Chi sono i cacciatori di account X? Così rubano identità digitali e follower

Ma gli utenti si fanno ogni giorno più furbi e per questo i criminali hanno sviluppato attacchi più mirati chiamati spear phishing. In questo caso, giornalisti, influencer, politici e manager diventano obiettivi specifici: i messaggi sono studiati su misura per aggirare le barriere della diffidenza. Spesso, c’è una persona dietro la gestione della violazione che può modificare l’attacco per renderlo più credibile ed efficace.

A completare questi attacchi, arriva uno stratagemma sempre più frequente: il SIM swap. L’hacker convince l’operatore telefonico a trasferire il numero telefonico della vittima su una nuova scheda di sua proprietà, ottenendo così accesso ai codici di autenticazione inviati via SMS. Non sembra questo il caso, dal momento che il ministro non ha denunciato problemi sul suo numero di telefono.

Se nessuno dei sistemi di cui sopra funziona, i criminali posso provare a sfruttare una brutta abitudine che hanno in tanti, quella di riutilizzare la stessa password su più servizi. Con il credential stuffing gli hacker usano database di credenziali trafugate da altre violazioni per provarle su X, confidando che l’utente abbia mantenuto la stessa combinazione indirizzo mail/password. Questo approccio è molto comune e spesso sottovalutato. Potrebbe essere alla base della compromissione, ma è difficile che sia bastato.

C’è poi da considerare che non sempre il problema arriva dall’esterno: negli attacchi che rubano username e password, infatti, tutto deriva da un dispositivo che è compromesso. Con malware e keylogger, gli attaccanti registrano le digitazioni o rubano i cookie di sessione, ottenendo accesso diretto all’account. In particolare, il furto dei cookie di sessione dà ai criminali pieni poteri operativi, ma spesso non possono cambiare le password. Crosetto ha dichiarato che i criminali hanno cambiato l’indirizzo e-mail associato al suo account di X, ma anche che ne aveva conservato l’accesso. Un caso abbastanza tipico se la compromissione tramite furto di cookies si scontra con misure di sicurezza aggiuntive che impediscono il cambio della password.

C’è poi il capitolo dell’OAuth hijacking, l’abuso dei sistemi di autorizzazione a servizi esterni. Con un click inconsapevole, l’utente può concedere a un’app malevola l’accesso permanente al proprio profilo X tramite token di sessione. Difficilissimo non caderci se fatto bene, questo attacco presuppone però un tipo di accesso che raramente si vede su questa piattaforma per persone di una certa rilevanza.

Infine, la più antica e al tempo stesso moderna delle tecniche: il social engineering. Gli hacker si fingono collaboratori, partner commerciali o persino operatori del supporto tecnico di X, convincendo la vittima a condividere dati riservati. In questi casi la protezione non è tecnica, ma organizzativa: processi interni chiari e la regola aurea di verificare sempre l’identità prima di agire.

Quale tecnica è stata usata, quindi, contro il ministro Crosetto? Da lontano non possiamo saperlo, ma quasi certamente una di quelle elencate. In alcune violazioni si usano vulnerabilità più complesse, ma per fare cose serie come rubare grandi quantità di denaro o segreti (di Stato o industriali che siano), non per truffe dozzinali come quella riportata. C’è, però, un dettaglio che non bisogna trascurare: la Russia ama coprire di ridicolo (secondo i loro standard) i loro avversari e nella loro prospettiva potrebbero aver portato al nostro ministro della Difesa un attacco sofisticato camuffandolo da attacco “stupido” per dimostrarne la scarsa capacità di “difesa” (se mi perdonate il gioco di parole). Potrebbe quindi trattarsi di un attacc

o sofisticato con un obiettivo quasi becero, se vogliamo. Sarebbe strano, ma possibile.