Barracuda full logo

Phishing sui social media: Tattiche di attacco e strategie di mitigazione

Argomenti:
26 feb 2025
|
Nihad Hassan

Le truffe esistevano molto prima di internet. I criminali utilizzavano telefonate e tecniche di persona per rubare informazioni sulle carte di credito o altre informazioni sensibili a scopo di lucro. Tuttavia, a seguito della trasformazione digitale su vasta scala e della maggiore dipendenza dalla tecnologia internet per condurre affari, in particolare il banking online e l'e-commerce, i truffatori hanno spostato la loro attenzione sull'utilizzo del mezzo digitale come principale vettore di attacco.

Gli attacchi basati su email vengono in mente quando si discute di phishing. Tuttavia, la proliferazione delle piattaforme di social media negli ultimi anni — con statistiche che mostrano che il 63,9% della popolazione mondiale interagisce con le piattaforme di social media — ha motivato i criminali informatici a eseguire attacchi di phishing attraverso siti web di social media. Questa evoluzione ha creato un nuovo sottotipo di attacchi di phishing: il phishing sui social media.

Cos'è il phishing sui social media?

Il phishing sui social media è una forma specializzata di attacco di phishing che sfrutta le piattaforme di social media come Facebook, Instagram, X, LinkedIn e siti web simili. Questi attacchi avvengono generalmente attraverso funzionalità di messaggistica come Facebook Messenger o Instagram Direct Messages, o tramite link di phishing condivisi nei post pubblici e nei commenti. Gli aggressori mirano a rubare informazioni sensibili degli utenti, come informazioni bancarie o di carte di credito, o ad accedere ai loro account sui social media (ad esempio, tramite pagine di phishing che somigliano alla vera pagina di accesso dei social media).

Il phishing sui social media è diventato una preoccupazione crescente a livello mondiale a causa dell'enorme base di utenti sulle piattaforme sociali. Questo articolo discuterà delle diverse tecniche di phishing sui social media utilizzate dagli hacker e suggerirà contromisure per fermare questo tipo di attacco. Tuttavia, prima di iniziare, discutiamo brevemente delle fasi degli attacchi di phishing sui social media.

Un tipico attacco di phishing sui social media si svolge in tre fasi:

  1. Ricognizione – Raccolta di informazioni sul bersaglio attraverso tecniche di intelligence open source (OSINT), ingegneria sociale, o mediante l'uso di strumenti di scansione automatizzati. Questa fase comporta la mappatura delle connessioni, degli interessi e dei modelli comportamentali del bersaglio per creare attacchi personalizzati.
  2. Creare l'esca: sviluppo di esche convincenti come messaggi urgenti, offerte promozionali o interazioni di profilo che convincono gli utenti a cliccare su link di phishing o a scaricare software dannoso per infettare il loro dispositivo informatico.
  3. Esecuzione – Manipolare gli utenti affinché eseguano azioni specifiche, come inserire le proprie credenziali di accesso in pagine di login fraudolente, installare malware camuffato da applicazioni legittime o concedere permessi di account ad applicazioni dannose

Tecniche di attacco phishing sui social media

Esistono diverse tecniche per eseguire il phishing sui social media. Ecco le più importanti:

Richieste di amicizia false

Le richieste di amicizia false sono una tattica comune utilizzata dai cybercriminali per ottenere l'accesso alle informazioni personali degli utenti target, diffondere malware o commettere truffe. Queste richieste spesso provengono da profili legittimi ma sono fabbricate o create utilizzando la tecnologia AI deepfake per conquistare rapidamente la fiducia dell'utente target. Un profilo fabbricato tipico può presentare uno dei seguenti temi:

  • Impersonare figure autoritarie, come ufficiali delle forze dell'ordine che richiedono cooperazione per risolvere un caso urgente o dirigenti della tua azienda che cercano aiuto durante le tue vacanze per una questione aziendale urgente
  • Impersonare celebrità famose, come modelle, blogger di viaggi o professionisti in settori glamour come fotografi rinomati
  • Impersonare i profili di altre persone. Ad esempio, un hacker può rubare le foto personali di qualcuno insieme alle loro immagini pubblicate su varie piattaforme di social media per creare un profilo dettagliato utilizzando il loro nome e cercare di comunicare con l'obiettivo utilizzando questa persona altamente fabbricata.
  • Sfruttare gli eventi attuali, come durante crisi politiche o disastri naturali, fingendosi giornalisti, operatori umanitari o coordinatori di risposta alle crisi in cerca di assistenza o informazioni urgenti
  • Creare interessi romantici immaginari che condividono interessi, esperienze e dettagli di background simili con il target

È importante notare che gli hacker spesso adattano i loro profili social media falsi per allinearsi ai valori o alle credenze della comunità di riferimento. Ad esempio, quando impersonano qualcuno su LinkedIn, possono presentarsi come consulenti finanziari nel tentativo di prendere di mira qualcuno nel settore bancario. Questi profili mostrano frequentemente una prova sociale sofisticata, inclusi endorsement, raccomandazioni e storie di attività fabbricate appositamente per stabilire credibilità.

