Fingersi TikTok con la scusa di offrire ai creators la spunta blu, l’ultima frontiera del phishing

I metodi di phishing stanno diventando sempre più sottili e sempre più targettizzati sulle possibili vittime. Se prima, infatti, bastava una mail generica con un link messo più o meno a caso per far cadere nella rete diversi utenti (ancora a digiuno rispetto a informazioni base sull’igiene digitale e, quindi, più vulnerabili a queste truffe informatiche), adesso la diffusione sempre più ampia di contenuti che mettono in guardia da queste pratiche ha costretto i gruppi che stanno dietro al tentativo di rubare dati personali (e di commettere violazioni sui dispositivi delle vittime) a trovare strategie più credibili per attirare l’attenzione. Ci sono arrivate segnalazioni, infatti, di veri e propri tentativi di phishing ai danni degli influencer e dei creator che hanno un vasto seguito e che lavorano usando come strumento proprio i social network. In modo particolare, abbiamo visionato una mail che presentava l’interfaccia grafica di TikTok.

LEGGI ANCHE > Il rapporto che mostra come il phishing sia schizzato con la pandemia Covid

Phishing contro influencer, l’ultima frontiera

Un indirizzo mail chiaramente sospetto – tiktokbusinesverify@gmail.com – ha inviato una mail con testo in inglese, sfruttando tuttavia un’interfaccia grafica molto simile a quella solitamente utilizzata dal social network per le sue comunicazioni. Il fatto che business sia scritto con una grafia scorretta e, soprattutto, il fatto che il dominio da cui è partita la mail sia un semplice Gmail e non un dominio business dovrebbero già far rizzare le antenne. 

Tuttavia, il contenuto del testo della mail dimostra ancora una volta come il tentativo di truffa sia strutturato e non banale. Chi scrive sa che gli influencer e i creators che utilizzano TikTok ambiscono a ottenere la spunta blu di utente verificato e cercano di attirare la loro attenzione proprio a partire da questo elemento. Nella mail si legge in inglese: «Il tuo account ha attirato la nostra attenzione e lo abbiamo esaminato, confermando che condivide contenuti originali. Ti offriamo di ricevere un badge di verifica per il tuo account. Per ottenerlo, dobbiamo verificare che tu sia il reale proprietario dell’account. Ti invieremo un form per verificare che tu sia il reale proprietario dell’account. Per riceverlo, rispondi a questa mail scrivendo: “Verify My account“».

Ovviamente, rispondere a questa mail sarebbe deleterio e aprirebbe la strada al truffatore per fare un ingresso invasivo all’interno dei dispositivi: furti di dati e appropriazione degli account potrebbero essere gli effetti principali di questa palese azione di phishing.

Raggiunto per un commento, TikTok ci fa sapere non soltanto che il tentativo in questione è effettivamente un caso di phishing, ma che l’azienda mette a disposizione un’area per segnalare questa prassi: «Non farti ingannare da gente che ti contatta spacciandosi per dipendente di TikTok – si legge nell’area del sito dedicata alla Privacy e alla Sicurezza -. Ricorda: qualsiasi e-mail ricevi dal nostro team non ti chiederà mai la password! Se scopri video o ricevi messaggi su TikTok che pensi possono essere spam o phishing, ti preghiamo di segnalarli in modo che il nostro team possa continuare a mantenere al sicuro la community. Puoi segnalare un video tenendo premuto sul contenuto in questione e toccando “segnala”».