Nelle ultime settimane si sta diffondendo in Italia una pericolosa e sofisticata campagna di phishing che viaggia direttamente sulle chat di Facebook Messenger. Un utente riceve un messaggio da un account con un nome apparentemente istituzionale – come "Meta centro", "Meta Control" o "Meta IA" che minaccia l'immediata sospensione del profilo entro 12 ore se non si segue una procedura di verifica dell'account.
A corredo del messaggio viene inviato un allegato in formato pdf denominato "File di verifica.pdf" con il seguente contenuto:
In questo articolo approfondisco il caso a analizzo le tecniche utilizzate dai truffatori per cercare di rubare un account e per quale motivo lo fanno.
Una delle domande più frequenti quando si riceve un messaggio del genere è: "Perché proprio a me? È un attacco mirato?". Nella quasi totalità dei casi, la risposta è no, non si tratta di un attacco mirato alla singola persona, ma di un'operazione automatizzata su larga scala.
I cybercriminali utilizzano principalmente tre canali per agganciare le vittime.
Questo è il motore che permette alla truffa di diffondersi senza essere intercettata dai sistemi di sicurezza. I criminali informatici non usano i profili rubati per inviare messaggi a nome di amici o parenti. Al contrario, quando riescono a violare una pagina o un account (spesso profili aziendali o vecchi account inutilizzati), ne modificano radicalmente l'identità: sostituiscono il nome con diciture come "Meta Security Team", "Centro Assistenza" o simili, e impostano il logo ufficiale del brand come immagine del profilo.
A questo punto, utilizzano questo account camuffato per inviare le finte notifiche di violazione ad altri utenti. Poiché per l'algoritmo del social network quel profilo risulta reale, "anziano" e legittimo, i messaggi di phishing riescono a superare i filtri anti-spam automatici, arrivando direttamente nella posta della vittima con le sembianze di una comunicazione istituzionale impeccabile.
Ecco un esempio pratico:
Il truffatore non ha creato un account da zero per poi scrivere alla "vittima". Ha invece rubato il profilo di una persona reale che era già presente nella sua lista di amici.
Una volta preso il controllo dell'account, il criminale ha semplicemente cambiato il nome e l'immagine del profilo per farlo sembrare un sistema automatizzato di Meta, sapendo che Messenger avrebbe mostrato la chat come proveniente da un "contatto fidato" (o comunque già approvato), eludendo così i blocchi per i messaggi ricevuti dagli sconosciuti.
Negli anni, moltissimi siti web e social network hanno subito giganteschi furti di dati (data leak). All'interno di questi database, liberamente acquistabili nel dark web, sono presenti elenchi infiniti di numeri di telefono, nomi, cognomi e link diretti ai profili Facebook. I truffatori usano dei software (bot) che prendono questi elenchi e inviano massivamente migliaia di messaggi al minuto su Messenger, pescando nel mucchio.
Se un utente è molto attivo su Facebook, gestisce pagine commerciali o commenta spesso post molto popolari, il suo profilo diventa visibile ai bot dei truffatori. Questi software scansionano le sezioni commenti delle pagine in voga e usano i profili degli utenti reali come bersaglio per l'invio della truffa.
Nel caso specifico, alla ricezione del file è stata eseguita una scansione su piattaforme di analisi avanzate (Hybrid Analysis, VirusTotal, VirusScan Jotti) e con la suite di sicurezza McAfee® Total Protection ed è risultato pulito.
Quando tutti questi sistemi restituiscono "0 minacce rilevate", si tende ad abbassare la guardia. Questo è il primo, fatale errore.
I moderni motori antivirus cercano codice eseguibile malevolo (malware, ransomware, Trojan) o script in grado di sfruttare vulnerabilità del sistema operativo o del lettore PDF (Exploit). Il documento PDF utilizzato in questa truffa, invece, è strutturalmente "sano": non contiene macro o codice infetto. Si tratta semplicemente di un file "statico" contenente testo, loghi contraffatti e un enorme pulsante ipertestuale che recita "Vai alla verifica".
Per l'antivirus si tratta di un documento legittimo. La vera minaccia non risiede nel file, ma nel collegamento web (URL) nascosto dietro quel pulsante.
Analisi del PDF
Quando si riceve un allegato sospetto, l'istinto direbbe di aprirlo con un comune lettore per vederne il contenuto. Tuttavia, è solo analizzando la struttura interna del file — ad esempio aprendolo con un semplice editor di testo come il Blocco Note — che emergono i dettagli cruciali e gli indizi microscopici che confermano al 100% la natura fraudolenta di una campagna di phishing.