Messaggi diretti

Gli attacchi di phishing sui social media generalmente sfruttano i messaggi diretti (DM) delle piattaforme di social media per ingannare gli utenti e indurli a rivelare informazioni sensibili o scaricare programmi dannosi. Un DM dannoso può utilizzare uno dei seguenti temi:

  • Richieste di autenticazione urgenti: Il mittente spesso si spaccia per uno degli amici del bersaglio o un altro contatto fidato. Ad esempio, un utente potrebbe ricevere un messaggio che afferma di essere da parte di un amico che ha bisogno di aiuto per accedere al proprio account bloccato e richiede un codice di verifica inviato al numero di telefono del bersaglio. L'attaccante potrebbe aver clonato l'account o compromesso e utilizzare l'urgenza per fare pressione sul bersaglio per fornire il proprio codice di verifica a due fattori (2FA).
  • Avvisi di sicurezza della piattaforma: Messaggi che fingono di provenire dal team di supporto della piattaforma di social media, notificando all'utente problemi di sicurezza dell'account che richiedono azioni immediate. Esempi includono: "Il tuo account è stato segnalato per attività sospette. Clicca qui per metterlo in sicurezza ora" oppure "Il tuo account verrà eliminato definitivamente in 24 ore a meno che non verifichi la tua identità qui." I link incorporati all'interno di questi messaggi indirizzano gli utenti a pagine di login di phishing progettate per rubare le credenziali del loro account o per invitarli a installare un malware per il furto di informazioni.
  • Notifiche di premio: Messaggi che promettono ricompense, offerte esclusive a tempo limitato o premi per convincere gli utenti a cliccare su link malevoli. Esempi includono: "Hai vinto una carta regalo da $300! Clicca qui per reclamare il tuo premio" o "Accesso VIP esclusivo concesso — reclama ora il tuo abbonamento premium." Queste offerte in genere portano l'utente a pagine di raccolta credenziali o siti di distribuzione di malware.

Post o commenti di phishing

I post o i commenti di phishing sono un altro tipo di phishing sui social media. Questi sembrano legittimi a prima vista e utilizzano varie tattiche per convincere gli utenti a fare clic sui link incorporati, come:

  • Trappole di contenuti accattivanti: I criminali informatici creano contenuti coinvolgenti progettati per attirare l'interazione degli utenti. Ad esempio, un post potrebbe affermare: "Guarda questo video divertente di un gatto che cerca di ballare!" con un URL abbreviato che nasconde la destinazione reale. Cliccando, gli utenti vengono indirizzati a una pagina di login fraudolenta (che imita piattaforme come YouTube) chiedendo di inserire le credenziali del proprio account o di installare malware camuffato da lettore video. Entrambi i metodi mirano a rubare le credenziali dell'account utente o installare malware per la raccolta di dati.
  • Titoli sensazionali: Post con contenuti drammatici o esclusivi progettati per sfruttare la curiosità degli utenti. Esempi includono presunti scandali di celebrità ("Celebrità X coinvolta in uno scandalo scioccante — filmati esclusivi!") o affermazioni di notizie dell'ultima ora ("Non crederai a cosa è successo oggi a New York City!"). Questi titoli aggirano la normale consapevolezza della sicurezza degli utenti attivando risposte emotive immediate.
  • Account aziendali compromessi: Gli aggressori prendono il controllo degli account social media aziendali legittimi per sfruttare le relazioni di fiducia stabilite con i follower. Ad esempio, la pagina Facebook di un rivenditore di articoli sportivi compromessa potrebbe annunciare un giveaway gratuito di scarpe, richiedendo solo il pagamento della spedizione. Il processo di checkout indirizza gli utenti a pagine di pagamento fraudolente progettate per rubare le informazioni della loro carta di credito. Questi attacchi sono particolarmente efficaci perché sfruttano la reputazione e i follower esistenti dell'azienda.

