Come ti blocco le truffe dei profili Instagram
Hacker’s Dictionary. La rubrica settimanale a cura di Arturo Di Corinto
di ARTURO DI CORINTO per Il Manifesto del 30 Agosto 2018
Con oltre un miliardo di utenti Instagram è il secondo social più diffuso al mondo. Per questo motivo il social per la condivisione di fotografie è anche uno dei più bersagliati dai criminali informatici. Negli ultimi tempi sono aumentati i tentativi di impossessarsi degli account presenti sulla sua piattaforma per accedere alle informazioni personali degli utenti e ai loro messaggi per ricattarli, ma anche per veicolare virus o diffondere spam. Secondo i ricercatori di Kaspersky dopo aver preso il controllo dell’account, i cybercriminali cambiano la foto del profilo, la descrizione, l’indirizzo e-mail e il numero di telefono per impedire ai titolari di riappropriarsi del proprio account. Ovviamente ad essere presi di mira sono gli account più attivi, con molti follower e quelli delle celebrità.
Nel passato gli agenti di Europol hanno identificato su Instagram anche sospetti jihadisti e account di propaganda politica con follower fasulli.
Per tutti questi motivi Instagram ha deciso di prendere di petto la questione degli account fasulli sul social e ha annunciato che nelle prossime settimane consentirà agli utenti di avere informazioni sui membri più popolari della piattaforma con una sezione ad hoc.
Si chiamerà «About this account» e conterrà una serie di informazioni sugli account che hanno molto seguito: la data di iscrizione, il paese di provenienza, i cambi di nome nell’ultimo anno e le eventuali pubblicità in corso. La novità arriva insieme ad altre due in chiave sicurezza: l’estensione dei profili verificati con la «spunta blu» – come su Twitter – e l’autenticazione a due fattori con app esterne. «La community ci ha detto che è importante comprendere gli account che raggiungono molte persone, specie se condividono informazioni su attualità, politica e società», ha detto in un post Mike Krieger, cofondatore e direttore tecnico di Instagram. Tutto bene allora? Certo, ma secondo gli esperti è proprio in questa fase che aumenteranno i tentativi di truffa per impossessarsi degli account.
È in occasione di cambiamenti di policy nei servizi online che i cybercriminali creano dei siti con le sembianze di pagine di assistenza che richiedono informazioni personali dell’account: username, password, indirizzo e-mail, nome, cognome, data di nascita. Nel caso di Instagram per rilasciare un badge di verifica fasullo, impossessarsi dei dati dell’utente e prenderne il posto.
Quelle stesse informazioni aiuteranno i ladri a bypassare la procedura di autenticazione a due fattori. Il delinquente non deve far altro che richiedere il codice o altre informazioni di sicurezza via Sms con cui contattare il vero servizio di assistenza e compromettere definitivamente l’account.
Ai siti fake ci si arriva in molti modi, ma la tecnica prevalente rimane il phishing: una finta email del team di Instagram che chiede di cliccare un link specifico per portare l’ignaro utente sul sito fasullo dove immettere i suoi dati personali «perché l’account è stato hackerato» o «per aggiornare le credenziali di accesso». Oppure, semplicemente si invita l’utente a dare un’opinione su una foto e, per fare ciò, deve collegarsi al social network.
Per questo è fondamentale non cliccare mai su link sospetti; verificare che l’Url del sito sia Instagram.com; scaricare le app di servizio solo dagli store ufficiali e utilizzare quelle e solo quelle per gestire i propri profili. E sopratutto, mai e poi mai usare le credenziali di accesso del social per collegarsi ad app e servizi che non conosciamo abbastanza.