Vai al contenuto

Podcast RSI – Svizzera, rapporto federale: raddoppiano gli incidenti informatici. Come rimediare (prima parte)

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

[CLIP: Descrizione di un hackeraggio da “Mr. Robot”]

I toni drammatici di un telefilm come
Mr. Robot, dal quale è tratto questo spezzone, possono
sembrare fantasiosi ed esagerati, ma non sono poi così tanto lontani
dalla realtà degli attacchi informatici.

Le tecniche descritte da questa serie
sono infatti realistiche, anche se c’è qualche licenza narrativa
per esempio sui tempi di esecuzione, e sappiamo che sono realistiche
perché i resoconti reali degli addetti ai lavori raccontano di un
mondo sommerso di attacchi veri, sferrati contro aziende e
infrastrutture, da cui solo ogni tanto affiora nella cronaca qualche
episodio particolarmente sensazionale.

Fra questi resoconti c’è quello
semestrale dell’Ufficio federale della cibersicurezza svizzero o
UFCS, di cui è appena stata pubblicata una versione
aggiornata scaricabile, riferita al secondo semestre del 2023,
che contiene dati, statistiche, esempi di casi concreti e tantissime
risorse utili da conoscere per evitare di diventare uno di quei dati
e di entrare a far parte di quelle statistiche.

Ma è
scritto in linguaggio piuttosto tecnico, e a pochi verrà in mente di
leggersi quaranta pagine
fitte di un testo intitolato,
in modo molto pragmatico ma poco accattivante, Rapporto
semestrale 2023/II (luglio-dicembre) – Sicurezza delle informazioni –
La situazione in Svizzera e a livello internazionale.
L’ho fatto io per voi, e così posso raccontarvi le cose più
importanti da sapere per essere pronti alle nuove sfide di sicurezza
informatica. E se avete pensato che sicuramente ci sarà di mezzo
l’intelligenza artificiale, non avete torto.

Benvenuti
alla
puntata del 10
maggio 2024 del
Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie
e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Tecniche classiche in aumento, ma cala il
ransomware

Per capire correttamente questo rapporto è necessario partire da
una premessa che ci riguarda tutti: i suoi dati si basano sulle
segnalazioni degli attacchi, fatte alle autorità, ossia
all’Ufficio federale della cibersicurezza, da chi li ha subiti. I
numeri del rapporto, insomma, non rappresentano tutti i
“ciberincidenti”, per usare la terminologia del documento,
ma soltanto quelli segnalati.

Questo vuol dire che le segnalazioni sono importantissime per gli
addetti ai lavoro, contrariamente a quello che molti pensano, cioè
che sia inutile informare le forze dell’ordine di un attacco
subìto, perché tanto le speranze di ottenere la punizione dei
colpevoli sono minime. Sì, è vero che i criminali informatici
risiedono quasi sempre all’estero, in paesi nei quali sanno che non
verranno perseguiti, e quindi è improbabile avere giustizia o
riavere i soldi o i dati sottratti con la frode informatica, ma
segnalare gli attacchi serve per consentire agli esperti di sapere
quali sono le tecniche più frequenti e quindi per concentrare i loro
sforzi dove c’è maggiore bisogno, per poter avvisare
la popolazione e le imprese in caso di un’escalation della
minaccia”, come dice appunto il rapporto, e a volte serve anche
per scoprire tecniche inedite.

È importante anche distinguere le segnalazioni
dalle denunce: le
segnalazioni sono molto più semplici da fare. Il rapporto
consiglia di farle online, presso l’apposita
pagina dell’Ufficio Federale della Cibersicurezza oppure presso il sito
Antiphishing.ch.
Trovate i nomi e i link a tutte queste fonti presso
Disinformatico.info.

Detto questo, i numeri delle segnalazioni sono impressionanti: nel
secondo semestre del 2023 ne sono state inviate oltre 30.000, quasi
il doppio rispetto allo stesso periodo del 2022. L’aumento, dice il
rapporto, è causato soprattutto dalle truffe, sotto forma di
offerte di lavoro fraudolente” e
chiamate fasulle a nome della polizia”.

Le offerte di lavoro fasulle sono state diffuse soprattutto
tramite WhatsApp e hanno seguito uno schema piuttosto complicato che però illustra bene il livello di sofisticazione dei criminali. Chi
rispondeva a queste offerte riceveva infatti un elenco di mandati,
per esempio redigere recensioni di prodotti, in cambio di un compenso
versato su una piattaforma online gestita dai truffatori. Ma

il numero di mandati disponibili” dice il rapporto “si azzerava rapidamente.
Per accelerare l’attività e non dover aspettare, la piattaforma
dava la possibilità di generare a pagamento nuovi mandati. Per pochi
dollari si potevano così acquistare 50 nuovi mandati di recensione”
spiega sempre il rapporto,
aggiungendo che “Il guadagno promesso, che a sua volta
avrebbe dovuto essere accreditato sulla piattaforma, superava di
molto i costi, per cui la vittima pensava che valesse la pena
utilizzare quel modello. La brutta sorpresa arrivava quando si voleva
incassare il guadagno accumulato. Il gestore della piattaforma
richiedeva delle tasse per il versamento del guadagno finché la
vittima si accorgeva che si trattava di una truffa.”