Dalla struttura del codice che è stata esaminata, si può escludere la presenza di sistemi di tracciamento automatico come i comandi /OpenAction o script /JavaScript malevoli, "pixel spia" o script che si attivano da soli non appena apri il documento e che costringono il lettore PDF a connettersi a internet o a inviare dati a tua insaputa al momento del doppio clic.
Tuttavia, i truffatori hanno inserito due elementi di tracciamento "passivo" o condizionato:
Il link presente nel PDF è il seguente (ho censurato l'ID):
[https://www.supporst-protect-xxxxxxxxxxxx.site/Italy]
Quel numero seriale (xxxxxxxxxxxx) non è casuale. Viene spesso utilizzato come identificativo della campagna o del target. Se quel numero è associato a un determinato lotto di e-mail (o persino a un utente specifico), nel momento esatto in cui qualcuno clicca sul collegamento, i server dei truffatori registrano che "l'esca numero xxxxxxxxxxx ha funzionato". È un tracciamento preciso, ma che richiede necessariamente l'azione del clic per attivarsi.
In linea generale sono presenti quattro anomalie:
Typosquatting (errore di battitura): la parola
supporst presenta una "s" di troppo rispetto al legittimo support. È un trucco per ingannare la lettura rapida dell'utente.
Estensione economica: il dominio termina con
.site, un'estensione atipica per comunicazioni ufficiali, spesso acquistabile in blocco a prezzi contenuti e in totale anonimato. I domini ufficiali di Meta terminano tassativamente con
.com.
Localizzazione dinamica: la sottocartella
/Italy indica che il server della truffa è configurato su scala globale ed è in grado di mostrare un'interfaccia nella lingua locale della vittima per massimizzare la credibilità.
Codici numerici casuali: la stringa numerica serve a eludere i filtri automatici dei provider e a simulare un finto "ID pratica" istituzionale.
I metadati XML integrati nel documento forniscono informazioni preziose sulla provenienza e sulle modalità di sviluppo del file esca.
Piattaforme di content design
I tag relativi al software di produzione mostrano spesso l'utilizzo di note piattaforme di progettazione grafica online (come Canva). I criminali informatici sfruttano questi strumenti legittimi per creare layout visivamente impeccabili, loghi perfetti e grafiche identiche a quelle ufficiali, così da ingannare facilmente l'occhio dell'utente.
Profili di esportazione
All'interno del codice XML, nel campo dedicato al creatore del documento (dc:creator), rimangono tracciati i dati dell'account utilizzato per l'esportazione. Spesso si tratta di nomi associati a profili dell'Est Asiatico, riconducibili ad account violati o creati ad hoc sulle piattaforme di grafica per distribuire il materiale malevolo.
Un altro dettaglio fondamentale emerge dall'analisi della lingua predefinita del documento (/Lang) e dal titolo originario memorizzato nei tag dei metadati.
Spesso, nonostante il testo visibile a schermo sia interamente localizzato in italiano, i metadati rivelano che l'ambiente di sviluppo iniziale era impostato in inglese o, come in questo caso, che il titolo originale del file era scritto in una lingua dell'Est Europa (nello specifico, in lituano, con il significato di "File di verifica"). Questo fenomeno dimostra come le campagne di phishing siano operazioni su larga scala: lo stesso file esca viene riciclato, tradotto e adattato per diversi Paesi europei semplicemente modificando il livello grafico visibile, lasciando però intatta l'impalcatura tecnica sottostante.
Infine, nei metadati compaiono stringhe di testo alfanumeriche associate a parole chiave specifiche (pdf:Keywords). Questi identificativi, che ricalcano i codici di tracciamento degli asset grafici o dei video, vengono impiegati dagli aggressori per monitorare l'andamento della campagna, permettendo loro di capire quale specifica variante del file o quale canale di distribuzione stia generando il maggior numero di clic da parte delle vittime.
Analizzando da vicino la struttura del file e i dati di rete generati, l'attacco si sviluppa secondo uno schema geometrico.
Il PDF fa leva sulla paura e sull'urgenza temporale (leva psicologica). All'interno si legge:
"Il tuo account potrebbe essere molto popolare e necessitare di ulteriori misure di sicurezza [...] In caso contrario, rimarrà bloccato finché non avrai completato la procedura di verifica."
