Per quanto sofisticato fosse lo schema degli agenti dell'intelligence russa per interferire nelle elezioni presidenziali del 2016, hanno usato una semplice tecnica di hacking, tra gli altri, per infiltrarsi negli account di posta elettronica degli agenti democratici, secondo l'ultima accusa del consigliere speciale Robert Mueller. E quella tecnica, nota come "spear phishing", rimane una minaccia non solo per i funzionari della campagna, ma anche per dipendenti e consumatori.

Lo spear phishing è una truffa in cui i criminali informatici si spacciano per fonti attendibili e inviano messaggi elettronici fasulli a individui mirati per indurli a rivelare informazioni sensibili.

Nel caso di Giovanni Podestà, il presidente della campagna presidenziale di Hillary Clinton, era un'email fuorviante che sembrava una notifica di sicurezza di Google, chiedendo a Podesta di cambiare la sua password facendo clic su un collegamento incorporato, secondo l'accusa depositata venerdì. Podesta ha seguito le istruzioni dell'e-mail, cambiando la sua password e dando agli hacker l'accesso a 50, 000 delle sue email.

Ma la pesca subacquea potrebbe arrivare sotto forma di un'e-mail che sembra provenire dal tuo capo, chiedendoti di inviare il tuo modulo W2. O un messaggio con una fattura prevista, chiedendo di trasferire i soldi su un conto controllato da cattivi attori.

"L'accusa illustra davvero i molti usi che questa tecnologia può essere utilizzata, " disse Edward McAndrew, un ex procuratore federale per i crimini informatici e co-leader del gruppo per la privacy e la sicurezza dei dati di Ballard Spahr a Filadelfia. "Non si tratta solo di rubare le informazioni personali di qualcuno. Si tratta di frodi finanziarie, o in questo caso, persino brogli elettorali».

Come è fatto

Nelle tipiche truffe di phishing, i criminali informatici inviano e-mail generiche a un'ampia fascia di utenti, sperando che qualcuno abbocchi e scarichi un allegato infetto o faccia clic su un collegamento a un sito Web fasullo.

truffe di spear phishing, al contrario, sono calibrati su obiettivi specifici. Gli hacker ricercheranno un individuo in anticipo, scansionare gli account dei social media e le informazioni pubbliche per imparare il lavoro di una persona, amici o interessi per creare un'e-mail affidabile.

"Capiranno dove lavori e chi sono i tuoi colleghi e proveranno a inviare un'e-mail falsa che sembra provenire da uno dei tuoi colleghi, " ha detto Gabriel Weinberg, CEO e fondatore di DuckDuckGo, con sede a Paoli, un motore di ricerca su Internet che non tiene traccia o memorizza i dati dell'utente.

Questo è quello che è successo martedì all'azienda di Weinberg. Uno dei suoi dipendenti ha ricevuto un'e-mail da un mittente che utilizzava il nome di Weinberg chiedendo:"Ho bisogno che tu mi aiuti a svolgere un'attività. Fammi sapere se non sei occupato, " secondo una copia del messaggio. Il mittente che si spacciava per Weinberg voleva "regalare alcune carte regalo Apple ad alcuni clienti". Weinberg e il suo collega non hanno morso.

La persona che fingeva di essere Weinberg ha usato un indirizzo e-mail che non era nemmeno vicino a somigliare a quello reale. Ma Michael Levy, il capo dei crimini informatici per l'ufficio del procuratore degli Stati Uniti a Philadelphia, ha detto che i criminali informatici in genere creano indirizzi e-mail quasi identici a quelli di fonti attendibili, inserendo una lettera in più o usando uno zero invece di una "O" maiuscola, " Per esempio.

In alcuni casi, come l'hack russo del Democratic Congressional Campaign Committee, le e-mail di spear phishing indirizzeranno gli utenti a siti Web fasulli, dove le vittime inseriranno le loro credenziali e inconsapevolmente forniranno agli hacker i loro nomi utente e password. Nel caso DCC, Gli agenti russi hanno quindi installato malware su almeno 10 computer del comitato, secondo l'accusa, consentendo loro di monitorare l'attività informatica dei singoli dipendenti, rubare password e mantenere l'accesso alla rete DCCC.

"Ci sono due modi per entrare nei computer, " Ha detto Levy. "C'è il sofisticato hacking in cui si scopre come sfondare un sistema di sicurezza ... [o] si attacca l'anello più debole del sistema di sicurezza, e questo è l'utente."

Una volta che gli hacker hanno accesso al sistema di posta elettronica di un'azienda, "si siederanno e guarderanno per imparare il più possibile sulle persone, "Levy ha detto, aggiungendo che i criminali informatici possono raccogliere qualsiasi cosa, dalle abitudini di posta elettronica dei dipendenti al nome della moglie del presidente dell'azienda.

McAndrew, di Ballard Spahr, ha detto che una volta che gli hacker hanno ottenuto l'accesso a un account di posta elettronica, possono leggere i messaggi di un utente, calendari e contatti di lavoro, come se qualcuno stesse "virtualmente guardandosi alle spalle".

"Puoi conoscere gli eventi prima che accadano leggendo su di loro, " ha detto McAndrew. "Sai cosa sta succedendo."

Gli hacker consapevoli di un pagamento imminente possono avventarsi inviando e-mail di spear phishing per indurre i destinatari a trasferire denaro su conti sotto il controllo degli hacker, ha detto McAndrew.

Le vittime di crimini su Internet hanno subito perdite per oltre 1,4 miliardi di dollari nel 2017, quasi raddoppiando dal 2013, secondo un rapporto dell'FBI sulla questione pubblicato a maggio. I crimini elencati come "compromissione della posta elettronica aziendale/compromissione dell'account e-mail" hanno rappresentato oltre 676 milioni di dollari del totale del 2017, che rappresenta la più ampia categoria di perdita.

Come proteggersi

Un modo per ridurre il rischio di spear phishing è utilizzare l'autenticazione a più fattori, che aggiunge un ulteriore livello di sicurezza richiedendo non solo un nome utente e una password, ma la conoscenza o il possesso di qualcosa che solo quell'utente ha, come un codice inviato a un telefono cellulare.

"Anche se vieni ingannato e vai su un sito fasullo e digiti la tua password, sarà inutile senza" l'altra informazione, disse Anthony Vance, direttore del Center for Cybersecurity della Temple University.

Vance ha suggerito di usare twofactorauth.org, che indica agli utenti se i siti Web supportano l'autenticazione a più fattori. I principali servizi come Google o Yahoo consentono agli utenti di attivare il servizio.

Gli esperti hanno affermato che anche le persone dovrebbero usare un po' di buon senso. Resisti alla tentazione di fare clic su collegamenti o allegati da una fonte sconosciuta o da un messaggio inaspettato. Verificare con i colleghi prima di rispondere a un'e-mail sospetta.

"La prima cosa che le persone possono fare è esaminare attentamente ogni singola email che ricevono, " ha detto McAndrew.

©2018 The Philadelphia Inquirer
Distribuito da Tribune Content Agency, LLC.