Associazione di idee: Jenna Abrams, troll, social engineering, spear phishing.
Jenna Abrams sarebbe stata la regina dei social network, in particolare di Twitter, che ha orientato decine di americani durante la campagna elettorale che, alla fine, ha portato Donald Trump alla Casa Bianca. La Abrams è stata davvero molto seguita sino ad arrivare a 66.000 followers ed a conquistarsi la fiducia di molte persone. In realtà, sembra che sia un troll, cioè un falso utente che interagisce senza lo scopo di relazionarsi con gli altri ma perché vuole ottenere qualcosa da loro. Nel caso specifico, sembra che dietro Jenna ci fosse il governo russo che aveva interesse ad orientare il voto americano. Pare che anche l’ambasciatore americano a Mosca abbia scambiato vari messaggi con Jenna che, peraltro, sembrava comportarsi esattamente come una “semplice” opinionista della Rete.
Questo dimostra quanto sia facile diventare amici di un troll senza accorgersene. E, soprattutto, quanto sia facile, confidare ad un troll informazioni che possono consentirgli di farsi un’idea precisa di chi siamo, che vita facciamo, quali sono i nostri punti deboli: confidenze da social engineering, propedeutiche ad una violazione del soggetto “bersaglio”.
Il troll, quindi, applicando tecniche di social engineering può facilmente confezionare mail mirate che sfuggono ai nostri sistemi antispamming e, a volte, anche alla nostra capacità di riconoscere il cosiddetto phishing. Tutti sappiamo che non dovremmo mai cliccare su un link presente in una mail: ci hanno insegnato che è phishing e che la mail va subito cancellata. Ma se il messaggio è stato confezionato affinché come mittente sia visualizzato il nome di nostra moglie? Ci fidiamo e seguiamo il link che, però, potrebbe portarci amare sorprese. Questo è lo spear phishing: mail mirate costruite in modo da sembrare familiari e verosimili.
Come difendersi? Non fermarsi a verificare il nome visualizzato. Occorre verificare il reale indirizzo mail: quello con la @, per intenderci. Di solito, questa verifica è sufficiente a riconoscere il phishing e a difenderci dalla lancia avvelenata.