I truffatori sfruttano impropriamente il nome di Facebook Protect, un programma di sicurezza avanzato realmente esistente di proprietà di Meta. Il limite temporale stringente (12 o 24 ore) serve a indurre panico nella vittima, azzerando i tempi di riflessione ed escludendo la possibilità di consultare un esperto.
Cliccando sul link, l'utente viene reindirizzato a una pagina che replica fedelmente la schermata di accesso di Facebook. Nel momento in cui vengono inseriti indirizzo e-mail e password, le credenziali vengono trasmesse ai criminali informatici o inoltrate in tempo reale al sito autentico attraverso sofisticati sistemi di phishing.
Se sul profilo è attiva l'Autenticazione a due fattori (2FA), la pagina fraudolenta può richiedere anche il codice di verifica temporaneo. In alcuni casi, il sito falso agisce come intermediario tra la vittima e Facebook, inoltrando in tempo reale tutti i dati inseriti. In questo modo, anche il codice monouso viene utilizzato immediatamente per completare l'accesso all'account.
Una volta ottenuta una sessione autenticata, i truffatori possono modificare l'indirizzo e-mail associato al profilo, cambiare la password, alterare i metodi di recupero dell'account e, nei casi peggiori, impedire al legittimo proprietario di accedervi nuovamente.
Rubare l'account è in realtà solo il primo passo, il mezzo per raggiungere un fine economico ben preciso. Dietro a queste campagne c'è un'industria criminale altamente organizzata.
Oltre il furto dell'account: la minaccia del "Session Hijacking"
Le truffe più pericolose oggi non mirano a rubare la password tramite un classico modulo di login, ma utilizzano una tecnica avanzata chiamata Session Hijacking (furto di sessione).
Attraverso vulnerabilità del browser o script nascosti, il sito dei truffatori può attivare in background un codice invisibile. Questa operazione può avvenire nel silenzio più assoluto, anche se la pagina sembra vuota, bloccata o dà un errore di caricamento.
Questo sistema non ha bisogno di indovinare la vostra password o di intercettare il codice di autenticazione a due fattori (2FA): copia direttamente i cookie di sessione salvati nel vostro browser. Questi cookie sono i "passaporti digitali" che vi mantengono connessi a Facebook o al Business Manager senza chiedervi le credenziali a ogni click. Una volta rubati, ai truffatori basta clonarli sui loro dispositivi per entrare istantaneamente nel vostro profilo aziendale, bypassando ogni barriera di sicurezza.
Sì, ma con dinamiche diverse. Sui telefoni (Android e iOS) esiste il Sandboxing, una blindatura strutturale per cui ogni app vive isolata dalle altre: un malware nel browser non può infilarsi nella cartella dei cookie dell'app di Facebook.
I truffatori aggirano questo limite in due modi:
Finti aggiornamenti
Il sito di atterraggio spinge a scaricare un'app malevola esterna agli store ufficiali (come i file .apk su Android) che, una volta installata con i permessi di accessibilità, cattura ogni dato sullo schermo.
Browser interni alle App (in-app)
Se si clicca sul link e questo si apre dentro la chat di Messenger o Instagram, si naviga in un ambiente più vulnerabile rispetto a un browser esterno dedicato.
Per ridurre al minimo il rischio di Session Hijacking senza complicarsi troppo la vita, bastano pochi accorgimenti mirati, evitando strumenti troppo drastici che rischierebbero solo di bloccare la normale navigazione.
La regola d'oro del Log-out (Universale)
È la difesa più efficace. I cookie rimangono attivi finché la sessione è aperta. Quando finite di gestire le vostre pagine aziendali o il Business Manager, non limitatevi a chiudere la scheda del browser: cliccate sempre esplicitamente su "Esci" (Log-out). Questo comando distrugge il cookie sul dispositivo e lo invalida sui server del social, rendendolo del tutto inutile se intercettato.
Forzare i link all'esterno (Mobile)
Nelle impostazioni delle app social (come Facebook e Messenger), attivate l'opzione "Apri i link esternamente". In questo modo, qualsiasi collegamento cliccato non si aprirà nel browser integrato dell'applicazione (più vulnerabile), ma verrà reindirizzato sul browser sicuro e aggiornato del vostro smartphone.
uBlock Origin (PC)
Un'estensione per browser leggera e consigliata, che blocca preventivamente i domini di phishing e l'esecuzione di script pubblicitari o dannosi all'apertura delle pagine, senza compromettere l'esperienza d'uso.
