Il furto del profilo sul social: quali pericoli per la sicurezza?

di Francesca Gollin


Il furto del profilo social rappresenta uno dei tanti pericoli per sicurezza di imprese e individui ancora troppo sottovalutato. Eppure, si tratta di un fenomeno sempre più diffuso in rete: solo Facebook, negli ultimi quattro anni, ha subito ben tre violazioni da parte di hacker, da ultimo nell’estate dell’anni scorso, che hanno portato alla libera circolazione in rete dei dati di 533 milioni di persone iscritte a Facebook (35 milioni gli italiani coinvolti, secondo il Business Insider). Allo stesso modo, ad oggi, sarebbero circa 500 mila i profili Linkedin in vendita sul dark web.

Sulla problematica è intervenuto il Garante della Privacy, aprendo un’istruttoria sui colossi americani e raccomandando agli utenti di “prestare particolare attenzione a possibili anomalie sui propri cellulari o account”, in quanto “questi dati infatti potrebbero essere utilizzati per una serie di condotte illecite, che vanno dalle chiamate e dai messaggi indesiderati sino minacce gravi come le truffe on line o il furto di identità o a fenomeni come il cosiddetto “SIM swapping”, una tecnica utilizzata per violare determinate tipologie di servizi online che usano il numero di cellulare come sistema di autenticazione”.

L’autore del furto del profilo social commette un vero e proprio reato, punito dalla legge. Tra gli obiettivi dei cyber-criminali possono esserci quello di:

  • diffamare la vittima, pubblicando contenuti denigratori attraverso il suo profilo o un profilo fake;
  • estorcere denaro al proprietario del profilo, attraverso una richiesta di riscatto in cambio della restituzione del profilo;
  • acquisire dati personali per poter compiere altri reati, come le frodi bancarie, i furti nelle abitazioni, la diffusione illecita di immagini.

Pur confidando che società come Facebook, Linkedin, Instagram sviluppino modelli di tutela e sicurezza informatica sempre più avanzati, è tuttavia utile e necessario conoscere i pericoli che possono derivare dal furto del profilo social, al fine di proteggere al meglio la propria sicurezza e soprattutto la sicurezza dei soggetti più fragili, tra cui i minori.

I pericoli per la sicurezza dei privati cittadini

Vediamo nel dettaglio quali sono i pericoli maggiori per la sicurezza dei cittadini che subiscono un furto del loro profilo social e, quindi, un furto dei loro dati personali e delle loro fotografie.

La sicurezza delle persone può essere compromessa sotto vari punti vista da parte del ladro del profilo social.

Distinguiamo, in particolare, pericoli:

  • di carattere reputazionale: i dati personali della vittima che ha subito il furto del profilo social vengono utilizzati per diffamarla o creargli problemi a livello professionale mediante la pubblicazione di notizie false sul suo conto.

L’autore del furto potrà arrecare danno alla vittima sia intervenendo direttamente sul profilo rubato per pubblicare liberamente contenuti negativi, sia utilizzando i dati sottratti per la creazione di profili falsi (fake) contenenti foto, informazioni e post diretti a metterla in cattiva luce e a danneggiare la sua reputazione.

La diffamazione realizzata mediante furto del profilo social può comportare il diritto al risarcimento del danno per la vittima, qualora tale furto abbia creato un danno, che può essere relazionale o lavorativo, o abbia leso la sua reputazione.

Il furto del profilo social può diventare, in questi casi, non solo un mezzo per danneggiare la reputazione della vittima, ma una vera e propria condotta di stalking, in cui il furto del profilo viene realizzato allo scopo di perseguitare una persona.

  • di carattere economico: l’identità digitale e i dati contenuti nel profilo social vengono utilizzati per compiere frodi bancarie ed economiche.

In questo tipo di truffe, il primo elemento cui l’hacker mirerà nel compiere il furto di un profilo social sarà la password dell’account. Una volta ottenuta la password, che spesso è salvata in chiaro dagli utenti ed è la stessa per i diversi account aperti l’hacker sarà in grado di accedere ai nostri dati personali, alle nostre email e addirittura alle nostre carte di credito.

Una delle condotte illecite più comuni tra gli hacker che rubano l’identità digitale di un soggetto è il phishing: il furto di identità viene realizzato in questo caso mediante l’invio, da parte del “ladro”, di un messaggio di posta elettronica dalla propria banca, il cui logo è stato contraffatto, in cui viene richiesto di inserire le proprie credenziali in un form online. Il contenuto sarà del tipo: “il tuo conto corrente verrà bloccato entro 48 ore”, oppure “la tua carta di credito è scaduta clicca qui per riattivarla”. Nella maggior parte dei casi si invita l’utente ad aprire un link per esigenze di aggiornamento dei propri dati e in questo modo si viene reindirizzati a un sito gestito dall’autore del reato che finisce con l’appropriarsi dei dati dell’ignara vittima.

Infatti, è proprio tramite queste email che i malintenzionati rubano l’identità digitale delle persone e una volta appropriatosi dei dati, l’hacker potrà agire nel conto corrente della persona cui ha rubato i dati e utilizzare la sua carta di credito, con ovvie conseguenze economiche dirette.

In molti casi la vittima si rende conto che la sua identità è stata rubata fino a quando non inizia a ricevere fatture o essere contattata dalle autorità. Può essere uno shock enorme e può causare problemi personali di lunga durata oltre agli ammanchi economici. Per non parlare del tempo e degli sforzi necessari per risolvere la situazione.

