È LinkedIn l’ultimo bersaglio colpito dai pirati informatici, che sono riusciti ad appropriarsi di un enorme archivio di dati personali di circa 500 milioni di utenti del social network professionale per eccellenza, i quali sono stati loro malgrado trattati come merce svenduta a prezzi di saldo su un popolare forum di hacking.
Anche se la vendita online dell’imponente database viene negoziata dai criminali per un corrispettivo pari a circa 1.500 euro, è infatti possibile comprare anche un “campione di prova” dell’archivio contenente due milioni di profili per soli 2 dollari, e fatte le debite proporzioni, ciò significa che con un solo centesimo della valuta statunitense si acquistano i dati personali di 10.000 sventurati utenti, entrando in possesso delle varie informazioni che li riguardano, tra cui username, nominativi completi, indirizzi email, numeri di telefono, collegamenti ad altri profili Linkedin e a quelli di altri social media, titoli professionali e tutte le altre informazioni relative alle proprie attività che generalmente gli utenti caricano sul proprio profilo.
Se da una parte può essere di un certo conforto il fatto che tra i dati trafugati non risulterebbero esservi quelli delle carte di credito o di altri strumenti di pagamento, la portata di questa violazione della privacy degli utenti di LinkedIn assume però sfumature più cupe rispetto a data breach in cui ad essere colpiti sono altri social media o piattaforme online come Facebook o Youtube, che sono principalmente destinate ad attività di svago.
Ora infatti gli utenti di LinkedIn hanno purtroppo fondati motivi di apprensione, perché i malintenzionati che mettono le mani su questo maxi database vengono a conoscenza di vari dettagli riguardanti la loro vita professionale, già ordinati ed aggregati in un unico profilo e pronti all’uso seriale in attività criminose, che diversamente richiederebbero faticose strategie di social engineering per raccogliere dati attingendo minuziosamente da varie fonti e spesso per vie traverse.
Oltre al pericolo di essere destinatari di campagne di phishing e vittime di furti d’identità, una delle varie frodi online a cui più si prestano questo tipo di informazioni è quella conosciuta con l’acronimo BEC (Business Email Compromise), nella quale il malintenzionato invia una mail ad una segretaria o ad un responsabile amministrativo di una società fingendosi di essere l’amministratore delegato o un top manager che richiede di effettuare un bonifico urgente ad un certo fornitore, indicando però un iban su cui trasferire i fondi che in realtà appartiene ad una organizzazione criminale, stratagemma che può rivelarsi particolarmente efficace nei confronti di molti utenti di Linkedin, i quali sono soliti indicare l’azienda di appartenenza, il ruolo ricoperto, i contatti di lavoro, con la possibilità di conoscere anche chi sono i propri colleghi e la loro posizione gerarchica.
Se finora gli utenti si erano abituati a considerare LinkedIn come una utile agorà digitale dove esporre spensieratamente in vetrina tutte le proprie informazioni professionali, adesso (specialmente con l’aumentato ricorso allo smart working a causa del Covid-19) potrebbe rendersi invece necessario un ripensamento per rendere più stringenti le policy aziendali nel disciplinare le informazioni che i dipendenti possono fornire sui social media, e sicuramente occorre fin da subito irrigidire i controlli mostrando molta cautela prima di evadere anche ordini di servizio tramite email che sembrano provenire da mittenti affidabili come il proprio capo o un collega di lavoro, ma dietro cui potrebbe celarsi invece un malintenzionato che, sotto mentite spoglie, cerca di persuadervi a compiere una certa azione finalizzata a trarne illecitamente un profitto, strategia che a quanto pare riscontra notevole successo, come indica l’ultimo rapporto IC3 dell’FBI, evidenziando che lo scorso anno le truffe BEC hanno registrato 19.369 reclami, causando perdite alle aziende per 1,8 miliardi di dollari solo negli Usa.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi