Tom's Hardware Italia
Sicurezza

Account Google ufficiale usato per una truffa Bitcoin

I criminali hanno violato un account Twitter ufficiale di Google e quello di una catena di negozi. Insieme ad account falsi, hanno diffuso una truffa per sottrarre Bitcoin alle proprie vittime.

Anche i grandi diventano vittime a volte, e a dimostrarlo c’è l’account Twitter ufficiale di G Suite (Google), che è stato violato a sfruttato per perpetrare una truffa. L’operazione ha colpito allo stesso tempo anche l’account di Target, una grande catena di negozi retail degli Stati Uniti.

Il metodo è quello già visto in altre occasioni, e consiste nello sfruttare un account ufficiale e affidabile per ingannare i consumatori e indurli in un tranello. Nel caso specifico, è comparso un tweet promozionale che annunciava l’incredibile: “Google G Suite regala 10.000 Bitcoin!“. Cliccando sul link allegato l’incauto internauta si vede chiedere piccole quantità di criptovalute, come passo necessario per averne molte di più. Naturalmente non esiste premio e il denaro è perso per sempre.

È una variante della classica truffa del principe nigeriano, con una novità rilevante. Cercando di risalire all’inserzionista, si arrivava in effetti all’account ufficiale gestito da Google e lo stesso vale per l’account di Target. Assistiamo dunque a un’evoluzione di una strategia precedente, che vedeva i criminali creare falsi profili di aziende e personaggi famosi (Elon Musk va per la maggiore) e usarli per i propri scopi. In qualche modo, invece, ora sono riusciti a prendere il controllo – seppure temporaneo – degli account in questione. La tecnica del falso account comunque non è stata abbandonata, e continuano a spuntare falsi Elon Musk (e altri) che promettono di regalare cifre da capogiro.

Né Twitter né le aziende coinvolte hanno specificato se le vittime avessero attivato l’autenticazione in due fattori (2FA, Two Factors Authentication) ma è lecito supporre che non fosse così. Potrebbe aiutare, in effetti, se Twitter rendesse obbligatoria questa protezione aggiuntiva almeno per gli account verificati – quelli con la spunta blu accanto al nome utente.

Questo tipo di attacco è particolarmente insidioso proprio se l’account coinvolto è verificato, perché il segnalino azzurro, tendenzialmente, significa che ci si può fidare. Chi vede il post, dunque, ha probabilmente meno difese di fronte a un inganno.

Il sistema funziona, in modo assimilabile alla pesca con pastura: si raggiungono quante più persone possibili, sapendo che almeno qualcuno finirà per abboccare. L’operazione, anche considerando il denaro speso per promuovere i contenuti, è fruttuosa: in poche ore si accumulano decine di migliaia di dollari, più che sufficienti a pagare le spese e fare profitto.

Per i criminali è relativamente facile anche far perdere le proprie tracce: sebbene la blockchain di Bitcoin non sia totalmente anonima, infatti, bastano pochi accorgimenti tecnici per nascondersi con efficacia dietro identità fittizie.

Profitto e (quasi) garanzia di impunità, dunque; questo tipo di truffa non è destinato a sparire presto. Anzi, molto probabilmente il problema si andrà intensificando: basta guardare quanti risultati si trovano cercando “free Bitcoin” (Bitcoin gratis) per capire in quanti stiano cercando di guadagnare qualcosa tramite queste truffe.

La finanza è una cosa complicata e sottovalutarla può costare caro. Chi vede qualcosa che agli altri sfugge invece fa il colpaccio, come nel film La Grande Scommessa.