Hannah Shaw, meglio conosciuta come “Signora gattina”, insegna alle persone come prendersi cura dei gatti neonati e ha raccolto più di 1 milione di dollari per rifugi e salvataggi di animali. La sua pagina Facebook ha guadagnato oltre un milione di follower da quando ha iniziato a creare contenuti sui gatti, ma ha quasi perso tutto a causa di un attacco di ingegneria sociale che ha preso il controllo dell’accesso al suo account aziendale Meta.
“Ho costruito quella comunità per più di un decennio. Pensare che avrei potuto perderlo è stato piuttosto devastante”, ha detto Shaw.
Gli influencer si affidano a piattaforme come Facebook, Instagram e YouTube per il loro reddito. Questi siti si sono evoluti da facilitatori di progetti collaterali all’unica fonte di reddito per alcuni creatori di contenuti. Tuttavia, i cattivi attori hanno trovato il modo di prendere una parte del pezzo anche da coloro che si guadagnano da vivere onestamente lì. Sì, gli hacker di alto livello tendono a cercare entità con tasche profonde, prendendo di mira con attacchi altamente complicati. Ma gran parte della criminalità informatica oggi è costituita da lavori di ingegneria sociale, che derubano creatori di medio livello con molte meno risorse di una multinazionale, ma anche un know-how tecnico significativamente inferiore.
Un creatore che passa Bobine per hobby – che ha guadagnato un seguito di culto nella sua nicchia di restauro di abiti vintage – mi ha spiegato come le è successo tutto questo. L’attacco è avvenuto quasi con le stesse identiche fasi che hanno portato alla presa di possesso dell’account di Shaw. Tutto è iniziato con una richiesta di intervista da parte di un individuo chiamato Rex Hall, che affermava di essere un manager dello spettacolo “Podcast and Chill with MacG”. Sembra essere un vero podcast, anche se nessuno di nome Rex Hall sembra essere pubblicamente associato ad esso. (Abbiamo contattato i podcaster per determinare se sono consapevoli che il loro marchio viene utilizzato per perpetrare uno schema di ingegneria sociale e non abbiamo ricevuto risposta.) “Podcast and Chill” ha sede in Sud Africa e, secondo la sua biografia su Twitter, il suo scopo è in parte quello di “documentare l’eccellenza nera”. Non si concentra specificamente sugli argomenti trattati da Shaw o Bobbins, come il benessere degli animali o l’abbigliamento vintage, ma gli influencer ricevono queste richieste costantemente, i conduttori del podcast avevano un’impronta digitale e “Rex” era in grado di rispondere a qualsiasi domanda di Bobbins.
L’attore malintenzionato ha chiesto ai suoi obiettivi di partecipare a una chiamata Zoom per la preparazione pre-intervista, inclusa la configurazione di Facebook Live per generare entrate. “All’inizio sembrava tutto normale, l’unica cosa strana era che la sua macchina fotografica non era accesa. Ma anche questo non è troppo strano, molte persone non vogliono essere riprese”, ha detto Shaw. Dopo un labirinto di avanti e indietro sulle impostazioni di backend, il truffatore porta i suoi obiettivi a un’impostazione di backend chiamata “set di dati”. È una pagina oscura, spesso utilizzata per fornire alle persone l’accesso amministrativo a un account aziendale. Ma le vittime pensavano che fosse una parte normale della configurazione di Facebook Live perché include opzioni di gestione degli eventi.
Sia Shaw che Bobbins hanno respinto la richiesta di accedere ai set di dati e hanno disattivato la condivisione dello schermo per evitare di rivelare troppo. Ma gli hacker sono comunque riusciti a intromettersi insistendo nel voler aiutare con la configurazione, dicendo che avevano bisogno di visualizzare un collegamento apparentemente innocuo. Nei set di dati, i creatori hanno generato un URL univoco che i truffatori potevano utilizzare per accedere all’account. “Quando ha catturato quell’URL diretto, sostanzialmente ha generato l’invito via e-mail per lui senza dover mai accedere alla mia posta senza che lui avesse nemmeno bisogno di conoscere una password o altro”, ha detto Bobbins. “Tutto quello che doveva fare era inserire il collegamento e accettare l’invito e poi aggiungeva automaticamente il suo Facebook personale alla mia pagina.”
Dopo aver ottenuto l’accesso, “Rex” è riuscito a diventare amministratore della pagina. Con quel potere, potrebbero rimuovere la capacità di Bobbins di accedere. I ticket di supporto con Meta l’hanno mandata in cerchi cercando di riavere il suo account. Bobbins ha perso la capacità di comunicare con i suoi 400.000 follower e gli hacker hanno cancellato anni di contenuti a cui aveva dedicato la sua carriera.