Attenzione alle soluzioni troppo aggressive: Online si trovano spesso guide che consigliano estensioni avanzate come NoScript (che disattiva radicalmente i codici JavaScript). Sebbene siano efficaci dal punto di vista della sicurezza, impediscono il corretto funzionamento dei siti normali (compresi i pannelli di gestione dei social), rendendo la navigazione quotidiana quasi impossibile per un utente non esperto. Meglio puntare su buon senso e strumenti bilanciati.
Ma cosa ci guadagnano concretamente i truffatori una volta che riescono a mettere le mani su un profilo?
Questo è l'obiettivo principale quando i criminali colpiscono profili aziendali o account di professionisti. Se il Business Manager violato ha un metodo di pagamento collegato, come una carta di credito o un conto PayPal, i truffatori non hanno bisogno di violare direttamente i sistemi bancari della vittima.
Sfruttano infatti gli accordi di pagamento automatico (billing agreements) già attivi tra la piattaforma social e il circuito finanziario. Quando il proprietario ha configurato l'account, ha autorizzato la piattaforma a prelevare i fondi in modo automatico per coprire le spese pubblicitarie. Ai truffatori basta quindi avviare campagne pubblicitarie massive per promuovere le loro esche (come falsi investimenti o siti civetta): sarà il sistema pubblicitario stesso a scalare i fondi da PayPal o dalle carte collegate, drenando migliaia di euro in pochi minuti prima che scatti il blocco o che l'utente si accorga degli addebiti.
Gli account rubati hanno un valore commerciale immediato e vengono catalogati in veri e propri "listini prezzi" nei forum del dark web:
Account "anziani" (aged)
I profili creati molti anni fa sono i più preziosi, perché i sistemi di sicurezza dei social tendono a fidarsi di più di loro, permettendo di fare spam senza blocchi immediati.
Pagine con follower
Pagine con migliaia di "Mi piace" vengono rivendute a soggetti terzi che desiderano visibilità immediata, modificando semplicemente il nome e il settore della pagina.
Se l'account appartiene a un professionista, a un'attività locale o a un influencer che trae profitto dalla propria presenza online, i criminali applicano una specie di "ransomware umano". Cambiano tutte le mail di recupero e poi contattano il proprietario (spesso su canali esterni come Telegram) chiedendo il pagamento di un riscatto in criptovalute per riavere indietro le credenziali.
Nelle chat private delle persone e delle aziende si trova di tutto: numeri di telefono personali, indirizzi di casa, codici fiscali o foto di documenti inviate in passato a clienti o familiari.
Questi dati vengono estratti tramite script automatizzati e inseriti in enormi database. Vengono poi rivenduti a reti di call center illegali o utilizzati per architettare truffe mirate ancora più pericolose, come il finto trading o il phishing bancario personalizzato.
Per evitare di cadere in queste trappole, è fondamentale fissare alcune procedure standard di sicurezza.
Meta non usa Messenger per la sicurezza
Nessun dipendente o sistema automatico di Meta vi contatterà mai tramite messaggi privati su Messenger o SMS per chiedervi di scaricare file o effettuare verifiche minacciando un blocco dell'account in caso contrario.
Verificate i canali ufficiali
Le comunicazioni reali sulla sicurezza del vostro account appaiono esclusivamente nella sezione notifiche dell'app ufficiale o nel Centro gestione account.
Controllate i domini
Prima di inserire la password, guardate sempre la barra degli indirizzi del browser. Se l'URL non inizia rigorosamente con
https://www.facebook.com
Se vi trovate nel mezzo di questo tentativo di frode, agite tempestivamente a seconda della situazione:
-Non aprite il link e non scaricate il PDF sul vostro dispositivo.
-Segnalate immediatamente l'account truffaldino su Messenger utilizzando la funzione ufficiale di blocco e report per "Truffa/Frode".
Se siete caduti nel tranello ma avete ancora accesso al vostro profilo, ogni secondo è prezioso:
Cambiate la password
Andate su Impostazioni e privacy > Impostazioni > Il tuo account/Centro gestione account:
Cliccate quindi su Password e sicurezza e modificate immediatamente la chiave d'accesso:
Dalla stessa sezione assicuratevi che l'autenticazione a due fattori sia attiva e che i metodi di ricezione (app di autenticazione come Google Authenticator o SMS) non siano stati alterati. Cliccate quindi su “Dispositivi da cui hai effettuato l'accesso”, verificate l'elenco e forzate il logout da qualsiasi sessione o dispositivo che non sia il vostro smartphone o PC abituale:
Se siete stati tagliati fuori dal vostro account
Se i truffatori hanno già cambiato la password e l'e-mail associata, l'unico canale ufficiale e sicuro per avviare la procedura di ripristino dell'identità digitale è raggiungere direttamente il portale di emergenza predisposto da Meta:
La sicurezza informatica non dipende solo dagli strumenti software che installiamo, ma soprattutto dal livello di attenzione che riponiamo nei confronti delle sollecitazioni esterne. Davanti a scadenze repentine e minacce di blocco, la migliore difesa resta sempre un sano scetticismo digitale.
L'esito del test sul campo
Per completezza di informazioni e per studiare da vicino la struttura di questa trappola, ho provato ad aprire l'indirizzo web presente nel falso avviso Meta utilizzando un ambiente di test isolato e protetto, supportato da una connessione VPN e dall'utilizzo di un firewall. L'esito? Il sito truffa risulta già non più attivo. Tentando il caricamento, i browser restituiscono un errore di "Server non trovato" (Server Not Found). Questo dimostra quanto sia rapida la vita di queste campagne di phishing: i domini malevoli vengono spesso oscurati o abbandonati dai cybercriminali nel giro di pochissime ore, non appena scattano le prime segnalazioni di sicurezza globali. Se doveste imbattervi in un link simile e notate una pagina completamente bianca o un errore di rete, sapete il perché: la minaccia è già stata neutralizzata alla radice.
|
Seguimi sui social per non perdere i prossimi aggiornamenti:
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante:
GRAZIE!
Nell'era digitale in cui viviamo, le truffe informatiche sono diventate sempre più sofisticate e pervasive. Tra queste, il phishing si distingue per la sua capacità di ingannare gli utenti e sottrarre informazioni sensibili attraverso messaggi apparentemente innocui. Dopo aver esplorato il fenomeno del phishing in un precedente articolo, in questo approfondimento analizzerò cinque casi reali di smishing (si definisce così nel caso di tentativi di truffa via sms), illustrando le tecniche utilizzate dai truffatori e fornendo consigli pratici su come proteggersi.
Attraverso questi esempi, spero di aumentare la consapevolezza e la preparazione degli utenti, contribuendo a creare un ambiente digitale più sicuro per tutti.
Prima di analizzare i casi rispondo ad alcune domande che mi sono state poste nel corso del tempo.
CHI E' IL MITTENTE? DA QUALE NUMERO MI STANNO CONTATTANDO?
Solitamente i numeri di telefono utilizzati per questo tipo di truffe sono appositamente generati per l'attività illecita. Esistono diversi modi in cui i truffatori generano questa tipologia di numeri:
1) Servizi di generazione di numeri virtuali/temporanei - Ci sono siti web che offrono numeri di telefono virtuali o temporanei, spesso a basso costo. Questo permette ai truffatori di avere facilmente nuovi numeri usa e getta.
2) Numeri rubati/compromessi - A volte utilizzano numeri di telefono rubati o compromessi di utenti reali.
3) Numeri offerti da servizi VoIP - Alcuni servizi VoIP economici consentono di ottenere facilmente nuovi numeri di telefono senza molte verifiche.
IL MITTENTE SEMBRA ATTENDIBILE; POSSO FIDARMI?
SMS spoofing è una tecnica di phishing che utilizza gli SMS per ingannare le potenziali vittime, mascherando il mittente con uno apparentemente legittimo e attendibile.
In pratica, il truffatore utilizza un servizio o un software per falsificare l'ID mittente dell'SMS, facendolo apparire come proveniente da una banca, un'azienda di servizi, un ente governativo o qualsiasi altra fonte ritenuta affidabile dalla vittima.
COME FANNO A TROVARE IL MIO NUMERO?
Ci sono diversi metodi possibili:
-Acquisizione di database di numeri di telefono trafugati illegalmente
-Condivisione di numeri tra diversi schemi di truffa
-Raccolta automatizzata di numeri accessibili su Internet
-Tecniche di "number scanning" per comporre numeri a caso
-Trojan: è un programma apparentemente legittimo che potrebbe rubare dati sensibili come password, accedere a webcam/microfono per spiare, crittografare i vostri file per un riscatto (ransomware).
-Keylogger: registra ogni tasto che digitate, consentendo ai criminali di carpire credenziali, informazioni bancarie e dati personali.