Le prese di contatto fasulle a nome della polizia, invece, erano a
volte sotto forma di mail nelle quali si comunicava alla vittima che
era “ritenuta colpevole di un grave reato (in genere legato alla
pornografia minorile)” e che l’unico modo per evitare
un’azione penale era versare una somma di denaro. Ma i criminali
hanno anche effettuato raffiche di telefonate automatiche, nelle
quali una voce sintetica diceva di rappresentare un’autorità di
polizia e informava la vittima che per esempio i dati del suo conto
corrente privato erano emersi in relazione a un dato reato e che per
avere ulteriori informazioni doveva premere il tasto 1. Se la vittima
lo faceva, la chiamata veniva inoltrata a un sedicente “operatore”
che le chiedeva di scaricare un software di accesso remoto, che poi
permetteva al criminale di insinuarsi nel computer o nel telefono
cellulare per accedere alle credenziali di e-banking della vittima e
usarle per inviare soldi dal conto della vittima a quello dei
truffatori.

La classifica delle tecniche criminali più frequenti prosegue
citando la cosiddetta “truffa del CEO”, cioè quella in
cui gli aggressori fingono di essere un membro importante di
un’azienda e contattano uno dei dipendenti di quell’azienda per
convincerlo a inviare urgentemente del denaro a un conto bancario
controllato dai truffatori, dicendo che si tratta di un pagamento
necessario per concludere un grosso accordo commerciale.

Si colloca in alto in classifica anche la tecnica in cui i
criminali riescono a manipolare le fatture ricevute da un’azienda,
per esempio alterando le loro coordinate di pagamento in modo da
dirottare i soldi su un conto ancora una volta gestito dai
truffatori.

Tutte queste forme di attacco sono in aumento, mentre sono in
diminuzione gli attacchi di ransomware ai danni delle imprese,
ossia quelli nei quali i criminali chiedono denaro per sbloccare i
computer aziendali di cui hanno preso il controllo oppure per non
disseminare i dati aziendali di cui si sono impadroniti.

Ma non sono mancati i tentativi di inganno basati
sull’intelligenza artificiale.

Se ti hanno filmato nudo, dì che è un deepfake:
IA nel crimine online

Il rapporto dell’Ufficio federale di cibersicurezza (o UFCS)
nota che nel 2023 i criminali hanno iniziato a usare l’intelligenza
artificiale nei loro attacchi. Per ora, dice il rapporto, non si
tratta ancora di un uso sistematico ma solo di “tentativi con
cui i truffatori cercano di sondare cosa sia possibile o redditizio”.

In alcuni di questi tentativi segnalati, l’intelligenza
artificiale è stata usata “per creare foto o video
compromettenti allo scopo di ricattare la vittima. Basta che i
criminali siano in possesso di filmati o fotografie del tutto
innocenti registrate o scattate personalmente dalla vittima in
precedenza o magari accessibili a tutti su Internet. Da questi video
innocui l’IA crea filmati pornografici o immagini di nudo”,
ossia dei deepfake.
L’UFCS “ritiene che questa forma di estorsione crescerà
vertiginosamente negli anni a venire”,
ma nota anche che l’esistenza
dei deepfake è
ampiamente conosciuta dal grande pubblico e
quindi questa forma di ricatto potrebbe risultare inefficace perché
anche chi è stato realmente
ripreso dai criminali in video compromettenti potrebbe
dire tranquillamente che si tratta di una ripresa fabbricata con l’intelligenza
artificiale.

I video
falsi generati con l’intelligenza artificiale sono stati usati dai
criminali anche in un’altra forma, facendo dire in video a persone
famose, come politici o grandi imprenditori, raccomandazioni
di investimenti in criptovalute che erano in realtà fraudolenti.

Un altro esempio interessante di
uso criminale dell’intelligenza artificiale viene segnalato dal
rapporto dell’UFCS notando che varie imprese hanno segnalato di
aver ricevuto “telefonate da loro presunti dipendenti
che, con voce perfettamente simulata, si sarebbero informati su
questioni aziendali interne o avrebbero disposto l’esecuzione di
pagamenti. I dipendenti in questione, tuttavia, erano completamente
ignari di queste telefonate, che con tutta probabilità vengono
generate tramite deepfake”,
cioè con voci sintetiche
generate usando campioni di quelle reali.

Il rapporto cita anche un caso
molto particolare nel quale si sospetta l’uso dell’intelligenza
artificiale: sono state
segnalate mail truffaldine, in apparenza provenienti da banche,
scritte in svizzero tedesco, forse
con lo scopo di sembrare
più realistiche e familiari, perché in effetti è facile pensare
che sia improbabile che un criminale informatico che sta in chissà
quale paese lontano sappia scrivere in una lingua così locale.
Ma l’UFCS nota che nel
mondo degli affari svizzero “si utilizza di prassi il
tedesco standard” e
che “[u]na presunta e-mail ufficiale proveniente
da una banca e scritta in dialetto tenderebbe a insospettire la
vittima piuttosto che convincerla a cliccare sul relativo link”.
I criminali, in questo caso,
hanno insomma preso un granchio.

