Vai al contenuto

Podcast RSI – Piccola storia di phishing bancario: il seguito

Questo è il testo, con link, della seconda parte del mio
podcast
di questa settimana. Il testo della prima parte è invece
qui.

Ho un aggiornamento sulla vicenda del ladro informatico che tenta di rubare i
conti correnti alle vittime di cui vi ho parlato nella puntata precedente di
questo podcast [e
qui]. Riassunto veloce: qualcuno sta mandando moltissimi SMS a persone a caso,
facendo sembrare che si tratti di messaggi provenienti da una banca. I
messaggi contengono un link e un invito a cliccarvi su per verificare la
propria situazione sul conto. Il link porta a un sito, gestito dal truffatore,
che ha lo stesso aspetto del sito della banca presa di mira. Se la vittima
cade nella trappola e vi immette i dati, regala le proprie credenziali al
criminale.

Sembrava una vicenda classica di phishing, ma poi è emerso che il
truffatore stava commettendo un errore tecnico madornale: il file nel quale
registrava le login, le password e i dati delle carte di credito delle vittime
era pubblicamente accessibile via Internet e quindi chiunque poteva leggerlo
semplicemente conoscendone il nome (che è un nome assolutamente banale che si
usa spessissimo in questi casi).

Questo mi ha permesso di contattare le vittime, molte delle quali immettevano
nel sito del truffatore anche il proprio numero di telefonino, e così le ho
allertate evitando il danno o perlomeno riducendo la portata del furto di
credenziali.

Ma la vicenda non è finita: prima di tutto l’ufficio stampa della banca mi ha
contattato per ringraziare delle segnalazioni e per avvisare che gli uffici
interni della banca stessa sono stati allertati in modo che possano prendere
le contromisure necessarie e fare le segnalazioni opportune. Questo proteggerà
meglio i clienti e conferma che segnalare questi tentativi di furto non è
inutile ma è anzi apprezzato.

In secondo luogo, è emerso che questo errore grossolano non è successo una
sola volta, ma fa parte di una serie.

Non è chiaro se si tratti dello stesso ladro pasticcione che ripete l’errore
in tutti i siti che crea o se si tratti di un kit standard per creare frodi
bancarie che contiene questo difetto. Ma di fatto ci sono numerosissimi
siti-truffa che hanno lo stesso schema colabrodo. Questo è bene, perché così è
possibile avvisare le vittime.

In attesa che i ladri imbranati vengano assicurati alla giustizia o perlomeno
neutralizzati, ognuno di noi può dare una mano a contrastarli. Ecco come.

La prima cosa da fare è, ovviamente, non abboccare a questi falsi allarmi e
avvisare parenti, colleghi e amici di questo tipo di trappola. Non bisogna
mai, mai, mai cliccare sui link presenti in questi messaggi.

La seconda cosa da fare è segnalarli a Google, presso
Safebrowsing.google.com, cliccando su Report phish. In Svizzera si può inviare una
segnalazione anche ad
Antiphishing.ch per allertare il
Centro nazionale per la cibersicurezza della Confederazione. In Italia si può
inviare una segnalazione allo
sportello online
della Polizia Postale e delle Comunicazioni. Più in generale, si può segnalare
il sito-trappola ad
Antiphishing.org. Inoltre molti
antivirus per telefonini avvisano l’utente se tenta di visitare un sito che
finge di essere una banca e in molti casi bloccano direttamente l’accesso al
sito in questione.

Se siete utenti più esperti, potete poi usare il comando whois in una
finestra di terminale per sapere chi è il responsabile tecnico del server di
hosting che ospita il sito dei truffatori e mandargli una mail di
segnalazione, preferibilmente in inglese [qualcosa del tipo
“Please note that you’re hosting a phishing site that is stealing
credentials from victims”, seguito dal link del sito]. Molti di questi responsabili non sono al
corrente di tutto quello che succede sui loro server: non sono complici ma
vittime, per cui ricevono volentieri segnalazioni che evitino un loro
coinvolgimento in frodi bancarie. 

[Per esempio, ho trovato il sito di phishing mostrato qui sopra in hosting su
Tripulante.mx. Così ho fatto un whois per scoprire che indirizzo di
mail hanno i responsabili tecnici, amministrativi e di abuse di
Tripulante.mx: il record whois punta (stranamente) direttamente a
tech-iana chiocciola nic.mx, adm-iana chiocciola nic.mx e abuse chiocciola nic.mx. Ho
mandato loro una mail con la segnalazione dell’URL di phishing e ho ricevuto
conferma dell’apertura di un ticket al quale verrà data risposta entro 24 ore.
Al momento in cui scrivo, però, l’URL è ancora attivo, anche se si sta
riempiendo di credenziali farlocche immesse da utenti consapevoli del
raggiro.

Meraviglioso.]

[Un’altra mia segnalazione, invece, è andata a buon fine. Il sito isp-info-intesa-com.preview-domain punto com ospitava una
pagina di phishing che simulava Banca Intesa San Paolo:

Prima…
… e dopo.