-Botnet: trasforma il vostro PC in uno "zombie" controllato da remoto per attacchi di spamming, DDoS o altri scopi illegali.
-Backdoor: apre un "accesso secondario" che permette ai criminali di riprendere il controllo del vostro sistema in futuro.
-Spyware/Adware: raccolgono informazioni su di voi per fini pubblicitari invasivi.
SERVIZI SOCIO CULTURALI
Il primo sms afferma quanto segue:
"Si prega di contattare i nostri servizi socio culturali, per una comunicazione. Chiama al numero 8938939337"
Analisi del Messaggio
PROPOSTA DI LAVORO
L'sms afferma quanto segue:
"Ciao
Reclutiamo dipendenti part-time tramite Internet. Avrai lo stipendio che desideri. Unisciti a noi, non te ne pentirai
Mi dispiace se ti ho disturbato.
Se sei interessato, contattaci tramite WhatsApp: https://is.gd/pnT5WQ?gKe=**********"
Analisi del Messaggio
DISPOSITIVO ANOMALO COLLEGATO AL CONTO CORRENTE
Gentile Cliente, un dispositivo anomalo risulta collegato al suo conto se disconosce tale accesso verifica https://app2023.45xxxxxxxxxxxx
Analisi del Messaggio
Poste Italiane ha creato una sezione dedicata alle truffe online ed ai consigli per difendersi. La trovate a questo link:
https://www.poste.it/psd2-e-sicurezza---come-difendersi-dalle-truffe.html
AIUTO PER CONSEGNA ORDINE AMAZON
L'sms afferma quanto segue:
"Un conducente ha bisogno di aiuto per consegnare il tuo ordine Amazon. Rispondi STOP per non ricevere più messaggi per le consegne Amazon.
risponda x favore"
Analisi del Messaggio
Se poi non avete effettuato alcun ordine su Amazon è chiaro che si tratta di un tentativo fraudolento di ottenere informazioni personali, rubare dati sensibili o il credito sulla scheda.
Amazon e altre società di consegna affidabili non chiederanno mai informazioni sensibili tramite SMS in questo modo.
WhatsApp phishing
In questo caso il messaggio in lingua Inglese proveniva dal numero +1 (581) 288-9123. Precisamente dal Canada da una certa Lucille Norris.
Ecco il testo del messaggio: Hi, my name is Juliana. I am a consultant with Robert Half US. Are you still looking for a job? (Ciao, mi chiamo Juliana. Sono una consulente di Robert Half US. Stai ancora cercando un lavoro?)
Analisi del Messaggio
1) Robert Half è un'azienda di consulenza e collocamento professionale legittima e di grandi dimensioni negli Stati Uniti. Quindi il nome dell'azienda in sé non è un red flag. Questo è il sito ufficiale: https://www.roberthalf.com
2) Tuttavia, è insolito che un consulente contatti direttamente tramite WhatsApp un potenziale candidato di cui non ha un contatto precedente o un'applicazione esistente. La normale prassi sarebbe di utilizzare canali ufficiali come e-mail aziendali.
Dalla FAQ infatti risulta quanto segue:
Robert Half non invia offerte di lavoro ai candidati né richiede ai candidati di inviare domande tramite servizi di messaggistica istantanea come Telegram e Whatsapp.
3) Il numero di telefono +1 (581) 288-9123 non è uno dei numeri di contatto principali di Robert Half elencati online. Sul sito ufficiale il numero di contatto è (650) 234-6000. "+1" è il prefisso internazionale degli Stati Uniti; il numero generato potrebbe essere temporaneo o virtuale.
4) I truffatori possono ottenere i numeri di telefono da varie fonti, come elenchi telefonici pubblici, database online, siti web compromessi, social media o tramite altre persone che hanno il vostro numero di telefono nei propri contatti. Inoltre, possono utilizzare software automatizzati per generare numeri casuali e inviare messaggi di spam in massa. Una volta che hanno ottenuto il vostro numero, possono inviare messaggi tramite SMS o WhatsApp senza aver avuto contatto diretto con voi in precedenza.
Anche in questo caso si tratta di un tentativo di truffa a livello internazionale:
https://malwaretips.com/blogs/robert-half-international-job-scam
Se l'articolo vi è sembrato utile condividetelo con i vostri amici e i vostri familiari o sui vostri social!
