Un sofisticato attacco di phishing ha colpito quasi 600 donne su Snapchat, permettendo a un criminale di accedere a foto e video privati per rivenderli online. Le autorità federali hanno accusato un 26enne dell’Illinois, Kyle Svara, di aver orchestrato la truffa tra maggio 2020 e febbraio 2021. Soluzione rapida: non condividere mai codici di verifica e attiva l’autenticazione multifattore (MFA) su tutti i tuoi account.
Questa vicenda evidenzia i pericoli del social engineering, dove i truffatori sfruttano la fiducia degli utenti fingendosi supporto ufficiale. Svara ha raccolto email, numeri di telefono e username da migliaia di donne, poi ha inviato SMS falsi per ottenere i codici di sicurezza inviati da Snapchat durante tentativi di login non autorizzati. Circa 570 vittime hanno ceduto, permettendo l’accesso a oltre 59 account. Una volta dentro, ha scaricato contenuti intimi e li ha distribuiti o venduti su forum, accettando persino richieste personalizzate.
Uno dei clienti identificati è Steve Waithe, ex allenatore di atletica, già condannato per reati simili. Svara rischia accuse gravi come furto di identità aggravato, frode telematica e frode informatica, con pene che possono arrivare a decenni di prigione.
I giovani sono particolarmente a rischio: oversharing sui social li rende prede facili per i phisher. I social media sono il canale principale per questi attacchi, seguiti dalle telefonate fraudolente.
Come funziona lo schema di phishing su Snapchat
Il truffatore inizia raccogliendo dati personali da fonti pubbliche o database leakati. Quando Snapchat rileva un login sospetto, invia un codice a sei cifre via SMS o email. Qui interviene il phisher: usa numeri anonimi per contattare la vittima fingendosi assistenza Snapchat, chiedendo il codice con pretesti urgenti come ‘verifica account compromesso’. La vittima, spaventata, lo fornisce, consegnando le chiavi del suo account.
Una volta loggato, l’attaccante scarica snap privati, inclusi foto e video sensibili. Questi vengono poi monetizzati su forum oscuri, dove si scambiano o vendono per denaro o altri contenuti. In casi estremi, si offrono servizi su misura: ‘dimmi il nome utente e ti fornisco le foto’.
Le autorità incoraggiano le potenziali vittime a contattare l’FBI per segnalazioni, aiutando indagini e supporto.
Rischi per i giovani e statistiche allarmanti
I più giovani cadono nel doppio delle trappole rispetto agli adulti, grazie all’uso intensivo dei social. I social media facilitano il 75% degli attacchi, con telefonate che completano il quadro. L’oversharing – condividere troppi dettagli personali – amplifica il pericolo, rendendo facile per i criminali costruire profili targettizzati.
In Italia, il basso livello di competenze digitali e investimenti ridotti in cybersicurezza aggravano il problema, come emerge da rapporti recenti. I minorenni affrontano rischi extra: dipendenza da schermi, esposizione a contenuti inappropriati e frodi personalizzate.
Consigli pratici per proteggerti subito
– Non condividere codici di verifica: Nessun servizio legittimo li richiede via SMS o chat.
– Attiva MFA con app autenticatrice: Evita SMS intercettabili; app come Google Authenticator generano codici offline.
– Verifica sempre l’origine dei messaggi: Controlla numeri e email sospette prima di rispondere.
– Segnala attività insolite: Usa i canali ufficiali delle piattaforme per report.
– Monitora login recenti: Controlla dispositivi e location negli account social.
– Usa tool anti-scam: Detector per chiamate e messaggi sospetti.
– Educa familiari e amici: Condividi queste regole, specie con i giovani.
Applicando questi passi, riduci drasticamente il rischio di cadere in phishing.
Technical deep dive
Meccanismi tecnici del phishing su Snapchat
Snapchat impiega 2FA basata su TOTP (Time-based One-Time Password) o SMS. I phisher sfruttano SIM swapping o SS7 exploits per intercettare SMS, ma nel caso di Svara era puro social engineering. L’attacco sfrutta l’OAuth flow imperfetto e notifiche push non contestualizzate.
Flusso tecnico:
- Raccolta dati: Scraping da leak (es. HaveIBeenPwned) o OSINT tools come Maltego.
- Trigger login: Tool come Selenium per tentativi automatizzati da proxy.
- Phishing SMS: Burner phone via VoIP (TextNow, Google Voice) con spoofing caller ID.
- Accesso: Codice inserito manualmente; dump contenuti via API non documentate o screen recording.
- Monetizzazione: Forum su Tor (Dread, hidden services) con crypto pagamenti (Monero per anonimato).[1][2]
Contromisure avanzate:
– Passkeys/WebAuthn: Standard FIDO2 elimina codici condivisibili; Snapchat sta migrando.
– Device-bound keys: Chiavi legate a hardware (YubiKey) per login resistenti a phishing.
– Anomaly detection ML: Modelli come quelli di Snapchat usano graph neural networks per rilevare pattern di login anomali.
– Endpoint protection: EDR tools (CrowdStrike) per monitorare accessi remoti.
Analisi statistica rischi
Dai rapporti italiani, il 40% degli incidenti cyber coinvolge social engineering. In UE, reti sociali amplificano minacce come deepfake phishing e AI-driven impersonation. Metriche: probabilità attacco giovani = 20%, adulti 9.7%; social media = 75% vettore primario.
Codice esempio per simulare phishing detection (Python):
`python
import re
def detectphishingsms(text):
patterns = [
r’codice.*verifica’,
r’snapchat.*support’,
r’il tuo account.*compromesso’
]
for pattern in patterns:
if re.search(pattern, text, re.IGNORECASE):
return True
return False
Test
sms = “Snapchat support: invia il tuo codice di verifica ora!”
print(detectphishingsms(sms)) # True
`
Questo script basilare usa regex per flaggare SMS sospetti; integra con ML per accuracy >95%.
Evoluzione minacce 2026
Con AI, phisher generano voci clonate per chiamate (voice deepfake). In Italia, crescita attacchi +30% su mobile banking/social. Raccomanda zero-trust model: verifica continua identità. Per dev: implementa mFA con hardware tokens e rate limiting su API auth.
Proteggiti aggiornando policy: combina MFA, monitoraggio e educazione per una difesa multilayer.
