Il mondo degli incontri non è più quello romantico di una volta descritto nei film di Fellini de “la dolce vita”. Gli incontri “creati” con le nuove app di dating online, come suggeriscono nuovi studi, sono in costante aumento.
Ma ad oggi queste app e le proprie informazioni condivise sono veramente sicure specialmente nell’ottica del dipendente aziendale?
La risposta è negativa. Sono decisamente pericolose! Come confermato dai ricercatori di Trend Micro tali app contribuiscono a fornire tipologie (e la quantità) di informazioni riguardanti gli utenti stessi, i luoghi in cui lavorano, visitano o vivono. Queste non sono utili solo per le persone che cercano un’appuntamento, ma anche per gli aggressori che sfruttano queste informazioni per entrare nelle aziende.
In un nostro precedente approfondimento, si parlava dell’importanza delle tecniche di social engineering, ad oggi alla base di numerosi attacchi mirati di hacker.
La ricerca di Trend Micro ha preso in oggetto le piattaforme di incontri più usate dagli americani: Tinder, Plenty of Fish, Jdate, OKCupid, Grindr, Coffee meets Bagel e LoveStruck.
L’azienda, infatti, si chiede: “Dato un obiettivo noto (ad esempio, dirigente d’azienda, responsabile del dipartimento IT, funzionario governativo), è possibile trovare l’account corrispondente su una di queste piattaforme (supponendo che ne abbiano uno)? E’ possibile rintracciare gli altri profili social, (ad esempio Facebook, LinkedIn o le pagine dell’azienda) collegate a questo account?
Sfortunatamente, la risposta a entrambe le domande è un sonoro sì.”
Le app di incontri online consentono di filtrare le persone utilizzando una vasta gamma di parametri: età, posizione, istruzione, professione, stipendio, per non parlare di caratteristiche fisiche come l’altezza e il colore dei capelli, insomma tutte quante informazioni relativamente accessibili se si conosce l’obiettivo da attaccare. Con un po ‘di ingegneria sociale l’attaccante può facilmente ingannare l’utente facendolo cliccare su un link. Il phishing in tale ottica rappresenta sicuramente la tecnica più utilizzata. Anche gli Exploit kit sono largamente diffusi ma il loro impiego, data la natura delle app create per dispositivi mobili, è abbastanza complesso anche per gli attaccanti.
“All’inizio di quest’anno – conferma Trend Micro – attacchi mirati contro l’esercito israeliano hanno utilizzato i profili social come punti di ingresso. Anche le truffe romantiche non sono una novità, ma quante di queste sono condotte sulle reti di incontri online?”
Per portare a termine questo esperimento sono stati creati degli honeyprofiles, cioè profili fake ma che avevano delle peculiarità: lavoro, interessi comuni, età, ruolo ricoperto e anche geolocalizzazioni in aree specifiche di potenziale interesse: amministratori medici vicino a ospedali, personale militare vicino a basi, ecc.
I profili con specifici titoli di lavoro hanno naturalmente attirato più attenzione. I risultati attesi tuttavia non hanno portato ad attacchi mirati o specifici, “ciò non vuol dire che questo non potrebbe accadere o non sta accadendo, sappiamo che è tecnicamente (e sicuramente) possibile. Ciò che sorprende è la quantità di informazioni aziendali che possono essere raccolte da un profilo di rete di incontri online”.
Su Tinder ad esempio si può collegare il proprio account Facebook e Instagram dove si possono vedere in chiaro molte informazioni contrariamente a quelle che sono le misure di privacy impostate e che sarebbero inaccessibili sui rispettivi siti.
Le aziende che dispongono già di politiche di sicurezza operative che limitano le informazioni che i dipendenti possono divulgare sui social media – Facebook, LinkedIn e Twitter – dovrebbero prendere in considerazione la possibilità di estenderlo a siti o app di appuntamenti online che ad oggi rappresentano una fonte informativa importante che potrebbe danneggiare la propria organizzazione.