Tuttavia c’è un altro settore
del crimine informatico in cui ha molto senso usare il dialetto: “le
truffe legate ai piccoli annunci […]. Questo stratagemma infonde
fiducia nella vittima, dando l’impressione che acquirente e
venditore provengano dalla medesima regione (linguistica)”.
Sono già stati osservati i primi casi di annunci online fraudolenti
scritti in buon svizzero tedesco, presumibilmente
usando software di traduzione basati sull’intelligenza
artificiale, per cui l’uso
di questa forma di comunicazione non deve far abbassare la guardia, e
sapere questo fatto è il primo passo verso la prevenzione degli
attacchi.

Torna il “voice phishing”

Il rapporto dell’Ufficio federale di cibersicurezza si sofferma
poi sull’impennata di segnalazioni di una tecnica di attacco
solitamente rara: il voice phishing,
ossia l’ottenimento delle credenziali di sicurezza di una vittima
attraverso una telefonata fatta a voce, in
tempo reale, dai criminali.

Verso la fine dell’anno scorso
sono stati segnalati molti casi di chiamate “da parte di
sedicenti impiegati di banca, che facevano credere di voler bloccare
un pagamento fraudolento. In alcuni casi il numero di telefono
visualizzato corrispondeva persino a quello ufficiale della banca: si
tratta in realtà di un numero che, attraverso la tecnica dello
«spoofing», viene falsificato dai truffatori per farlo sembrare
credibile.” Conviene insomma
sapere che il numero di telefono del chiamante che vedete sullo
schermo del vostro telefono non è affatto una garanzia di
autenticità, come invece pensano in molti.

Ma l’astuzia dei criminali non
si limita alla falsificazione del numero del chiamante. In alcuni
casi, segnala il rapporto dell’UFCS,
il finto impiegato di banca “consigliava di telefonare
immediatamente alla divisione antifrode della Polizia cantonale e
comunicava altresì il numero da chiamare”, dice il rapporto. Una
cortesia spiazzante, che di certo non fa pensare che l’interlocutore
sia un criminale, ma c’è l’inghippo: il numero che veniva
fornito non era
quello della divisione antifrode ma era
anch’esso gestito
dai malviventi.

L’altro ingrediente spiazzante
usato dai truffatori è l’apparente conoscenza della banca usata
dalla vittima. È capitato anche a me di ricevere una di queste
telefonate, nella quale la truffatrice (era una voce femminile)
diceva che c’era un problema sul mio conto bancario e citava
proprio la banca presso la quale ho un conto. Come fanno i criminali
ad avere queste informazioni?

In realtà non le hanno, spiega
il rapporto dell’UFCS:
“gli aggressori si spacciano per impiegati di una
grande banca, visto che la probabilità che la vittima vi abbia
effettivamente un conto è statisticamente più alta”.
In altre parole, tirano a
indovinare e spesso ci azzeccano.
E se sbagliano, dice
il rapporto, “nel
corso della telefonata cercano di scoprire quale sia l’istituto
bancario della vittima e quindi richiamano poco tempo dopo, ma questa
volta a nome della banca «giusta».”

E le
loro astuzie non finiscono qui: l’UFCS
cita infatti
il caso di una vittima alla quale il sedicente
impiegato di banca ha chiesto se negli ultimi giorni avesse
predisposto un pagamento di una somma consistente a
favore di una specifica persona, di cui il finto impiegato ha citato
nome e cognome. La vittima conosceva
effettivamente quella persona: come facevano i truffatori ad avere
un’informazione così precisa e apparentemente rassicurante?

L’UFCS
ha scoperto che “sia
il nome che il numero di telefono della vittima e del presunto
destinatario erano comparsi in una presentazione pubblica che i due
avevano effettuato insieme in passato. Questo dimostra che gli
aggressori spulciano sistematicamente Internet alla ricerca di
informazioni che possono poi sfruttare per attacchi di social
engineering mirati.”

Il social engineering
è quella tecnica di attacco
informatico che si basa sul conquistare la fiducia della vittima
mostrando di conoscere informazioni che in apparenza solo un vero
impiegato di banca o di un’azienda potrebbe avere. Ma le nostre
vite sono sempre più pubbliche e condivise, grazie
anche alla quantità di informazioni che noi stessi riversiamo nei
social network, e i criminali sanno come trovarle e sfruttarle contro
di noi. Anche
qui, sapere che i criminali non pescano a caso ma anzi spesso si
studiano bene la vittima è il primo passo verso la prevenzione.

Il
rapporto dell’UFCS prosegue con la descrizione di molti altri tipi
di attacco, anche a livello internazionale e in situazioni di guerra,
e con le raccomandazioni su
come difendersi bene. Ma
queste sono storie che meritano di essere raccontate per bene in una
puntata a parte.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Falla in MOVEit, saccheggiati dati aziendali per estorcere denaro; come difendersi

Falla in MOVEit, saccheggiati dati aziendali per estorcere denaro; come difendersi

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2023/06/23 9:05. Questo articolo è disponibile anche in versione podcast.