Anche in questo caso ho usato whois per trovare la mail dell’abuse (abuse chiocciola hostinger punto com) e ho mandato una mail di segnalazione. Lo stesso è successo anche per un altro sito di phishing, aggiornadati2022 punto com.]

Se tutto questo vi sembra troppo complicato, per voi o per qualcuno che
conoscete, ricordate soltanto la regola fondamentale: nessuna banca seria vi
manderà mai un messaggino di allarme chiedendovi di cliccare su un link per
avere maggiori informazioni. Quindi qualunque messaggio che faccia queste cose
va semplicemente cestinato. E se è troppo tardi e avete immesso i vostri dati
confidenziali nel sito dei truffatori, non perdete tempo e bloccate
immediatamente il vostro conto corrente e la relativa carta di credito,
chiamando direttamente la vostra banca o andandoci di persona. Non usate
Internet.

Io, intanto, proseguo in buona compagnia il pedinamento dei ladri pasticcioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

No, la Russia non ha minacciato di far precipitare la Stazione Spaziale. È una minchiata di un fanfarone, pompata dai giornalisti inetti

Per tutti quelli che mi stanno segnalando la “notizia” delle “minacce” russe
di far precipitare la Stazione Spaziale Internazionale: È UNA SCEMENZA. Una
trollata di un fanfarone. Alla quale non bisognerebbe abboccare. Fine della
questione. Non intendo regalarle altro tempo.

Se proprio volete dedicare il vostro tempo a questa minchiata, potete leggere
le misurate parole di Adrian Fartade:

L’unica cosa che precipita, qui, è la qualità del giornalismo che abbocca a qualunque provocazione propagandistica e contribuisce a fare terrorismo mediatico spaventando i lettori con pericoli totalmente irrealistici.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Dedicato a chi pensa che l’inglese abbia delle regole di pronuncia

Consolatevi: neanche la maggior parte dei madrelingua inglese sa la pronuncia corretta di tutti gli esempi assurdi ma realissimi presentati in questa poesiola di Gerard Nolst Trenite intitolata The Chaos (1922), che riporto nella versione tratta da qui. Buon divertimento.

Dearest creature in creation
Studying English pronunciation,
   I will teach you in my verse
   Sounds like corpse, corps, horse and worse.

I will keep you, Susy, busy,
Make your head with heat grow dizzy;
   Tear in eye, your dress you'll tear;
   Queer, fair seer, hear my prayer.

Pray, console your loving poet,
Make my coat look new, dear, sew it!
   Just compare heart, hear and heard,
   Dies and diet, lord and word.

Sword and sward, retain and Britain
(Mind the latter how it's written).
   Made has not the sound of bade,
   Say-said, pay-paid, laid but plaid.

Now I surely will not plague you
With such words as vague and ague,
   But be careful how you speak,
   Say: gush, bush, steak, streak, break, bleak,

Previous, precious, fuchsia, via
Recipe, pipe, studding-sail, choir;
   Woven, oven, how and low,
   Script, receipt, shoe, poem, toe.

Say, expecting fraud and trickery:
Daughter, laughter and Terpsichore,
   Branch, ranch, measles, topsails, aisles,
   Missiles, similes, reviles.

Wholly, holly, signal, signing,
Same, examining, but mining,
   Scholar, vicar, and cigar,
   Solar, mica, war and far.

From "desire": desirable-admirable from "admire",
Lumber, plumber, bier, but brier,
   Topsham, brougham, renown, but known,
   Knowledge, done, lone, gone, none, tone,

One, anemone, Balmoral,
Kitchen, lichen, laundry, laurel.
   Gertrude, German, wind and wind,
   Beau, kind, kindred, queue, mankind,

Tortoise, turquoise, chamois-leather,
Reading, Reading, heathen, heather.
   This phonetic labyrinth
   Gives moss, gross, brook, brooch, ninth, plinth.

Have you ever yet endeavoured
To pronounce revered and severed,
   Demon, lemon, ghoul, foul, soul,
   Peter, petrol and patrol?

Billet does not end like ballet;
Bouquet, wallet, mallet, chalet.
   Blood and flood are not like food,
   Nor is mould like should and would.

Banquet is not nearly parquet,
Which exactly rhymes with khaki.
   Discount, viscount, load and broad,
   Toward, to forward, to reward,

Ricocheted and crocheting, croquet?
Right! Your pronunciation's OK.
   Rounded, wounded, grieve and sieve,
   Friend and fiend, alive and live.

Is your r correct in higher?
Keats asserts it rhymes Thalia.
   Hugh, but hug, and hood, but hoot,
   Buoyant, minute, but minute.

Say abscission with precision,
Now: position and transition;
   Would it tally with my rhyme
   If I mentioned paradigm?

Twopence, threepence, tease are easy,
But cease, crease, grease and greasy?
   Cornice, nice, valise, revise,
   Rabies, but lullabies.

Of such puzzling words as nauseous,
Rhyming well with cautious, tortious,
   You'll envelop lists, I hope,
   In a linen envelope.

Would you like some more? You'll have it!
Affidavit, David, davit.
   To abjure, to perjure. Sheik
   Does not sound like Czech but ache.

Liberty, library, heave and heaven,
Rachel, loch, moustache, eleven.
   We say hallowed, but allowed,
   People, leopard, towed but vowed.

