Come proteggere gli account social dagli attacchi di scambio SIM | Blog ufficiale di Kaspersky

“Regalo 125.000 dollari! Unisciti al progetto tramite il link sul mio profilo!”: all’improvviso, un famoso blogger russo lancia un’enorme giveaway di denaro su Instagram. Un volto familiare, che parla con voce allegra e un tono sicuro, appare nelle storie. Sembra troppo bello per essere vero…

Perché lo è. Non c’è nessun progetto vero e proprio. Il blogger non ha lanciato nulla. Il suo account è stato semplicemente violato. E i truffatori sono andati oltre i soliti trucchi: non solo hanno rubato l’accesso e pubblicato un falso link per un giveaway, ma hanno anche creato un nuovo video partendo da vecchi filmati e lo hanno doppiato con una voce generata da reti neurali. Leggi l’intera storia per scoprire in che modo gli account Instagram vengono rubati tramite lo scambio di schede SIM e cosa fare per proteggerti.

Una campagna truffaldina quasi impeccabile

Con l’avvento degli strumenti di intelligenza artificiale, i truffatori sono diventati improvvisamente “più intelligenti”. In precedenza, dopo aver sferrato un attacco ai danni di un blogger, si limitavano a pubblicare link di phishing e sperare che il pubblico abboccasse. Ora possono lanciare campagne di pubbliche relazioni a pieno titolo dall’account rubato. Ecco cosa hanno fatto questa volta i truffatori:

• Un breve video. Hanno scritto una sceneggiatura, l’hanno doppiata con un deepfake della voce della blogger e hanno montato insieme le immagini dei suoi reel pubblicati in precedenza.
• Un post di testo. Hanno pubblicato una foto con una didascalia commovente su quanto sia stato difficile lanciare il progetto, cercando di imitare il tono abituale della blogger.
• Quattro storie. Hanno riutilizzato vecchie storie in cui la blogger menzionava un progetto reale, hanno aggiunto un collegamento a un sito di phishing e le hanno ripubblicate.

Tutto ciò conferisce al falso progetto un’aria di legittimità, poiché i blogger spesso utilizzano contenuti di questo tipo in diversi formati per promuovere iniziative reali. I truffatori non si sono risparmiati, arrivando persino a includere alcune testimonianze di fan riconoscenti, false, ovviamente.

Testimonianze false mirate a incoraggiare più fan a partecipare

Esaminiamo più in dettaglio il video. A prima vista, la qualità è sorprendentemente alta. Segue tutte le regole del blog: argomento del blog (ristrutturazione della casa), narrazione in voice-over, editing veloce. Ma a un esame più attento, l’illusione si infrange. Guarda lo screenshot qui sotto: solo un video ha una filigrana nell’angolo superiore sinistro, tratta dalla versione gratuita dell’app di editing CapCut. È questo l’aspetto falso. Gli altri video non hanno questa filigrana, perché il vero blogger usa la versione premium o modifica con un’altra app.

Il primo video è quello falso creato dai truffatori

C’è un altro dettaglio: i sottotitoli. In tutti i suoi veri video, la blogger utilizza solo testo bianco, senza sfondo. Nel video falso, il testo è bianco su sfondo nero. Certo, a volte i blogger cambiano il loro stile, ma solitamente impostazioni come font e colore vengono salvate nel loro software di editing e rimangono coerenti.

Cosa succede se fai clic sul link nel profilo?

Ed è qui che la cosa si fa interessante. Che tipo di “progetto” stavano esattamente promuovendo i truffatori e cosa succede se fai clic sul link?

La biografia sembra sospetta

Se stai utilizzando un dispositivo senza protezione affidabile (che ti avviserà se provi a visitare un sito di phishing), verrai indirizzato a una pagina molto semplice: un’immagine accattivante, un testo accattivante e un pulsante Richiedi il tuo premio. Facendo clic su tali pulsanti si ottiene in genere uno di questi due risultati: ti verrà chiesto di pagare una commissione oppure ti verrà chiesto di inserire i tuoi dati, presumibilmente per ricevere le tue vincite. In ogni caso, ti verrà chiesto di condividere i tuoi dati bancari. Naturalmente non c’è nessun premio in palio: è puro phishing.

Una ragazza con dollari e uno smartphone simboleggia le ricchezze che attendono… i truffatori dopo aver rubato il tuo conto bancario

Come hanno fatto gli autori degli attacchi a violare l’account Instagram della blogger?

Importante: non esiste ancora una versione ufficiale delle modalità con cui l’account è stato compromesso. Si tratta di un caso di alto profilo e la blogger lo ha segnalato alla polizia. Attualmente sospetta di essere stata vittima di un attacco di scambio di SIM. In breve, ciò significa che i truffatori hanno convinto il suo operatore di telefonia mobile a trasferire il suo numero di telefono su una nuova scheda SIM. Esistono due modi principali per farlo:

• Vecchio metodo. I truffatori falsificano una procura e si recano fisicamente presso l’ufficio del gestore di telefonia mobile per richiedere la sostituzione della SIM.
• Nuovo metodo. I criminali accedono all’account online della vittima, fornito dall’operatore di telefonia mobile, e rilasciano da remoto una eSIM.

Lo scambio di SIM ha permesso ai truffatori di aggirare l’autenticazione a due fattori e di convincere l’assistenza di Instagram di essere i veri proprietari dell’account. Trucchi simili possono essere utilizzati con qualsiasi servizio che invia codici di verifica tramite SMS, comprese le banche online.

Per quanto riguarda la scheda SIM originale del blogger, si è trasformata all’istante in un inutile pezzo di plastica: niente Internet, niente chiamate, niente messaggi.

Come proteggere il proprio account dalle violazioni

Ecco le regole di base per prevenire la maggior parte dei tipi di violazione degli account, che si tratti di app di messaggistica, social network, forum o altri siti:

• Utilizza l’autenticazione a due fattori avanzata con codici generati dall’app anziché tramite SMS. Per Instagram, consigliamo anche di aggiungere un metodo di backup: Impostazioni e attività → Centro account → Password e sicurezza → Autenticazione a due fattori → Aggiungi un metodo di backup. Poi, scarica un'app dedicata per generare i tuoi codici di accesso.
• Installa una protezione affidabile in tutti i tuoi dispositivi. La protezione anti-virus preinstallata bloccherà i link di phishing e ti proteggerà da vari malware.
• Crea password uniche e complesse. Se hai poca immaginazione, consenti a Kaspersky Password Manager di farlo al posto tuo e proteggili.
• Segui la regola d’oro: ogni servizio ha la sua password univoca. In questo modo, gli hacker non potranno accedere a tutto contemporaneamente.
• Chiedi al tuo operatore di telefonia mobile se è possibile vietare completamente l’assistenza da remoto o impostare un codice speciale da comunicare a ogni interazione, da remoto o di persona. Questo può aiutarti a proteggerti dagli attacchi di scambio di SIM.

Ulteriori informazioni su come proteggere i tuoi account dagli hacker:

• Cosa fare in caso di violazione dell’account Telegram
• Nozioni di base sulla messaggistica: consigli su sicurezza e privacy
• Instagram: nuove impostazioni su privacy e sicurezza
• Cosa fare in caso di violazione dell’account WhatsApp