Dopo avervi raccontato un attacco informatico dilettantesco,
quello di NoName, e un attacco più professionale,
quello ai danni degli utenti di Minecraft, è il turno di vedere come operano i criminali informatici più sofisticati,
visto che in questi giorni hanno seminato il caos nelle aziende di mezzo
mondo, colpendo per esempio British Airways, la BBC, la società di consulenza internazionale EY [nota ai più col suo nome precedente, Ernst and Young (BBC)], nonché molti siti
governativi statunitensi e banche di vari paesi, rubando dati sensibili e poi
chiedendo un riscatto per non pubblicarli.

Gli esperti attribuiscono questi
attacchi a un gruppo criminale russofono denominato Cl0p. Almeno due organizzazioni svizzere sono state colpite, secondo l’elenco geografico dei bersagli basato sui dati pubblicati dai criminali sul dark web [presso il seguente indirizzo, che ho opportunamente alterato]:

hxxp://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad[.]onion

La schermata del sito di Cl0p. Fonte: Reliaquest.

Il primo sintomo di un attacco sofisticato è la sua natura indiretta.
Oggigiorno è raro che un’azienda venga attaccata direttamente, frontalmente, perché il
crimine informatico organizzato ha capito da tempo che è molto più efficiente
colpire i grandi fornitori di servizi delle aziende, in un cosiddetto supply-chain attack. In questo modo, con un
solo attacco si riesce a entrare nei sistemi di tutte le aziende che usano
quei fornitori. In questo caso il fornitore è la
Progress Software, che produce
un software di trasferimento di file molto diffuso, chiamato MOVEit, che aveva
un difetto sconosciuto all’azienda ma purtroppo noto ai criminali.

Questo è il secondo sintomo di un attacco informatico di alto livello: l’uso
di una vulnerabilità non ancora nota e documentata, ossia di una cosiddetta
falla zero day (che
si chiama così perché viene sfruttata dai criminali prima che sia nota agli
esperti di sicurezza, e quindi la casa produttrice del software fallato ha
avuto zero giorni di tempo per rimediarla prima che venisse utilizzata).

I criminali hanno scoperto che l’interfaccia Web del software MOVEit
aveva un difetto classico: non filtrava eventuali comandi annidati
opportunamente nei dati immessi dagli utenti. Questi comandi venivano
quindi eseguiti, permettendo di visualizzare ed esportare dati
confidenziali, di avere privilegi di amministratore sui sistemi attaccati e
altro ancora.

Per fare un esempio ipotetico, immaginate di avere davanti a voi un
sito web che vi chiede di immettere il vostro nome e cognome, e immaginate di rispondere
scrivendo che vi chiamate Cancella di nome e Database filesdb di
cognome. Immaginate inoltre che cancella sia un comando valido per la
gestione del database, e che quel database si chiami proprio filesdb. Un sito
che non filtra le immissioni degli utenti interpreterà queste parole come
comandi… e cancellerà il proprio database.

Nella realtà non è così semplice come in questo esempio, ma il principio è lo
stesso: i criminali hanno immesso nell’interfaccia Web dei comandi opportunamente confezionati e hanno ottenuto in risposta i dati sensibili delle aziende, senza dover indovinare password, installando anche del software per poter proseguire l’attacco anche in seguito. 

Tutte le installazioni aziendali di MOVEit consultabili via Internet erano vulnerabili in questo modo, in quello che gli
esperti chiamano injection attack. Il motore di ricerca specialistico Shodan rileva attualmente circa 2300 siti che usano MOVEit e lo espongono a Internet. In Svizzera, i siti di questo genere sono una quarantina.

Il mitico xkcd e la sua celebre vignetta dedicata a Bobby Tables.

Quattro giorni dopo l’inizio degli attacchi, la Progress Software ha corretto
la falla e ha informato i propri clienti della situazione, distribuendo due
aggiornamenti di MOVEit che risolvono il problema e delle istruzioni molto dettagliate su come procedere. 

Le aziende che hanno
installato l’aggiornamento ora sono al sicuro da questo specifico metodo di
attacco, ma i loro dati possono essere già stati saccheggiati dai
criminali, e resta il problema dei fornitori di servizi aziendali: molte organizzazioni che non usavano direttamente MOVEit, infatti, sono state coinvolte lo stesso perché per la gestione degli stipendi si appoggiavano a una società esterna, Zellis, che usava appunto MOVEit ed è stata attaccata, permettendo così ai criminali di ottenere i dati sensibili delle aziende clienti.

In sintesi: se usate MOVEit, controllate di averlo aggiornato; se non usate MOVEit, chiedete ai vostri fornitori di servizi se lo usano e quali misure hanno già preso. Nel frattempo, i criminali hanno iniziato a pubblicare parte dei dati sottratti, nominando le aziende coinvolte, e il governo degli Stati Uniti ha messo una taglia da 10 milioni di dollari sugli autori di questi attacchi. C’è insomma parecchio da fare per tutti.