Mark the difference, moreover,
Between mover, plover, Dover.
   Leeches, breeches, wise, precise,
   Chalice, but police and lice,

Camel, constable, unstable,
Principle, disciple, label.
   Petal, penal, and canal,
   Wait, surmise, plait, promise, pal,

Suit, suite, ruin. Circuit, conduit
Rhyme with "shirk it" and "beyond it",
   But it is not hard to tell
   Why it's pall, mall, but Pall Mall.

Muscle, muscular, gaol, iron,
Timber, climber, bullion, lion,
   Worm and storm, chaise, chaos, chair,
   Senator, spectator, mayor,

Ivy, privy, famous; clamour
Has the a of drachm and hammer.
   Pussy, hussy and possess,
   Desert, but desert, address.

Golf, wolf, countenance, lieutenants
Hoist in lieu of flags left pennants.
   Courier, courtier, tomb, bomb, comb,
   Cow, but Cowper, some and home.

"Solder, soldier! Blood is thicker",
Quoth he, "than liqueur or liquor",
   Making, it is sad but true,
   In bravado, much ado.

Stranger does not rhyme with anger,
Neither does devour with clangour.
   Pilot, pivot, gaunt, but aunt,
   Font, front, wont, want, grand and grant.

Arsenic, specific, scenic,
Relic, rhetoric, hygienic.
   Gooseberry, goose, and close, but close,
   Paradise, rise, rose, and dose.

Say inveigh, neigh, but inveigle,
Make the latter rhyme with eagle.
   Mind! Meandering but mean,
   Valentine and magazine.

And I bet you, dear, a penny,
You say mani-(fold) like many,
   Which is wrong. Say rapier, pier,
   Tier (one who ties), but tier.

Arch, archangel; pray, does erring
Rhyme with herring or with stirring?
   Prison, bison, treasure trove,
   Treason, hover, cover, cove,

Perseverance, severance. Ribald
Rhymes (but piebald doesn't) with nibbled.
   Phaeton, paean, gnat, ghat, gnaw,
   Lien, psychic, shone, bone, pshaw.

Don't be down, my own, but rough it,
And distinguish buffet, buffet;
   Brood, stood, roof, rook, school, wool, boon,
   Worcester, Boleyn, to impugn.

Say in sounds correct and sterling
Hearse, hear, hearken, year and yearling.
   Evil, devil, mezzotint,
   Mind the z! (A gentle hint.)

Now you need not pay attention
To such sounds as I don't mention,
   Sounds like pores, pause, pours and paws,
   Rhyming with the pronoun yours;

Nor are proper names included,
Though I often heard, as you did,
   Funny rhymes to unicorn,
   Yes, you know them, Vaughan and Strachan.

No, my maiden, coy and comely,
I don't want to speak of Cholmondeley.
   No. Yet Froude compared with proud
   Is no better than McLeod.

But mind trivial and vial,
Tripod, menial, denial,
   Troll and trolley, realm and ream,
   Schedule, mischief, schism, and scheme.

Argil, gill, Argyll, gill. Surely
May be made to rhyme with Raleigh,
   But you're not supposed to say
   Piquet rhymes with sobriquet.

Had this invalid invalid
Worthless documents? How pallid,
   How uncouth he, couchant, looked,
   When for Portsmouth I had booked!

Zeus, Thebes, Thales, Aphrodite,
Paramour, enamoured, flighty,
   Episodes, antipodes,
   Acquiesce, and obsequies.

Please don't monkey with the geyser,
Don't peel 'taters with my razor,
   Rather say in accents pure:
   Nature, stature and mature.

Pious, impious, limb, climb, glumly,
Worsted, worsted, crumbly, dumbly,
   Conquer, conquest, vase, phase, fan,
   Wan, sedan and artisan.

The th will surely trouble you
More than r, ch or w.
   Say then these phonetic gems:
   Thomas, thyme, Theresa, Thames.

Thompson, Chatham, Waltham, Streatham,
There are more but I forget 'em-
   Wait! I've got it: Anthony,
   Lighten your anxiety.

The archaic word albeit
Does not rhyme with eight-you see it;
   With and forthwith, one has voice,
   One has not, you make your choice.

Shoes, goes, does *. Now first say: finger;
Then say: singer, ginger, linger.
   Real, zeal, mauve, gauze and gauge,
   Marriage, foliage, mirage, age,

Hero, heron, query, very,
Parry, tarry fury, bury,
   Dost, lost, post, and doth, cloth, loth,
   Job, Job, blossom, bosom, oath.

Faugh, oppugnant, keen oppugners,
Bowing, bowing, banjo-tuners
   Holm you know, but noes, canoes,
   Puisne, truism, use, to use?

Though the difference seems little,
We say actual, but victual,
   Seat, sweat, chaste, caste, Leigh, eight, height,
   Put, nut, granite, and unite.

Reefer does not rhyme with deafer,
Feoffer does, and zephyr, heifer.
   Dull, bull, Geoffrey, George, ate, late,
   Hint, pint, senate, but sedate.

