Un tempo aveva nella posta elettronica il suo mezzo di trasporto preferito. Oggi, invece, ha trovato nei social network un terreno fertile in cui prosperare e, se possibile, crescere con ancora maggior velocità. Nel corso degli anni, al mutare delle abitudini degli internauti sono cambiate anche le modalità con cui hacker e pirati informatici di vario genere: se prima i messaggi spazzatura spazzatura (il celeberrimo spam) viaggiavano lungo il filo dell’email, oggi si può parlare senza remora di smentita di social spam. Le reti sociali, per loro stessa natura e struttura, permettono ai malintenzionati informatici di accedere in maniera facile e quasi immediata a centinaia di migliaia – se non milioni – di contatti.
La chiave
Affinché le campagne di social spam possano ottenere il successo sperato – dai loro ideatori, ovviamente – è necessario che gli utenti possano ritenere affidabile il profilo madre da cui traggono origine. Per questo, gli hacker dietro gli account fake provano ad accreditarsi diventando amici o seguendo profili verificati di celebrità e divi di vario genere (dal mondo dello spettacolo a quello dello sport) oppure stringendo amicizie con persone dotate di molti contatti. In questo modo, gli account fake riescono ad ingannare moltissimi utenti, spianandosi così la strada verso il successo.
In alternativa, gli hacker preferiscono prendere possesso di account appartenenti a persone realmente esistenti e utilizzarli per varie campagne di social spam sino a che non saranno bloccati o rientreranno in possesso dei legittimi proprietari. Bisogna dunque fare molta attenzione perché, anche in questo caso, la social engineering è l’arma più potente a disposizione dei truffatori digitali.
Conoscere il nemico, insomma, aiuta anche a combatterlo.
Messaggi in serie
Tra le tecniche più utilizzate di social spam troviamo il cosiddetto bulk messagging, ovvero l’attività di inviare una grande quantità di messaggi realizzati “in serie”. La tattica è piuttosto semplice: gli account fake o trafugati sono utilizzati per veicolare messaggi identici o simili verso un gruppo di persone ben determinato. In questo modo, gli utenti saranno indotti a credere che i messaggi siano attendibili e reputano veritiero il loro contenuto: sarà così possibile creare dei veri e propri trend sul web oppure sarà possibile velocizzare la diffusione di malware.
Link malevoli
L’intenzione di chi crea collegamenti fraudolenti è quella di danneggiare – in vari modi – gli utenti della Rete inducendoli a cliccare su contenuti pericolosi. Grazie ai link malevoli è possibile far scaricare virus e altri malware che possono compromettere le funzionalità del dispositivo che si sta utilizzando oppure rubare dei dati personali. Per fare ciò, sono utilizzati account fake che invitano a cliccare su immagini o video dal contenuto apparentemente incredibile. Il più proverbiale degli specchietti per le allodole, insomma.
Condividere troppo
Il social spam può anche configurarsi come un “sovraddosaggio” di condivisioni e tentativi di contatto. Gli hacker, ad esempio, potrebbero creare dei botnet che inviano richieste di amicizia in maniera automatica e, una volta ottenuta, inizino a inviare messaggi di spam nei confronti dei nuovi collegamenti.
Likejacking e clickbaiting
Si tratta delle azioni di social spam più difficili da scoprire e, per questo, più dannose. Con il clickbaiting gli utenti delle reti sociali sono indotti a cliccare su link e contenuti grazie a titoli e descrizioni particolarmente enfatiche (ad esempio, “Non crederete ai vostri occhi” oppure “Non riuscirete mai a immaginare cosa succede in questo video”). Una volta all’interno del sito, invece, si scopre che il contenuto non esiste o è radicalmente differente rispetto a quanto ci si aspettava: lo scopo, infatti, è quello di incrementare il numero di visite al portale e con esse gli introiti pubblicitari.
Il likejacking, invece, si attiva all’insaputa dell’utente dopo aver visitato, magari, qualche link malevolo. Magari a causa di qualche script o malware, sul profilo dell’utente compaiono link, video o altri contenuti multimediali senza che il legittimo proprietario dell’account ne sappia nulla. In questo modo i suoi collegamenti (amici, follower o cerchie) saranno indotti a credere che si tratti di contenuti affidabili e a cliccare a loro volta: si crea una sorta di circolo vizioso realmente difficile da spezzare. E nel frattempo il social spam continua a viaggiare.