Notizia Le salvaguardie sono utili. Ma se cadi in una trappola, sei fottuto.
@andrew_andrew__
24 marzo 2023, 14:38 EST | 2 minuti di lettura
Justin Duino / Recensione Geek I truffatori di criptovalute impersonano regolarmente personaggi pubblici sui social media. È un trucco facile; cambia il tuo nome in Joe Rogan, apri una lotteria o un’opportunità di investimento e scappa con i soldi. Ma se vuoi fare fortuna con le truffe crittografiche, devi hackerare l’account di qualcuno.
Se gestisci una truffa a basso rischio, potresti hackerare un’azienda locale o un tizio a caso su Facebook. Da lì, puoi lanciare un’ampia rete e inviare a ogni amico o comune un collegamento a una truffa. Oppure puoi contattare persone specifiche che potrebbero essere vittime facili: “Nonna, per favore non dirlo ai miei genitori, ma sono stato arrestato e ho bisogno di Bitcoin per pagare la cauzione!”
I truffatori con un po’ di buon senso di solito prendono di mira account di grandi dimensioni. L’esempio più recente è il Suggerimenti tecnici Linus Canale YouTube, che è stato violato il 23 marzo (insieme ad altri canali di proprietà di Linus Media Group). Gli hacker hanno cambiato il file Suggerimenti tecnici Linus nome dell’account a “Tesla”, ha trasmesso un live streaming di Elon Musk che divagava sull’intelligenza artificiale e ha indirizzato le vittime verso una “opportunità di investimento” basata su criptovalute.
Questa truffa sta portando alla luce i protocolli di sicurezza dell’account in qualche modo imperfetti di Google. E, per fortuna, sta avvisando le persone del fatto che YouTube è pieno di truffe. Dozzine di canali, sia grandi che piccoli, sono stati dirottati per eseguire esattamente questa truffa. Suggerimenti tecnici Linus è solo l’esempio più recente, più grande e più ironico.
Google ha una parte della responsabilità di questi hack. COME Linus Tech Suggerimenti annota nel suo “Il mio canale è stato eliminato ieri sera” video, piattaforme di social media come YouTube dovrebbero richiedere l’autenticazione quando qualcuno cambia casualmente il proprio nome utente, elimina una tonnellata di contenuti o accede da una posizione insolita. E, come i siti web bancari, i social media dovrebbero chiedere regolarmente la riautenticazione invece di lasciare le persone connesse per diversi anni alla volta.
“Ma per quanto riguarda l’autenticazione a più fattori?” Ecco la cosa; non hai bisogno di una password per dirottare un account. Non è nemmeno necessario occuparsi dell’autenticazione a più fattori della vittima. Tutto ciò di cui hai bisogno è il token di sessione da un dispositivo che è attualmente connesso all’account di destinazione: questo token (in realtà è solo un cookie) dice al sito web “Sono stato qui prima, non badare a me!” Da qui la necessità di una nuova autorizzazione più aggressiva sui social media.
Chiunque abbia dirottato il Linus Tech Suggerimenti channel ha utilizzato un token di sessione, rendendo l’accesso indolore. Questo token di sessione è stato recuperato da un dipendente che ha inconsapevolmente aperto un PDF dannoso camuffato da documento relativo alla sponsorizzazione.
Ed è qui che devi prestare attenzione; qualsiasi individuo o organizzazione può essere vittima di una violazione dei dati. Le salvaguardie sono utili, ma se cadi in una trappola, sei fottuto.
Nessuno vuole ammettere di essere l’anello più debole. E spesso parliamo di sicurezza in modi eccessivamente semplificati: installa questo gestore di passwordimposta questo VPN, e sei bravo! Sì, questi passaggi sono utili, ma abbiamo anche bisogno di maggiore consapevolezza e istruzione. Un recente TrueCaller il rapporto afferma che 68 milioni di americani (quasi un quinto di tutti i cittadini statunitensi) ne furono vittime schemi di phishing nel 2022, con una perdita di 40 miliardi di dollari.
Google può risolvere alcuni dei problemi di sicurezza di YouTube, ma non può insegnarti a mettere in discussione ogni email o post sui social media che ti capita. Sfortunatamente, non esiste un modo chiaro per insegnare alle persone la sicurezza informatica, soprattutto perché i metodi di hacking e phishing si trasformano e si evolvono costantemente. Sembra che il modo migliore per conoscere queste cose sia guardare agli errori degli altri, e ti suggerisco di farlo.