Gaelic, Arabic, pacific,
Science, conscience, scientific;
   Tour, but our, dour, succour, four,
   Gas, alas, and Arkansas.

Say manoeuvre, yacht and vomit,
Next omit, which differs from it
   Bona fide, alibi
   Gyrate, dowry and awry.

Sea, idea, guinea, area,
Psalm, Maria, but malaria.
   Youth, south, southern, cleanse and clean,
   Doctrine, turpentine, marine.

Compare alien with Italian,
Dandelion with battalion,
   Rally with ally; yea, ye,
   Eye, I, ay, aye, whey, key, quay!

Say aver, but ever, fever,
Neither, leisure, skein, receiver.
   Never guess-it is not safe,
   We say calves, valves, half, but Ralf.

Starry, granary, canary,
Crevice, but device, and eyrie,
   Face, but preface, then grimace,
   Phlegm, phlegmatic, ass, glass, bass.

Bass, large, target, gin, give, verging,
Ought, oust, joust, and scour, but scourging;
   Ear, but earn; and ere and tear
   Do not rhyme with here but heir.

Mind the o of off and often
Which may be pronounced as orphan,
   With the sound of saw and sauce;
   Also soft, lost, cloth and cross.

Pudding, puddle, putting. Putting?
Yes: at golf it rhymes with shutting.
   Respite, spite, consent, resent.
   Liable, but Parliament.

Seven is right, but so is even,
Hyphen, roughen, nephew, Stephen,
   Monkey, donkey, clerk and jerk,
   Asp, grasp, wasp, demesne, cork, work.

A of valour, vapid vapour,
S of news (compare newspaper),
   G of gibbet, gibbon, gist,
   I of antichrist and grist,

Differ like diverse and divers,
Rivers, strivers, shivers, fivers.
   Once, but nonce, toll, doll, but roll,
   Polish, Polish, poll and poll.

Pronunciation-think of Psyche!-
Is a paling, stout and spiky.
   Won't it make you lose your wits
   Writing groats and saying "grits"?

It's a dark abyss or tunnel
Strewn with stones like rowlock, gunwale,
   Islington, and Isle of Wight,
   Housewife, verdict and indict.

Don't you think so, reader, rather,
Saying lather, bather, father?
   Finally, which rhymes with enough,
   Though, through, bough, cough, hough, sough, tough??

Hiccough has the sound of sup...
My advice is: GIVE IT UP!
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Nuova forma di spam/truffa: le commentatrici discinte in Disqus

@Martinobri mi segnala un’invasione di fanciulle discinte che, nei commenti di questo blog (gestiti da Disqus), elargiscono upvote e diventano follower dei singoli commentatori.

Si tratta, ovviamente, di profili di spammer e truffatori che usano anche questi mezzucci per attirare potenziali clienti. Ecco come eliminarli.

Lasciate il mouse un istante sul numero dei like/dislike di un commento: questo fa comparire l’elenco dei profili Disqus che hanno dato giudizi a quel commento. 

Se cliccate su uno di questi profili con il tasto destro compare un menu del browser, dal quale potete scegliere di aprire il profilo in un’altra scheda del browser. Qui potete cliccare sui tre puntini sotto il profilo, sulla sinistra, e scegliere di bloccare e/o segnalare i profili che appartengono chiaramente a spammer o truffatori.

Lo schema di questi truffatori è molto semplice: far incuriosire l’utente-vittima al quale hanno dato il like/dislike e indurlo a visitare i loro profili, che contengono un link a un sito nel quale offrono (a pagamento) i loro servizi.

Purtroppo non sembra esserci un modo per impedire il fenomeno. Disqus consente di disabilitare completamente la funzione di upvote (nella sezione Community), ma soltanto se il moderatore principale (in questo caso io) ha un account Pro, che costa 105 dollari al mese (attualmente ne spendo 11 al mese per un account Plus in modo da rimuovere le pubblicità). Non mi sembra il caso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Basta un’immagine per far impazzire GPS, telecamera posteriore e infotainment di certe Mazda: 1500 dollari di riparazione

Questo articolo è disponibile anche in versione podcast.

Si fa un gran parlare di automobili “smart”, sempre più connesse e
informatizzate, e poi arrivano notizie come questa che fanno capire quanta
strada (informatica) c’è ancora da fare. 

A Seattle, negli Stati Uniti, centinaia di proprietari di alcuni modelli di
auto Mazda hanno perso improvvisamente l’uso del GPS e della telecamera
posteriore e si sono trovati con l’autoradio bloccata su una singola stazione
radio. La colpa, dice Mazda, è un’immagine che hanno ricevuto, e per sistemare
il problema servirà una riparazione da circa 1500 dollari.

Come è possibile che il semplice atto di ricevere un’immagine possa
danneggiare così tanto un’automobile?

Cominciamo dall’inizio. Ai primi di febbraio 2022 vari proprietari
statunitensi di auto Mazda fabbricate fra il 2014 e il 2017 hanno iniziato a
segnalare su Reddit
un problema strano: di colpo il navigatore GPS si guastava e la telecamera
posteriore diventava inservibile. Il sistema di infotainment, ossia il
computer di bordo e lo schermo che mostrava tutte le informazioni del veicolo,
continuava a riavviarsi. Spegnere e riavviare l’auto non risolveva il
guasto.