I truffatori hanno ripulito la pagina per fare spazio a collegamenti fasulli che portavano a siti pieni di annunci per generare facili entrate. Hanno inserito un elenco di circa 100 parole bloccate in modo che i follower non potessero segnalarsi a vicenda che l’account era stato violato. “Chiunque commentasse sulla mia pagina dicendo ‘rubato’ o ‘hackerato’ o ‘truffa’ o qualsiasi altra cosa verrebbe automaticamente bloccato. Quindi, nessuno degli altri miei follower poteva vedere le persone che sapevano che il mio account era stato violato”, ha detto Bobbins. Ha perso un numero imprecisato di visualizzazioni e vendite per “centinaia di dollari” ogni giorno in cui il suo account veniva preso il controllo.
Shaw e Bobbins sono andati entrambi a Meta per chiedere aiuto, ma è stato infruttuoso. “Non c’è supporto per un problema come questo con Facebook”, ha detto Bobbins. La reimpostazione della password non è andata da nessuna parte, perché non è stato possibile modificare le impostazioni di amministrazione modificate dagli hacker. Quando Bobbins ha finalmente capito come contattare l’help desk di Facebook con un ticket di supporto, è stato chiuso “quasi istantaneamente” senza alcun aiuto ricevuto, ha detto. In risposta alle nostre domande su questo vettore di attacco o su cosa stanno facendo per aiutare i creatori a mantenere gli account sicuri, Meta ha consigliato agli utenti di implementare l’autenticazione a più fattori e segnalare eventuali problemi a il suo centro di supporto. Ma Shaw e Bottoms hanno entrambi attivato l’autenticazione a due fattori e i loro account sono stati comunque presi in consegna. Meta, tuttavia, introdurre un migliore servizio clienti come funzionalità nel pacchetto di verifica a pagamento all’inizio di quest’anno, in un altro modo le piattaforme di social media fanno pagare per le funzionalità di sicurezza.
Shaw ha recuperato il suo account in circa 72 ore dall’attacco iniziale utilizzando il suo seguito per trovare una persona che potesse aiutarla, ma Bobbins non è stata così fortunata. Ha ancora difficoltà ad accedere oggi, a più di un mese da quando si è verificato l’hacking. È rientrata brevemente ed è stata in grado di iniziare a ricaricare manualmente i suoi contenuti precedenti. Oltre a ciò, coloro che hanno avuto accesso agli account hanno cambiato i permessi di localizzazione, hanno disattivato le funzionalità di messaggistica, hanno rimosso il negozio dalla sua pagina, hanno bloccato alcuni follower e le hanno tolto abbonati da 5 dollari al mese. La rete di danni è diventata così estesa che Bobbins ha creato un elenco delle impronte lasciate dall’aggressore per aiutare gli altri ad annullare le modifiche. Dopo l’acquisizione dell’account, Bobbins ha lottato per mantenere l’accesso al suo account, con segnalazioni insolite su violazioni del copyright apparentemente ingiustificate e altre questioni che l’hanno espulsa.
“Non c’è nessun ulteriore passo che possa essere fatto in questo momento per proteggere qualcuno da quello che ho appena passato”, ha detto Bobbins. L’unica prevenzione per un crimine come questo è spargere la voce, in modo che altri non cadano nello stesso trucco di ingegneria sociale. Ecco perché Shaw sta aiutando a riunire più di una dozzina di altre vittime della stessa truffa per ridurre al minimo i danni e chiedere maggiore sicurezza ai creatori.
Tuttavia, non esiste una vera soluzione senza che le piattaforme creino grandi cambiamenti. Le piattaforme dovrebbero fare un lavoro migliore indagando rapidamente sui reclami dei follower perché in questo momento spetta ai proprietari delle pagine capirlo, ha affermato Eva Velasquez, presidente e CEO dell’Identity Theft Resource Center. Sebbene esistano molti processi prescritti per il furto di identità tradizionale, come il congelamento del credito, non esistono pratiche ben definite per l’acquisizione di account sui social media perché i creatori sono alla mercé di queste piattaforme.
Se ti imbatti in quella che sembra essere una violazione dell’account come follower, Velasquez consiglia di contattare il creatore al di fuori di quella piattaforma specifica per fargli sapere che si sta verificando un hacking. Le vittime di un furto di account possono anche avvisare l’Internet Crimes Complaint Center dell’incidente, ma non possono fare molto altro. Oppure, i creatori possono evitare del tutto di utilizzare la piattaforma. “In questo momento, non consiglio a nessuno di accettare interviste live su Facebook”, ha detto Shaw.
Questo articolo contiene collegamenti di affiliazione; se fai clic su tale collegamento ed effettui un acquisto, potremmo guadagnare una commissione.