Offerte di lavoro false

I truffatori utilizzano false offerte di lavoro per sfruttare i cercatori di lavoro, cercando di rubare denaro e informazioni personali delle vittime o installare malware sui loro dispositivi informatici per eseguire altre azioni dannose. Ecco le tattiche più comuni delle false offerte di lavoro:

  • Messaggi di reclutamento fraudolenti: I truffatori inviano messaggi utilizzando l'email o le funzionalità di messaggistica diretta delle piattaforme social, in particolare LinkedIn, per colpire le potenziali vittime. Affermano di rappresentare aziende legittime offrendo opportunità di lavoro irrealistiche. Ad esempio, un utente potrebbe ricevere un messaggio che dice: "Ciao! Abbiamo visto il tuo profilo e siamo impressionati dalla tua esperienza. Vogliamo offrirti una posizione da remoto con uno stipendio di 5.000 dollari al mese. Non è richiesta esperienza!" A differenza di queste truffe, i reclutatori legittimi forniscono descrizioni dettagliate del lavoro, informazioni sull'azienda, indirizzi email aziendali verificabili e numeri di contatto ufficiali.
  • Offerte ad alto salario: I truffatori sfruttano le aspirazioni finanziarie dei candidati pubblicizzando pacchetti di compensazione irrealistici. Esempi includono "Guadagna $5.000 a settimana lavorando comodamente da casa, solo 1 ora al giorno!" o "Inizia a guadagnare $10.000 al mese senza esperienza richiesta!" Queste offerte creano urgenza ed eccitazione, inducendo le vittime a ignorare i segnali di allarme.
  • Raccolta di informazioni personali: I truffatori richiedono dati sensibili attraverso moduli di phishing sofisticati o comunicazioni dirette. Potrebbero richiedere "Documentazione richiesta per l'impostazione della busta paga", inclusi numeri di previdenza sociale, patenti di guida, copie di passaporti o dettagli bancari. Alcuni schemi prevedono tariffe anticipate mascherate da costi di registrazione, controlli dei precedenti o materiali di formazione, che generalmente vanno da $50 a $200.
  • Truffe di verifica: Una nuova tattica prevede di chiedere ai bersagli di verificare la loro identità tramite applicazioni o siti web specifici. Queste piattaforme contengono spesso malware o sono progettate per rubare le credenziali di autenticazione da altri account, come Google o Facebook. I truffatori potrebbero dire, "Scarica la nostra app di verifica sicura per completare la tua applicazione" o "Clicca su questo link per verificare la tua idoneità lavorativa."

Strategie di difesa

Per proteggersi dagli attacchi di phishing sui social media, gli utenti dovrebbero adottare le seguenti misure protettive:

  • Rafforzare la sicurezza dell'account: Usa l'autenticazione a due fattori (2FA) su tutti gli account dei social media e utilizza password uniche e complesse per ciascun account. Puoi utilizzare un gestore di password per generare credenziali di account online. Ricorda di non condividere i codici di verifica con nessuno, indipendentemente dalla loro identità dichiarata.
  • Verifica della connessione: Prima di accettare richieste di amicizia sulle piattaforme di social media, verifica la legittimità dell'account controllando le connessioni comuni, il numero di amici, la data di creazione del profilo (gli account appena creati sono un grande campanello d'allarme) e i modelli di attività recenti (gli account con poca attività sono sospetti).
  • Sicurezza dei link: Non cliccare mai su URL abbreviati nei post o nei messaggi sui social media. Passa il mouse sopra i link per visualizzare l'anteprima della loro destinazione effettiva. Puoi utilizzare un servizio di terze parti per rivelare la destinazione effettiva degli URL, come: CheckShortURL.
  • Autenticazione dei messaggi: Verifica i messaggi inaspettati da amici tramite canali di comunicazione alternativi, come email o telefono, soprattutto se richiedono azioni urgenti o informazioni sensibili.
  • Comunicazione aziendale: Per le comunicazioni relative al lavoro, comunica solo tramite indirizzi email ufficiali dell'azienda e piattaforme aziendali verificate. Non pagare mai commissioni anticipate per opportunità di lavoro o condividere informazioni personali sensibili tramite messaggistica sui social media.

Man mano che le piattaforme di social media continuano a dominare la comunicazione online, i criminali informatici stanno sfruttando sempre più questi canali per attacchi di phishing sofisticati. Comprendere questi modelli di attacco e mantenere una consapevolezza costante è fondamentale per proteggersi dalle minacce di phishing sui social media.

Iscriviti al blog di Barracuda
Nihad Hassan

Nihad Hassan è un autore tecnico esperto che ha pubblicato sei libri nel campo della cybersecurity. Le sue aree di competenza includono una vasta gamma di argomenti relativi alla cybersecurity, tra cui OSINT, threat intelligence, digital forensics, data hiding, digital privacy, network security, social engineering, ransomware, penetration testing, information security, compliance e data security.

Post correlati:
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
 Malware Brief: phishing ingegnoso, BYOVD e RAT Android
Malware Brief: phishing ingegnoso, BYOVD e RAT Android
 Un sondaggio rileva un calo globale dei costi delle violazioni dei dati
Un sondaggio rileva un calo globale dei costi delle violazioni dei dati
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.