C’era anche una coincidenza molto bizzarra: tutte le auto si erano guastate in
questo modo dopo che i proprietari avevano sintonizzato la radio di bordo
sulla stessa stazione FM, KUOW.

L’emittente radio ha notato pubblicamente la coincidenza ma ha dichiarato di
non avere idea del motivo del malfunzionamento.

Inizialmente la colpa è stata data alla transizione della rete cellulare dal
3G al 5G, ma questa giustificazione era tecnicamente priva di senso. Poi è
arrivata la spiegazione reale, che a prima vista non sembra granché sensata
neanche lei: il guasto, ha detto Mazda, era stato causato
dalla stazione radio.

KUOW, infatti, è una delle tante emittenti radiofoniche del mondo che insieme
all’audio trasmette un flusso digitale di dati (specificamente con il sistema
HD Radio). Questo flusso viene ricevuto e
decodificato dalle autoradio appositamente predisposte, mostrando sullo
schermo informazioni come il nome della stazione radio, il titolo del brano
trasmesso e il nome del suo interprete, o un’immagine della copertina del
brano.

Ma KUOW aveva diffuso un’immagine al cui nome mancava l’estensione standard,
per esempio
JPG, GIF (in inglese si pronuncia ghif; in italiano gif con la G di “giraffa”)
o PNG, e il computer di bordo delle Mazda, che si aspettava che tutte
le immagini ricevute avessero un nome completo e corretto, è andato in
crash, e ci è rimasto, bloccato in un loop infinito, perché non
riusciva a riconoscere e gestire un file d’immagine privo di estensione. Non è riuscito a uscire dal loop perché quando si riavviava, la prima cosa che faceva era tentare di identificare l’immagine,
ma falliva e quindi andava di nuovo in crash. Non è un comportamento molto
smart.

Mazda ha
confermato
questa spiegazione, dicendo che la Connectivity Master Unit delle auto
colpite da questo problema non è riparabile e dovrà essere sostituita. Questo
componente costa 1500 dollari e verrà sostituito gratuitamente, ma al momento
è introvabile a causa di ritardi logistici. 

Riferisce Gizmodo

Between 1/24-1/31, a radio station in the Seattle area sent image
files with no extension (e.g., missing .jpeg or .gif), which caused an
issue on some 2014-2017 Mazda vehicles with older software,” Tamara
Mlynarczyk, a public affairs manager at Mazda North American Operations,
wrote to Gizmodo. “Mazda North American Operations (MNAO) has
distributed service alerts advising dealers of the issue.

In sintesi, ancora nel 2017, quindi solo cinque anni fa, una casa
automobilistica metteva sul mercato un computer di bordo che poteva essere
danneggiato permanentemente, in modo fisico, mandandogli semplicemente
un’immagine con un nome leggermente diverso da quello che si aspettava. Il software di quel computer era
scritto così male da non saper riconoscere un’immagine se l’immagine non si
presentava
esattamente con il nome giusto.

E non è neanche la prima volta che succede. Nel 2019 alcune Mazda erano
impazzite quando i loro proprietari avevano cercato di ascoltare uno specifico
podcast. La colpa, ancora una volta, era del software, che non sapeva gestire
una cosa banale come un carattere non alfabetico nel nome del podcast. Il
podcast, infatti, si intitolava
99% Invisible, con il numero scritto in cifre e accompagnato dal simbolo di percentuale.
Quel simbolo veniva interpretato male, causando un crash.

Va sottolineato che questo incidente con la stazione radio KUOW non riguarda
delle auto connesse a Internet: il “malware”, se vogliamo chiamarlo così,
ossia l’immagine involontariamente ostile, viene ricevuto via radio. Oggi molti
utenti, soprattutto informatici, sono preoccupati per la nuova tendenza a
collegare le auto a Internet e credono che quelle non connesse siano più
sicure. Ma questo episodio dimostra che non è necessariamente così.

Il problema di fondo, qui, non è la connessione a Internet o meno: è il modo
in cui viene scritto il software che oggi gestisce praticamente qualunque
automobile. Se non è scritto bene, rispettando regole elementari come
“non fidarti ciecamente di quello che ti arriva” (la cosiddetta
input sanitization) e isolando bene le funzioni di intrattenimento da quelle necessarie per la
guida, come il GPS o la telecamera di retromarcia, incidenti come questo
continueranno a succedere.

Quasi quasi come titolo della prossima puntata del podcast scelgo
apice UNION SELECT username, password FROM users
trattino trattino. E vediamo che succede 🙂


Fonti aggiuntive:
Portswigger,
Geekwire,
Driving, BBC, KUOW, Seattle Times, Gizmodo, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Le voci deepfake in Star Wars: The Book of Boba Fett

Questo articolo è disponibile anche in versione podcast.

Allerta spoiler: questo articolo rivela alcuni avvenimenti importanti delle
serie TV The Mandalorian e di The Book of Boba Fett. 