Fonti aggiuntive: TechCrunch, BBC, Reliaquest, Sophos, Ars Technica, Bitdefender, Reddit, Graham Cluley, NIST, Socradar.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: l’allarme dell’FBI per le prese pubbliche di ricarica dei telefonini

Antibufala: l’allarme dell’FBI per le prese pubbliche di ricarica dei telefonini

Moltissime testate giornalistiche [per esempio Corriere della Sera, Open,
Secolo XIX, CBS, El Pais, Fortune],
compresa la RSI, hanno pubblicato la notizia dell’allarme diffuso via Twitter dall’FBI a
proposito delle prese pubbliche di ricarica per telefonini e altri
dispositivi elettronici: queste prese sarebbero pericolose perché potrebbero
essere usate da criminali informatici per infettare i dispositivi, leggere e
rubare dati e anche tracciare smartphone, tablet e computer dopo che sono stati scollegati.
Sarebbero maggiormente esposti gli utenti Android, ma anche gli utenti Apple
non dovrebbero sentirsi al sicuro.

La tecnica usata dai malfattori ha un nome specifico: si chiama
juice jacking, che in inglese significa “presa di controllo tramite la corrente”
(juice è un modo informale per indicare la corrente elettrica e
jacking è un troncamento di hijacking, ossia “dirottamento,
presa di controllo”).

L’idea di non poter usare queste comodissime prese di ricarica, così preziose
quando si è in viaggio e il telefonino, il tablet e il computer sono a corto
di energia, è preoccupante e riguarda moltissime persone, e la fonte
dell’allarme, l’FBI, sembra assolutamente attendibile; è quindi
comprensibile che i giornalisti l’abbiano diffuso con entusiasmo. Ma scavando
un pochino viene fuori che l’allarme è basato sul nulla: o meglio, su un corto
circuito. Non elettrico, ma informativo.

L’avviso dal quale è partita tutta la preoccupazione è infatti un
tweet
della sede distaccata dell’FBI di Denver, datato 6 aprile 2023, che dice che
“attori ostili hanno trovato modi per usare le porte USB pubbliche per
inserire malware e software di monitoraggio nei dispositivi”
e raccomanda di portare con sé un proprio caricatore e un proprio cavetto USB e
di usare le prese elettriche normali invece dei cavetti offerti.

Questo tweet dell’FBI, però, non fornisce dettagli tecnici o fonti.

Così il giornalista informatico
Dan Goodin ha contattato
l’FBI, un cui portavoce gli ha spiegato che la sede di Denver ha basato il
proprio allarme su informazioni provenienti dalla FCC, la Federal
Communications Commission, l’autorità governativa statunitense che regola e
amministra l’uso delle frequenze radio e delle telecomunicazioni. E in effetti
sul sito della FCC c’è un
avviso, datato 11 aprile 2023, che ripete sostanzialmente le raccomandazioni
dell’FBI, anche qui senza fornire dettagli tecnici o fonti.

Ma a sua volta, spiega sempre Goodin, la FCC dice che le sue informazioni si
basano su un articolo del New York Times del 2019 [probabilmente
questo, paywallato], che si basava su un avviso diffuso dall’ufficio del procuratore
distrettuale di Los Angeles. Ma quell’avviso è stato rimosso a dicembre 2021,
dopo che era emerso che i funzionari del procuratore distrettuale non avevano
alcuna prova del fenomeno. Anche la FCC non è in grado di citare un singolo
caso in cui questo juice jacking su prese pubbliche sia realmente avvenuto.

In altre parole, l’allarme dell’FBI si basa su un complicato passaparola alla
cui origine c’è il nulla. 

Possiamo quindi stare tranquilli e collegare i nostri dispositivi alle prese
negli aeroporti e nei luoghi pubblici e dimenticarci di questo falso allarme?
Probabilmente sì. La capacità di infettare uno smartphone semplicemente
collegandolo a un cavetto di ricarica sarebbe una tecnica troppo potente e
pericolosa per sprecarla su bersagli comuni in luoghi pubblici, e se esistesse
da ben quattro anni, le case produttrici di dispositivi avrebbero nel frattempo
rimediato, diffondendo aggiornamenti correttivi. Quindi le prese USB e i cavetti che trovate nei normali luoghi pubblici sono quasi sicuramente privi di
pericoli informatici.

Detto questo, esiste un rischio teorico. Le prese di ricarica dei
dispositivi includono quasi sempre dei contatti elettrici che accettano dati e comandi.
Sarebbe quindi possibile mandare dei comandi a un dispositivo connesso
attraverso un cavetto appositamente costruito, come per esempio l’OMG Cable
di Hak5. Questi comandi permetterebbero di prendere il controllo di un
dispositivo sbloccato quanto basta per infettarlo o estrarne dati. Ma cavetti speciali
come questi hanno un costo piuttosto alto (oltre 100 dollari). Troppo alto per lasciarli
in giro in un luogo pubblico.