Se vi interessa il tema della sicurezza informatica ho scritto un articolo in cui vi spiego come riconoscere e sconfiggere i tentativi di Phishing come quelli analizzati oggi:
https://www.computermania.org/tutorial/sicurezza/riconosci-e-sconfiggi-il-phishing-come-evitare-le-truffe-online
Vi consiglio anche la lettura di questo articolo:
https://www.computermania.org/tutorial/sicurezza/sicurezza-informatica-14-consigli-per-navigare-tranquilli
Seguitemi sui social per non perdere i prossimi aggiornamenti:
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante:
GRAZIE!
Hai una richiesta per un tutorial?
Scrivimi in privato e l'idea più originale verrà pubblicata sul sito!
Avete ricevuto una mail da un mittente sconosciuto con una delle vostre password nell'oggetto ed una richiesta di "riscatto"? Niente paura, si tratta di SCAM.
Lo Scam non è altro che un tentativo di truffa per fare soldi. Può avvenire anche tramite posta elettronica, e per rendere più veritiera questa tipologia di mail gli scammer possono utilizzare delle credenziali rubate associate ad uno dei vari account creati online.
E' diverso dal ransomware, un tipo di malware che infetta un dispositivo criptandone tutti i files. Ma anche in questo caso viene richiesto un riscatto da pagare per decriptarli e continuarli ad utilizzare.
Come hanno fatto a rubare la password?
In realtà non è stata attaccata direttamente la vostra mail (nè uno dei vostri account in particolare), ma un sito web dov'eravate registrati che ha subito un furto in massa di dati sensibili (data breach o violazione dei dati). A questo punto vengono utilizzate tecniche di ingegneria sociale (strategie utilizzate per manipolare le proprie vittime con lo scopo di ottenere informazioni sensibili) per convincere l'ignaro utente a pagare il riscatto e per evitare problemi.
Ma quale genere di problemi?
Vi faccio un esempio pratico (al posto delle xxxxxx trovate la password rubata):
MESSAGGIO ORIGINALE IN LINGUA INGLESE
I am aware xxxxxxxxxx is one of your pass. Lets get directly to the point. Not a single person has compensated me to check about you. You may not know me and you are most likely thinking why you are getting this email?
Well, i actually placed a malware on the a.d.u.l.t videos (***) web-site and there's more, you visited this web site to have fun (you know what i mean). When you were watching video clips, your web browser started out working as a Remote control Desktop with a key logger which provided me accessibility to your screen and also webcam. after that, my software collected every one of your contacts from your Messenger, Facebook, as well as e-mail. after that i created a video. 1st part displays the video you were viewing (you have a fine taste rofl), and second part shows the recording of your web cam, and it is u.
You get two different options. Why dont we take a look at the options in details:
1st alternative is to ignore this e-mail. in such a case, i will send out your very own video clip to all your contacts and then consider concerning the humiliation you will see. and definitely if you are in a romantic relationship, just how it will certainly affect?
Second option would be to compensate me $2621. Lets refer to it as a donation. Then, i most certainly will straightaway erase your video. You could keep daily life like this never happened and you would never hear back again from me.
You will make the payment through Bitcoin (if you don't know this, search 'how to buy bitcoin' in Google search engine).
Bitcoin address to send to: xxxxxxxxxxxxxxxxxxxxxxxx
[case sensitive copy and paste it]
in case you are curious about going to the authorities, well, this email cannot be traced back to me. I have taken care of my actions. i am not trying to charge a fee very much, i would like to be compensated. in order to make the payment if i do not get the bitcoin, i will definately send your video to all of your contacts including relatives, coworkers, and so forth. Having said that, if i receive the payment, i will destroy the video immediately. If you want evidence, reply Yup! & i will send out your video recording to your 15 friends. it is a nonnegotiable offer, therefore don't waste my personal time & yours by responding to this email message.
TRADUZIONE IN ITALIANO
..."So che xxxxxxxxxx è una delle tue password. Andiamo direttamente al punto. Non una sola persona mi ha ricompensato per verificare la tua situazione.
Potresti non conoscermi e molto probabilmente stai pensando perché ricevi questa email?