Se state seguendo le serie TV The Mandalorian e
The Book of Boba Fett, conoscerete già una delle loro sorprese più
emozionanti: torna un personaggio amatissimo da tutti i fan di Star Wars,
e torna ringiovanito, grazie alla tecnologia digitale, con risultati
incredibilmente realistici. Non vi preoccupate: non dirò di chi si tratta. Non
subito, perlomeno [non è Yoda come l’immagine qui accanto potrebbe far pensare].

Ma a differenza di altri attori e attrici del passato, che sono stati ricreati
o ringiovaniti creando un modello digitale tridimensionale dei loro volti e
poi allineando faticosamente questo modello alle fattezze attuali dell’attore o di una sua
controfigura, con risultati spesso discutibili e innaturali, sembra (ma non è
ancora confermato ufficialmente) che in questo caso sia stata usata la tecnica
del
deepfake.

In pratica, nei deepfake si attinge alle foto e alle riprese video e
cinematografiche che mostrano quella persona quando era giovane, si estraggono
le singole immagini del suo volto da tutto questo materiale e poi si dà questo
repertorio di immagini in pasto a un software di intelligenza artificiale, che
le mette a confronto con le riprese nuove dell’attore o della controfigura e
sovrappone al volto attuale l’immagine di repertorio, correggendo ombre e
illuminazione secondo necessità. Sto semplificando, perché il procedimento in
realtà è molto complesso e sofisticato, e servono tecnici esperti per
applicarlo bene, ma il principio di fondo è questo.

Sia come sia, il risultato in The Book of Boba Fett, in una puntata
uscita pochi giorni fa, lascia a bocca aperta: le fattezze del volto ricreato
sono perfette, le espressioni pure, e il personaggio rimane sullo schermo per
molto tempo, in piena luce, interagendo in maniera naturale con gli altri
attori, mentre in passato era apparso in versione ringiovanita solo per pochi
secondi e in penombra, in disparte. 

Mentre la prima apparizione di questo
personaggio digitale in The Mandalorian nel 2021 aveva suscitato
parecchie critiche per la sua qualità mediocre, nella puntata di
Boba Fett uscita di recente l’illusione è talmente credibile che fa
passare in secondo piano un dettaglio importante:
anche la voce del personaggio è sintetica.

Può sembrare strano, visto che la persona che lo interpreta è ancora in vita e
recita tuttora (non vi dico chi è, ma l’avete probabilmente già indovinato). Invece di chiamarla a dire le battute e poi elaborare
digitalmente la sua voce per darle caratteristiche giovanili, i tecnici degli
effetti speciali hanno preferito creare un deepfake sonoro.

Lo ammette candidamente Matthew Wood, responsabile del montaggio audio di
The Mandalorian, in una puntata di Disney Gallery dedicata al
dietro le quinte di questa serie: delle registrazioni giovanili dell’attore
sono state date in pasto a una rete neurale, che le ha scomposte e ha
“imparato” a recitare con la voce che aveva l’attore quando era giovane. 

La rete neurale in questione è offerta dall’azienda Respeecher,
che offre servizi di ringiovanimento digitale per il mondo del cinema,
permettendo per esempio a un attore adulto di dare la propria voce a un bambino oppure
di ricreare la voce di un attore scomparso o non disponibile.

La demo di Respeecher in cui la voce di una persona normale viene convertita
in tempo reale in quella molto caratteristica di Barack Obama è
impressionante:

In The Book of Boba Fett, il tono è corretto, le inflessioni della voce
sintetica sono azzeccate, ma la cadenza è ancora leggermente piatta e
innaturale.

Ci vuole ancora un po’ di lavoro per perfezionare questa tecnologia, ma già
ora il risultato della voce sintetica è sufficiente a ingannare molti
spettatori e a impensierire molti attori in carne e ossa, che guadagnano dando
la propria voce a personaggi di cartoni animati o recitando audiolibri.

Ovviamente per chi ha seguito la versione doppiata della serie tutto questo
lavoro di deepfake acustico è stato rimpiazzato dalla voce
assolutamente reale del
doppiatore italiano
(Dimitri Winter), ma a questo punto si profila all’orizzonte la possibilità che il
deepfake della voce possa consentire a un attore di “parlare” anche
lingue straniere e quindi permetta di fare a meno del doppiaggio. Con il
vantaggio, oltretutto, che siccome il volto dell’attore è generato digitalmente, il labiale
potrebbe sincronizzarsi perfettamente con le battute in italiano, per esempio.

C’è il rischio che queste voci manipolabili a piacimento consentano di
creare video falsi di politici o governanti che sembrano dire frasi che in
realtà non hanno detto, come ha fatto proprio Respeecher nel 2019 in un caso molto
particolare: ha creato un video, ambientato nel 1969, in cui l’allora
presidente degli Stati Uniti Richard Nixon annuncia in televisione la tragica morte sulla
Luna degli astronauti Neil Armstrong e Buzz Aldrin (mai avvenuta), mettendo in bocca al
presidente parole ispirate al discorso che era stato scritto nell’eventualità
che la loro missione Apollo 11 fallisse.