Il rischio reale, insomma, è minimo, e infatti non ci sono casi documentati di
questo juice jacking nonostante se ne parli a livello teorico da anni.
Ma se preferite evitare anche quel minimo rischio, usate il vostro caricatore,
quello che si inserisce nella presa elettrica, o una vostra batteria esterna o
powerbank. E se proprio siete paranoici, esistono anche dei
cavetti speciali
e degli isolatori per cavetti di ricarica, i cosiddetti
data blocker, che fanno passare solo la corrente elettrica ma non i dati.

Fonte aggiuntiva:
Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Hyundai attaccata, dati dei clienti trafugati in Francia e Italia. Occhio alle truffe

Hyundai attaccata, dati dei clienti trafugati in Francia e Italia. Occhio alle truffe

Ultimo aggiornamento: 2023/04/13 12:40.

Se avete una Hyundai acquistata in Italia o in Francia, o se avete anche solo
partecipato recentemente a un test di guida di un’auto Hyundai in questi paesi, fate attenzione a eventuali
messaggi e chiamate da parte di sedicenti rappresentanti dell’azienda. 

Il ricercatore di sicurezza Troy Hunt segnala infatti una comunicazione
“riservata e confidenziale” da parte di Hyundai in italiano che
annuncia che “una terza parte non autorizzata ha avuto accesso” a
“e-mail, indirizzi e numeri di telefono” dei clienti e a
“dati dei veicoli (come i numeri di telaio)”. L’azienda aggiunge che ha “messo in atto tutte le misure” per arginare l’accesso e ha “informato tempestivamente il Garante per la Protezione dei Dati Personali.”

Hyundai invita “a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai” e raccomanda in particolare “di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto”

L’azienda offre anche un indirizzo di mail da usare “per qualsiasi verifica o supporto”: databreach@hyundai.it.

Questo è il testo integrale della comunicazione citata da Hunt:

Gentile [omissis]

a nome di Hyundai Motor Company Italy, sono spiacente di informarla che la
nostra azienda ha recentemente appreso che una terza parte non autorizzata
ha avuto accesso ad alcune informazioni contenute nel nostro database
clienti.

Non appena ci è stato comunicato l’incidente abbiamo immediatamente avviato
un’indagine e messo in atto tutte le misure per arginarlo. Ci siamo rivolti
ai migliori specialisti di cybersecurity ed ai nostri avvocati per farci
supportare nella gestione dell’incidente. Abbiamo informato tempestivamente
il Garante per la Protezione dei Dati Personali e tra le varie misure di
sicurezza adottate, abbiamo bloccato il server interessato e lo abbiamo
rimosso definitivamente dalla rete. Stiamo continuando a lavorare con i
nostri team IT per garantire che i nostri sistemi mantengano un elevato
standard di sicurezza.

Le nostre indagini informatiche hanno confermato che alcuni dati dei nostri
clienti potrebbero essere effettivamente stati impattati. Nello specifico, i
dati comprendono informazioni di contatto (come e-mail, indirizzi e numeri
di telefono) e dati dei veicoli (come i numeri di telaio). Non sono stati
invece colpiti né dati finanziari, né numeri di identificazione ufficiali.

Sebbene non vi siano prove che i dati interessati siano stati utilizzati per
scopi fraudolenti, per estrema cautela, la invitiamo a prestare particolare
attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta
e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del
Gruppo Hyundai. In particolare, le raccomandiamo di evitare di premere
qualsivoglia link che possa essere contenuto nel tentativo di contatto che
potrebbe ricevere.

Come sempre, può contattarci direttamente per qualsiasi verifica o supporto.

A questo proposito, abbiamo predisposto un canale dedicato che potrà
raggiungere all’indirizzo databreach@hyundai.it.

Per noi di Hyundai Motor Company Italy la protezione dei dati personali dei
nostri clienti è sempre stata una priorità assoluta.

Ci impegniamo ogni giorno per garantire i massimi standard di sicurezza ed
assicurare una risposta pronta e esaustiva in caso di qualsiasi rischio,
anche solo potenziale.

Hyundai Motor Company Italy si scusa per qualsiasi preoccupazione che questo
incidente possa averle causato.

Anche Hyundai Motor France ha diffuso una comunicazione analoga [in francese, che mi è stata
segnalata su
Mastodon e fornisce un indirizzo di contatto (hyundaivousrepond@hyundai.fr)]:

Il testo francese (troncato in coda nello screenshot) è questo:

Chère Madame, Cher Monsieur,
Notre base de données clients a récemment
fait l’objet d’une attaque informatique par un tiers non autorisé qui a accédé
à certaines données personnelles de nos clients (nom, prénom, date de
naissance, adresse email et postale, numéro de téléphone, numéro de client et
numéro de châssis). Aucune donnée financière ou sensible n’a été affectée.
Des
que nous en avons pris connaissance, nous avons diligenté une enquête interne
avec des experts en informatique et nos avocats qui ont d’ores et déjà pris
les mesures techniques afin d’y remédier. Parmi les diverses mesures
techniques mises en œuvre, nous avons aussitôt bloqué le serveur concerné et
l’avons définitivement retiré de notre réseau. Nous prenons également toutes
les mesures complémentaires qui s’imposent afin d’éviter qu’un tel incident se
reproduise. Sachez que cet incident a également fait l’objet d’une
notification à la CNIL.
A ce stade, rien n’indique que vos données
personnelles ont été réutilisées à des fins frauduleuses. Toutefois, nous vous
demandons de rester vigilant dès maintenant et dans les mois qui viennent aux
communications que vous pourriez recevoir de la part de Hyundai Motor France
ou d’une autre entité du groupe Hyundai Motor et qui vous paraitraient
suspectes.
Si un email, courrier et/ou SMS vous semble suspect, n’y
répondez pas, ne cliquez pas sur les liens qu’il contient et prévenez-nous en
nous écrivant à l’adresse suivante:
hyundaivousrepond@hyundai.fr
Nous
vous indiquerons en retour si cette communication émane effectivement de
Hyundai ou non.
Chez Hyundai Motor France, la protection des données
personnelles de nos clients est une priorité absolue. Bien que cet incident
soit indépendant de notre volonté, nous vous prions de bien vouloir accepter
toutes nos excuses.
L’équipe Hyundai reste à votre entière disposition
pour toute information
complémentaire (hyundaivousrepond@hyundai.fr)
Je
vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations
distinguées
Lionel FRENCH KEOGH
Président
Conformément à la
réglementation sur la protection des données personnelles, vous disposez d’un
droit d’accès, de modification et de retrait de vos données. Pour toute
demande, vous pouvez nous contacter via l’adresse
hyundaivousrepond@hyundai.fr. Pour plus d’informations sur vos droits et
l’utilisation de vos données personnelles, vous pouvez consulter notre
politique relative à la […]

Violazioni come questa solitamente vengono sfruttate dai criminali informatici per compiere attacchi mirati. Per esempio, uno scenario banale ma frequente è la richiesta di denaro per qualche fantomatica pratica burocratica, fatta via SMS, mail o telefono e resa credibile dal fatto che il truffatore scrive o chiama citando correttamente e con precisione gli estremi e i dettagli del cliente-vittima. Se aveste comprato un’auto di una certa marca e vi arrivasse una mail di qualcuno che dice di rappresentare proprio quella marca e sa che modello avete appena acquistato, sareste abbastanza scettici da sospettare che si tratti di un impostore?

Un altro modo per sfruttare questi dati è l’estorsione ai danni dell’azienda. È capitato a Ferrari a fine marzo 2023: ignoti aggressori informatici hanno acquisito nomi, indirizzi fisici, indirizzi di mail e numeri telefonici di clienti di questa marca, che sono ovviamente molto interessanti sotto molti punti di vista, e poi hanno chiesto a Ferrari del denaro per non pubblicare questi dati. Secondo il comunicato ufficiale della casa costruttrice di Maranello, la somma imprecisata richiesta dai criminali non è stata pagata [e i clienti interessati sono stati allertati; non si sa se i loro dati siano stati poi diffusi come minacciato dagli aggressori].

 

Fonte aggiuntiva: BleepingComputer.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
I distributori di sigarette italiani attaccati con messaggi pro-Cospito sono trovabili su Shodan. E ora anche su Google

I distributori di sigarette italiani attaccati con messaggi pro-Cospito sono trovabili su Shodan. E ora anche su Google

Durante il fine settimana appena concluso numerosi distributori di sigarette
in Italia sono stati violati da intrusi informatici che hanno alterato i
prezzi di vendita delle sigarette, portandoli a 10 centesimi, e hanno
sostituito le immagini visualizzate sugli schermi di questi distributori con
immagini in favore di Alfredo Cospito, un detenuto in sciopero della fame da
oltre cinque mesi per protesta contro il regime di carcere duro al quale è
sottoposto.

Trovate tutti i dettagli della vicenda su
Il Post. Il presidente nazionale di AssoTabaccai ha dichiarato al
Corriere che gli risulta che una delle aziende interessate, la
Laservideo,
“utilizzi un sistema per cui è il server centrale a inviare informazioni ai
distributori. Quindi hackerando il server centrale, è stato possibile
entrare contemporaneamente in tutti i distributori”.

Non entro nel merito politico della notizia: segnalo soltanto che i
distributori di sigarette della Laservideo sono facilissimi da trovare online
tramite un comune motore di ricerca per l’Internet delle Cose come Shodan, nel
quale è sufficiente immettere la richiesta

http.html:’laservideo’ country:IT

per ottenere un elenco degli indirizzi IP e delle porte aperte di questi
distributori. Non perdo neanche tempo a mascherare i dati, visto che reperirli è assolutamente banale:

Risulta insomma che questi distributori non sono protetti dietro una VPN, ma sono accessibili direttamente su Internet e con un normale browser tramite la
porta 90:

Questo è il contenuto pubblicamente accessibile della pagina di login di uno di questi distributori:

Ovviamente non ho modo di sapere se le password di questi distributori sono robuste e diversificate, come richiederebbe la sicurezza informatica più elementare, ma sulla base di questi fatti sospetto che la tesi dell’hackeraggio del “server centrale” non sia quella più plausibile.

2023/03/28 9:20. Dai commenti emerge che i distributori sono reperibili anche semplicemente in Google, una volta che si sa qual è la stringa di testo che li caratterizza: è sufficiente cercare “Inserire Nome Utente e Password forniti da Laservideo”.

