi apparentemente destinati alla gestione delle risorse umane, delle buste paga o dell’accesso interno all’azienda;
impostazioni di sicurezza mancanti o inaccessibili negli account;
il risultare all’interno di un account che in realtà non hai aperto di recente.
Un rapido controllo di sicurezza: prenditi qualche minuto per rivedere le estensioni del browser. Rimuovi tutto ciò che non ti è familiare o necessario, in particolare gli strumenti legati alle piattaforme di lavoro. Le estensioni hanno un accesso profondo al browser, quindi meritano lo stesso controllo di qualsiasi altro software installato.
I consigli di McAfee per la sicurezza questa settimana
Praticare lo scetticismo nei confronti degli strumenti “utili”. Le estensioni del browser, i componenti aggiuntivi del posto di lavoro e gli strumenti di produttività possono avere un accesso approfondito ai tuoi account. Installa solo ciò che ti serve veramente e rimuovi tutto ciò che non ti è familiare.
Prendere le chiamate e i messaggi con le pinze. Tutte le cose inattese, come richieste di accesso o di autorizzare un’autenticazione a più fattori, anche se provenienti da una presunta “assistenza informatica”, sono i comuni punti di ingresso dell’ingegneria sociale. Se non hai effettuato tu una richiesta, fermati e verifica.
Esaminare le autorizzazioni di applicazioni e browser. Prenditi qualche minuto per verificare quali sono le applicazioni ed estensioni che possono accedere alla tua posizione e ai tuoi account e dati. Piccoli cambiamenti possono ridurre significativamente il rischio.
Proteggere innanzitutto le credenziali.Usa delle password robuste e uniche e attiva nei tuoi account l’autenticazione a due fattori. Se gli intrusi ottengono il tuo indirizzo di posta elettronica, possono resettare pressoché tutto il resto. Il gestore delle password di McAfee ti aiuta a creare e memorizzare password univoche per tutti gli account.
Aspettarsi delle truffe dopo determinate notizie. Quando le violazioni o le modifiche alle politiche fanno notizia, spesso i truffatori cavalcano tali eventi con messaggi di phishing che vi fanno riferimento. Un maggiore scetticismo nei giorni e nelle settimane successive all’uscita di una simile notizia può evitare problemi più gravi in seguito.
Mantieniti al corrente
Seguici per essere sempre al corrente delle notizie di McAfee e delle ultime minacce alla sicurezza per consumer e dispositivi mobili.