Respeecher non è l’unica azienda del settore. Google, per esempio, offre il servizio Custom Voice, che permette di replicare la voce di una persona qualsiasi mandandole un buon numero di campioni audio di alta qualità. Funziona molto bene: infatti non vi siete accorti che da qualche tempo a questa parte i miei podcast sono realizzati usando la mia voce sintetica, data in pasto a un file di testo apposito.

Tranquilli: sto scherzando. Per ora.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Una storia di phishing bancario diversa dal solito: il ladro beffato

Questo articolo è disponibile anche in
versione podcast. Ultimo aggiornamento: 2022/02/18 13:25.

All’inizio sembra la classica storia di phishing bancario: un
truffatore crea un sito Web che somiglia a quello di una banca, manda una
raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella
banca e contengono un link al sito del truffatore, e poi aspetta che le
vittime che hanno ricevuto quell’SMS e sono per pura coincidenza correntiste
di quella banca cadano nella trappola, cliccando sul link, visitando il sito e
immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che
svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_
) mi ha mandato un
tweet
avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il
mittente apparente era CartaBCC) e conteneva un messaggio di allarme:
“Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il
seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax”.

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in
modo da ingannare, con quel mittente falsificato, e creare ansia all’idea del
blocco del conto corrente, il link contenuto nell’SMS era chiaramente sospetto
per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non
sembra proprio un nome da sito bancario.

“Che faccio? Compilo?” mi ha chiesto ironicamente Giulio. 

Visitando il link con le opportune precauzioni ho visto che il falso sito
bancario era ancora attivo e conteneva la schermata di richiesta credenziali
di una nota
banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa
vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il
bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le
credenziali bancarie dei malcapitati correntisti che non si accorgevano
dell’inganno. Avrei dovuto quindi allertare la banca in questione e le
autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato
allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del
truffatore e ne aveva esaminato la struttura, che era pubblicamente
accessibile. Aveva notato per esempio il
contenuto del file
robots.txt, che rivelava che si trattava di un sito che era stato
creato con il popolare software WordPress e in realtà apparteneva a un
servizio legittimo, nel quale il truffatore si era inserito abusivamente
aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un
nome di file usato molto frequentemente, che non cito qui per prudenza, e di
aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore
archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili:
questo genio del male aveva commesso l’errore fondamentale di lasciare
pubblicamente accessibile
il file nel quale stava man mano registrando le credenziali delle proprie
vittime: indirizzo IP, login, nome, password, numero e CVV della carta
bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne
l’URL per leggerlo tranquillamente con un normale browser:
https://pay-stub.com/relax/%5Bnomefile%5D.txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in
fondo al file *.txt è comparsa una riga nuova contenente il mio
indirizzo IP e i miei dati. 

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente
reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non
erano al corrente della situazione e sono state giustamente sospettose nel
ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho
chiesto dati personali ma li ho comunicati io a loro, ossia il
contrario di quello che fa un truffatore: ho detto cose del tipo
“Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali
ed è correntista presso la Banca Cosìecosà e la sua password inizia con
queste lettere, tenga presente che la sua password è stata rubata e
rinvenuta in un archivio di password trafugante e le conviene cambiarla
immediatamente”.

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e
quando le si raggiunge è molto difficile spiegare tutta la situazione. Del
resto, se vi telefonasse uno sconosciuto dicendovi le vostre password
bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi
pomeriggio, insomma) e quindi i dati rubati non sono più reperibili
pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori
la beffa: a un certo punto molte vittime si sono accorte che si trattava di un
tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo
praticamente inutilizzabile la raccolta di credenziali iniziata dal
truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente
plausibili insieme a dei nomi utente o password decisamente scurrili, che non
posso riferire qui, per far capire al ladro che non si erano fatte ingannare.
Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni
molto colorite delle attività personali di sua madre e numerosi suggerimenti
pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all’inizio del file che conteneva le credenziali c’erano
anche i dati delle prove fatte dal ladro, che includevano anche il suo
indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare
Vodafone. Ho
comunicato
questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere
tutto il necessario per identificare l’aspirante ladro. 

—-

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono
tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine
come riconoscere i tentativi di inganno.

  • Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché
    possono essere falsificati facilmente. 
  • Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si
    tratta di messaggi di allarme che riguardano conti bancari o spedizioni
    postali o vincite inaspettate.
  • Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti
    tramite dei messaggini contenenti dei link o chiederà telefonicamente di
    confermare codici di accesso.

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è
usare Browserling.com, che vi offre tre
minuti di tempo su un computer remoto sacrificabile), potreste provare a
visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste
a proteggere le vittime nascondendo le loro credenziali vere in una selva di
credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti
potete segnalarlo a Google presso
Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se
lo visitano.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Auto in tilt per un’immagine, Star Wars e deepfake, furto di dati bancari con lieto fine

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Venerdì 18/2 alle 21:30 parleremo di “Forever Young” e di traduzione letteraria in diretta streaming

Venerdì 18 febbraio sarò ospite in video dell’Associazione Astrofili Bolognesi-APS in compagnia degli editori Diego Meozzi e Paola Arosio (Cartabianca) per parlare di Forever Young, l’autobiografia dell’astronauta lunare John Young che Cartabianca ha tradotto in italiano e al quale ho contribuito per la parte tecnica e terminologica.

