Attacchi alle celebrità più importanti e come possono colpire l'utente

Le notizie dell'anno scorso riguardanti gli attacchi alle celebrità sembravano essere dovunque dopo il Celebgate, nome dato dai media all'attacco che, secondo Celebuzz, ha danneggiato fino a 600 account iCloud di personalità di spicco. I contenuti riguardavano foto hard di personalità di spicco, vittime di un attacco da parte di hacker, materiale che di conseguenza andò a finire sul tabloid Site4chan, e poco dopo si diffuse in tutta la rete.

Quest'anno, l'obiettivo della violazione social di noti profili è stato Ashley Madison, un sito di incontri, che si promuoveva come lo specialista in relazioni extraconiugali. La lista dei suoi iscritti è stata rubata e pubblicata online, provocando un'immediata corsa da parte dei media, al fine di trovare i nomi di celebrità tra i clienti del sito. Tuttavia, l'attacco ad Ashley Madison non è stato rivolto solo ai volti noti. Le società americane sono preoccupate poiché i dipendenti iscritti al sito risultano essere esposti ad attacchi di "spare-phishing" o altre forme di cyberestorsione.

Violazioni della vita privata

Gli attacchi alle celebrità, a quanto pare, non riguardano solo personaggi famosi. Nell'era di Internet, chiunque può diventare famoso se, nei casi più sfortunati, immagini o contenuti strettamente personali vengono hackerati e finiscono in rete. Questi incidenti danno una lezione di cybersecurity a tutti.

La maggior parte dei dettagli tecnici dell'attacco Clebgate non sono stati ancora resi noti (si tratta di una decisione saggia, poiché tali dettagli avrebbero potuto costituire un percorso da seguire per futuri hacker). Un punto importante su cui soffermarsi è che le immagini o altri dati archiviati negli iPhone vengono copiati automaticamente nell'iCloud, il servizio di archiviazione di Apple. Anche Android e altri sistemi operativi per dispositivi mobili salvano le copie in un servizio cloud, sempre per una buona ragione: in questo modo, gli utenti possono accedervi da tutti i lori dispositivi. Tuttavia questa rappresenta una potenziale vulnerabilità, della quale dovrebbero essere consapevoli tutti gli utenti.

L'attacco potrebbe essere stato semplice quanto indovinare le password delle celebrità (Apple, che generalmente gode di buona fama in materia di sicurezza, ha conseguentemente irrigidito la tutela dell'opzione "ho dimenticato la mia password"),o potrebbe aver coinvolto il "social engineering", inducendo qualcuno a rivelare le password altrui.

Le celebrità non sono le uniche potenziali vittime

La violazione ad Ashley Madison, al contrario, sembra tecnicamente simile ad altri attacchi di siti di vendita al dettaglio. Solo le conseguenze sono state differenti, e sono andate molto oltre Ashley Madison stesso. La violazione ai siti di vendita generalmente si limita a sottrarre informazioni relative alla carta di credito, dati preziosi per i cybercriminali. Gli hacker di Ashley Madison, al contrario, miravano chiaramente a mettere in imbarazzo le persone iscritte, e, con tale scopo, hanno pubblicato online la lista di milioni di clienti.

Sebbene la lista dei membri conteneva molti indirizzi e-mail di celebrità, Ashley Madison non ha né controllato né confermato tali indirizzi, e pochi (se non nessuno) sono apparsi essere reali. Fino ad ora, Josh Duggar (del reality show, 19 Kids and Counting) è la celebrità dal profilo più noto ad ammettere di essere coinvolta nello scandalo, ma, sicuramente, non è l'unica persona ad averne avvertito le conseguenze. Tuttavia, come riportato su Infoworld, la mancata conferma dei nomi delle celebrità attaccate non ha impedito che questa vicenda diventasse una seria preoccupazione, non solo per coloro che hanno visto la propria mail sulla lista, ma anche per quelle società e organizzazioni i cui dipendenti avevano effettuato l'iscrizione al sito e che adesso potrebbero essere esposti al "social engineering" o estorsioni all'avanguardia.

Social Engineering e vulnerabilità umana

"Social engineering" è il termine usato dagli esperti di cybersecurity per indicare quegli attacchi che mirano al fattore umano. Un esempio molto comune è lo "spear phishing", che si verifica quando un cybercriminale invia una e-mail (generalmente fingendo che sia da parte di un amico o di un collega) con collegamenti a siti o file nocivi. La vittima, inconsapevolmente, clicca sul link permettendo così al malware di infettare i suoi dispositivi e di trovare i dati personali.

Molte organizzazioni hanno il timore che i dipendenti coinvolti nell'attacco ad Ashley Madison possano essere esposti alle email di spear phishing che fingono di provenire da avvocati o investigatori privati. In questo contesto, i criminali non devono lambiccarsi il cervello per trovare tattiche gentili e amichevoli al fine di adescare le vittime, poiché la paura di essere vulnerabili e la disperazione può essere tale da portare le vittime a cliccare sul link e permettere così ai truffatori di intrufolarsi e cercare password e altri dati da sfruttare.

Nell'era della mobilità, ogni dispositivo con una connessione Internet è potenzialmente attaccabile e le password complesse fanno davvero la differenza.

Tweet: Nell'era della mobilità, ogni dispositivo con una connessione Internet è potenzialmente attaccabile e le password complesse fanno davvero la differenza. Condividerlo su Twitter!

È bene essere consapevoli dei pericoli del social engineering e pensare due volte prima di cliccare su link inaspettati e anomali presenti nelle e-mail. Nella nuova era, non sono sole le persone ricche e famose ad essere nel mirino degli attacchi.

Altre letture utili e link correlati alle minacce alla sicurezza dei dispositivi mobili

• Hacker di Snapchat: 5 modi per proteggere la famiglia
• La top 10 delle modalità con cui gli hacker sfruttano gli errori degli utenti
• Cos'è il social engineering?
• Come evitare i rischi di sicurezza del Wi-Fi pubblico