Bene, in realtà ho inserito un malware sul sito web di video per a.d.u.l.t.i e c'è di più, hai visitato questo sito web per divertirti (sai cosa intendo). Quando stavi guardando i video clip, il tuo browser web ha iniziato a funzionare come un desktop di controllo remoto con un key logger che mi ha fornito l'accessibilità allo schermo e anche alla webcam. dopodiché, il mio software ha raccolto tutti i tuoi contatti dal tuo Messenger, Facebook e dalla tua posta elettronica. dopodiché ho creato un video. La prima parte mostra il video che stavi guardando (hai un buon gusto rofl), e la seconda parte mostra la registrazione della tua web cam, e sei tu
Hai due diverse opzioni. Perché non diamo un'occhiata alle opzioni in dettaglio:
La prima alternativa è ignorare questa e-mail. in tal caso, invierò il tuo video clip a tutti i tuoi contatti e poi prenderò in considerazione l'umiliazione che vedrai. e sicuramente se hai una relazione romantica, come influirà sicuramente?
La seconda opzione sarebbe quella di compensarmi $ 2621. Facciamo riferimento ad esso come una donazione. Quindi, sicuramente cancellerò subito il tuo video. Potresti mantenere la vita quotidiana come questa non è mai accaduta e non mi avresti mai più risposto.
Effettuerai il pagamento tramite Bitcoin (se non lo sai, cerca 'come acquistare bitcoin' nel motore di ricerca di Google).
Indirizzo Bitcoin a cui inviare: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
[copia e incolla con distinzione tra maiuscole e minuscole]
nel caso foste curiosi di andare alle autorità, beh, questa email non può essere ricondotta a me. Mi sono preso cura delle mie azioni. Non sto cercando di addebitare una commissione molto, vorrei essere risarcito. per effettuare il pagamento se non ricevo il bitcoin, invierò definitivamente il tuo video a tutti i tuoi contatti inclusi parenti, colleghi e così via. Detto questo, se ricevo il pagamento, distruggerò immediatamente il video. Se vuoi delle prove, rispondi Sì! E invierò la tua registrazione video ai tuoi 15 amici. è un'offerta non negoziabile, quindi non sprecare il mio tempo personale e il tuo rispondendo a questo messaggio di posta elettronica"...
Di seguito la mail analizzata per l'articolo:
Prima di proseguire vi spiego il significato di alcuni termini tecnici/acronimi utilizzati:
Malware
Si tratta di software malevoli utilizzati con l'intento di arrecare danno ai Sistemi su cui si installano senza esserne consapevoli. Il termine Malware sta per Malicious software, (software malevolo appunto).
Keylogger
Si tratta di un programma o di un dispositivo hardware che registra tutto quello che viene digitato sulla tastiera trasmettendo i dati rubati al truffatore di turno senza che l'utente se ne accorga.
rofl
E' un acronimo che sta per "Rolling On the Floor, Laughing" e significa letteralmente rotolando sul pavimento, ridendo.
Bitcoin
Si tratta di una criptovaluta, una "moneta" virtuale utilizzata in rete e nel Dark Web
Come procedere allora? Fate una ricerca sul sito Have I Been Pwned per controllare se la vostra email è stata compromessa a causa di una violazione dei dati:
https://haveibeenpwned.com/
Nel campo email address inserite il vostro indirizzo di posta elettronica e cliccate sul pulsante pwned?:
Nel caso in cui la vostra mail si trovi nell'archivio delle credenziali compromesse comparirà il messaggio "Oh no - powned!" e un elenco di siti sui cui è stata utilizzata (anche in passato):
Accanto ad ogni sito è possibile verificare quando è stato effettuato il furto di dati e in quale entità:
Nella parte inferiore sotto ogni sito web potete notare la voce "Compromised data" che si riferisce ai dati che sono stati rubati (può trattarsi di indirizzi e-mail, password, nomi utente, indirizzi IP, numeri di telefono, profili social ecc...)
Se utilizzate ancora la password rubata, modificatela immediatamente e possibilmente generate una password univoca per ogni account
Seguite inoltre queste regole:
Non rispondete alla mail
Non pagate nessun riscatto
Utilizzate password robuste (non troppo corte e che includano lettere maiuscole, numeri e caratteri speciali)
I client di posta elettronica e i servizi di webmail bloccano in automatico questo genere di messaggi smistandoli nella cartella SPAM, ma qualche utente potrebbe sempre credere alla veridicità della mail ricevuta. NON FATELO MAI.
Seguimi sui social per non perdere i prossimi aggiornamenti:
Sostieni il mio sito con una donazione libera su Paypal cliccando sul seguente pulsante:
Hai un'idea o una richiesta per un tutorial?
Scrivimi in privato e la valuterò per la stesura di un articolo!
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti articoli e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulstante GRAZIE! Roberto