Se volete, ci troviamo alle 21.30: potrete seguire l’incontro su Facebook o su YouTube. Parleremo non solo di storia dell’esplorazione spaziale ma anche delle difficoltà di tradurre un libro come questo, dal punto di vista linguistico e organizzativo. Se volete porci domande in diretta, ricordatevi di dare il consenso a
questo link:
streamyard.com/facebook. La serata sarà condotta da Giulio Busi. L’annuncio dell’AAB è qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Il vero finale di 1984

Ultimo aggiornamento: 2022/02/16 10:40.

Allerta spoiler: questo articolo descrive il finale del libro
1984 di George Orwell. Se non volete sapere come finisce il romanzo,
non leggete oltre. 

Adoro scoprire qualcosa che ribalta le mie certezze e amplia le mie
conoscenze. Avete presente 1984 di George Orwell? Il romanzo famoso per
la sua visione apocalitticamente pessimista di una dittatura che controlla le
persone attraverso una sorveglianza continua e ossessiva e una continua,
opprimente riscrittura del passato e una neolingua fatta appositamente
per impedire pensieri sovversivi?

La narrazione nel romanzo si conclude (allerta spoiler) con la resa
totale del protagonista, Winston Smith, che subisce un memorabile lavaggio del
cervello. Il regime sembra destinato a durare per sempre, impermeabile a
qualunque tentativo di ribellione.
Se vuoi un‘immagine del futuro, immagina
uno stivale che calpesta un volto umano — per sempregli dice fiero e inesorabile uno dei suoi torturatori.

È un finale forte, duro, che ha contribuito non poco a imprimere nella cultura
i concetti di 1984. Ma non è il vero finale.

Questo
thread
su Twitter, infatti, fa notare che l’appendice linguistica al libro (Principles of Newspeak o Principi di Neolingua, disponibile
qui in inglese), che molti non leggono (o leggono distrattamente), contiene alcune
rivelazioni annidate tra le righe. Traduco e riassumo il thread.

L’appendice è scritta da storici nel futuro nell’universo del romanzo, e
questi storici descrivono un sistema (la Neolingua) che è scomparso. Vuol
dire che il regime (Ingsoc o Socing nell’edizione italiana) è
crollato, e suggerisce che sia crollato prima del 2050. In altre parole,
1984 ha una specie di lieto fine.

L’appendice dice che la Neolingua descritta in 1984 è raccolta nella
nona e decima edizione del dizionario di Neolingua e che l’undicesima
edizione fu quella finale. Non si sa quando il Partito è salito al
potere o ha dato il via alla Neolingua, ma se è già arrivato alla decima
edizione nel 1984 o giù di lì e il Partito non sale al potere prima del
1959, allora le edizioni vengono pubblicate al massimo ogni tre o quattro
anni. Se la decima edizione viene pubblicata all’incirca nell’epoca degli
eventi descritti nel libro e il Socing dura abbastanza da produrre
un’undicesima edizione ma non una dodicesima, questo vuol dire che il regime
è crollato circa un decennio dopo gli avvenimenti raccontati.

Un altro indizio è che era prevista la traduzione in Neolingua dei classici
della letteratura inglese, per poi distruggere gli originali. La fine di
questa traduzione era prevista per non prima del primo o secondo decennio
del ventunesimo secolo. Ma i tempi verbali, e il fatto che i futuri autori
dell’Appendice danno per scontato che i lettori conoscano le opere di Shakespeare,
Milton, Jefferson e altri, fanno presumere che l’Ingsoc sia crollato appunto prima
del primo o secondo decennio del ventunesimo secolo.

E ancora: O’Brien (il torturatore di Winston Smith) promette di eliminare
totalmente la sua esistenza come dimostrazione del potere del Partito:
“Né un nome in un registro, né un ricordo in un cervello in vita”. Ma
l’Appendice cita
“Il Ministero della Verità, dove lavorava Winston Smith”, e questo
implica che i futuri autori dell’Appendice siano al corrente dell’esistenza
di Smith e che il suo ricordo non sia quindi stato estirpato.

Orwell avrebbe quindi scritto un epilogo ottimista, ma lo avrebbe nascosto
sotto forma di appendice tecnica, ignorata da tanti perché sembrava
semplicemente un saggio linguistico. E ha fatto bene, perché sarebbe stato un
crimine letterario guastare il pugno allo stomaco di quell’“Amava il Grande
Fratello” appiccicandovi un epilogo esplicito a lieto fine. Il lieto fine c’è,
ma Orwell te lo fa sudare. 

___

Luca Frusone mi segnala via Twitter un’altra peculiarità decisamente orwelliana delle varie edizioni di 1984: non sono tutte uguali, e anzi differiscono in un aspetto fondamentale: la presenza o assenza di un singolo carattere di stampa, forse per errore o su istruzione di Orwell stesso, che cambia completamente la vicenda di Winston Smith. Cosa decisamente ironica, visto che uno dei temi del libro è l’alterazione dei documenti per adattare la storia al volere politico. Se vi interessa, la trovate in inglese qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.