Il pishing non colpisce solo i privati cittadini: secondo il recentissimo (marzo 2022) Rapporto Clusit del 2022 sulla sicurezza ICT in Italia[1], è il settore finanziario la maggior vittima di phishing, che avrebbe colpito nel corso del 2021 almeno 30 istituti di credito.

In questo caso i criminali informatici si spacciano telefonicamente per persone di cui la gente tende a fidarsi, come il dipendente di una banca, un funzionario dell’Agenzia delle Entrate o un agente assicurativo al fine di carpire informazioni bancarie e finanziari sensibili.

I pericoli per la sicurezza a livello aziendale

Si è analizzato il furto del profilo a danno di soggetti privati, ma il profilo social talvolta, pur non essendo oggetto di un vero e proprio furto, può diventare un mezzo per perpetrare frodi aziendali volte a carpire dati sensibili.

Curioso è il caso di una società newyorkese oggetto di un articolo da parte del giornale Forbes, vittima di furto di dati aziendali sensibili tramite Facebook:

Quando il direttore finanziario di una società privata di New York ha ricevuto una richiesta di amicizia da un’attraente bionda su Facebook, il CFO, fresco di divorzio, l’ha accettata con entusiasmo. Mentre chiacchieravano online, la sua nuova amica ha menzionato la possibilità di fargli visita per la notte di Capodanno e ha fatto alcune domande innocue sulla sua attività, come ad esempio quanti ricavi avesse la sua azienda. Il direttore disse che non poteva rivelare quell’informazione, ma pochi giorni dopo, essendo diventato più a suo agio con lei, ammise che la cifra era di $ 6,5 milioni.

Peccato che la sconosciuta curiosa non aveva solo l’obbiettivo di socializzare. “Lei” era un consulente di sicurezza (maschio) per una società chiamata Cyberoam a Bangalore, in India, che aveva appena scoperto quanto fosse facile sfruttare i social media per lo spionaggio aziendale. L’azienda newyorkese del regista è stata una delle 20 società che Cyberoam ha preso di mira per un periodo di sei mesi, perseguitando i dipendenti su Twitter, LinkedIn e Facebook per trovare fughe di informazioni sensibili”.

L’utilizzo poco attento o ingenuo del profilo social può dunque comportare notevoli problemi non solo per i privati cittadini ma anche per le società, specialmente nel caso in cui il social network sia utilizzato per la pubblicità e la sponsorizzazione dei propri prodotti e del relativo marchio.

I rischi legati a questo furto di informazioni societarie possono compromettere l’immagine dell’azienda,segreti aziendali e in generale la posizione sul mercato, occupata dall’azienda stessa.

Anche un attento esame dei bilanci pubblicati annualmente mette a disposizione dei malviventi preziose indicazioni circa i mercati su cui l’azienda opera, i volumi di mercato, i prodotti più apprezzati dalla clientela.

Il furto del profilo social o il suo utilizzo indebito può quindi comportare seri problemi prima di tutto a livello di fuga di informazioni confidenziali e, in secondo luogo, anche ripercussioni sul piano reputazionale. I social network infatti rappresentano proprio la principale “vetrina” per l’azienda, dove questa esprime la propria visione, i propri prodotti e il suo modello di governance.

La pubblicazione di contenuti negativi o la notizia di una fuoriuscita di informazioni riservate inerenti il business dell’impresa potrebbe infatti determinare un calo di fiducia negli stakeholder e una diminuzione del valore del brand aziendale.

In questi termini, il concetto di “sicurezza” va inteso in senso ampio, con riguardo non solo alla possibilità che si verifichi un data breach ma anche come gestione di un rischio reputazionale.

Come proteggere la propria sicurezza in caso di furto del profilo social?

Il furto di dati privati e sensibili coinvolge dunque una platea diffusa di soggetti e la problematica sicurezza va affrontata sia con riguardo ai pregiudizi che possono derivare ai privati cittadini, sia in relazioni ai danni economici e reputazionali che ne possono derivare alle società.

Va constatato che adottare forme di protezione della propria sicurezza in rete (come la creazione di password strutturate, l’attenzione agli indirizzi di provenienza delle email da parte degli istituti bancari, l’autenticazione a due fattori come nei siti di home banking), è il primo passo per evitare o quantomeno scoraggiare un hacker dall’attuare un furto del proprio profilo social, al fine di evitare di incorrere nei danni di sicurezza e reputazionali di cui si è parlato.

Meno si può fare, invece, per prevenire che la propria identità venga replicata sui social mediante la creazione di un profilo falso, il quale potrà tuttavia essere segnalato alle piattaforme social.

Va tuttavia evidenziato che, in nome della libertà di pubblicazione, i social non sempre agiscono tempestivamente per la rimozione di un profilo fake e si rende necessario strutturare un reclamo in termini legali, supportato da prove consistenti. In tal caso, il supporto di un professionista può garantire una maggiore rapidità nel raggiungere il risultato di riappropriazione del proprio profilo.

Dal punto di vista aziendale, appare indispensabile che le aziende si dotino sempre di più di figure competenti a scovare e prevenire i pericoli della rete, prima di tutto per evitare appropriazioni di dati sensibili da parte di competitors o malintenzionati, ma anche per scongiurare una crisi reputazionale, tanto grave quanto la perdita del capitale aziendale.

La protezione del brand aziendale, attraverso il quale la società si presenta e attira clienti e investitori, non può infatti prescindere da una tutela concreta del brand stesso non solo in ambito marketing ma anche come tutela dell’immagine mediante l’interazione con le piattaforme social e gli internet providers nel caso in cui siano presenti in rete contenuti negativi.


[1] https://clusit.it/rapporto-clusit/


Autrice:

Francesca Gollin

en_US