Inoltre Laservideo ha dichiarato pubblicamente che “Contrariamente a quanto riportato da molti organi di stampa, l’attacco hacker di sabato 25 marzo non ha riguardato i server centrali Laservideo ma ha colpito puntualmente solo una parte minoritaria dei distributori, agendo direttamente attraverso la connessione delle singole tabaccherie.”

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Titoli da panico per il "massiccio attacco hacker" in Italia: i dati concreti

Titoli da panico per il “massiccio attacco hacker” in Italia: i dati concreti

Ultimo aggiornamento: 2023/02/09 22:20.

Scrive
Rainews:
“Agenzia per la cybersicurezza: “E’ in corso un massiccio attacco
hacker”
I tecnici dell’Agenzia hanno già censito “decine di sistemi
nazionali verosimilmente compromessi e allertato numerosi soggetti i cui
sistemi sono esposti ma non ancora compromessi”””.

Come al solito, siccome in tante redazioni linkare le fonti è considerato un
abominio, non viene riportata l’indicazione più importante, ossia
l’informazione tecnica del CSIRT. È
qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza:
la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor
due anni fa.

No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità
CVE-2021–21974
– già sanata dal vendor nel febbraio 2021”.

Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi
direttamente a Internet, prendi una canna da pesca e smetti di fare danni,
perlamordiddio.

E per favore piantiamola con i titoli sensazionalisti: il titolo corretto,
qui, non è “È in corso un massiccio attacco hacker” ma
“Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano
quello che si meritano”.

Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste
occasioni: FAFO. Fuck around, find out. Ossia, grosso modo,
“Fai una cretinata, scoprine le conseguenze”.

Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo
articolo
in proposito; Censys ha un
elenco dei server colpiti; e qui ci sono istruzioni per proteggere i
server e per tentare il recupero dei file cifrati dal ransomware.

Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli
che sono già stati infettati) sono almeno una
ventina; in Svizzera sono più o meno altrettanti.

Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).

La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e
culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come
ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia
aveva allertato tutti i soggetti sensibili affinché adottassero le
necessarie misure di protezione. Taluni dei destinatari dell’avviso
hanno tenuto in debita considerazione l’avvertimento, altri no e
purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a
febbraio 2021 un virus particolarmente aggressivo avesse iniziato a
circolare, le autorità sanitarie avessero sollecitato le persone fragili
a una opportuna prevenzione, e a distanza di tempo siano emersi i danni
alla salute per chi a quella prevenzione non abbia ottemperato”.”

Non avrei saputo dirlo meglio.

2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lampadine IKEA infestate in tempo per Halloween

Lampadine IKEA infestate in tempo per Halloween

Questo articolo è disponibile anche in versione podcast audio.

Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le
lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e
CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o
provenissero da una delle case della serie Stranger Things.

Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha
scoperto
infatti che le lampadine Tradfri e il loro gateway
o dispositivo di controllo possono essere indotte a fare un reset
semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci
tenete a saperlo, si chiama
frame Zigbee
malformato).

Una volta resettate, le lampadine restano tutte accese al massimo della
luminosità e l’utente non riesce più a comandarle, né con l’app né con il
telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere
manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non
esiste un aggiornamento correttivo completo, l’aggressore può ripetere
l’attacco tutte le volte che vuole, usando semplicemente un laptop e un
radiotrasmettitore che costa una trentina di euro o franchi e può agire anche
da un centinaio di metri di distanza.

IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento
parziale, che conviene sicuramente installare, ma la vulnerabilità in questo
caso deriva dalla natura stessa del sistema di trasmissione e di comando
utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.

Un attacco di questo genere non comporta fughe di dati, ma può essere comunque
un fastidio notevolissimo. Se avete queste lampadine smart e vedete che
sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o
avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di
comunicare con voi dal Sottosopra.

Fonte aggiuntiva:
The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Violato l’account Twitter del Ministero della transizione ecologica italiano per promuovere una truffa di criptovaluta

Violato l’account Twitter del Ministero della transizione ecologica italiano per promuovere una truffa di criptovaluta

Pubblicazione iniziale: 2022/09/15 9:41. Ultimo aggiornamento: 2022/09/15
11:45.

9:41. Il profilo ufficiale del Ministero della transizione ecologica
italiano (https://twitter.com/MiTE_IT/) al momento in cui scrivo ha questo aspetto:

Promuove una truffa basata sulle criptovalute: lo schema è quello classico del
“fidati di me che sono famoso, dammi la tua criptovaluta e te la
restituisco moltiplicata”.
Infatti l’account Twitter rubato ora si fa chiamare Vitalik.eth, come
quello autentico di Vitalik Buterin, fondatore della criptovaluta Ethereum, e mostra la sua foto; inoltre il
sito reclamizzato nei tweet, ethmerges[.]blogspot.com, dice proprio
“To participate you just need to send from 0.5+ ETH to 500+ ETH to the
contribution address and we will immediately send you back from 1+ ETH to
1000+ ETH (x2) to the address you sent it from.”

Inutile dire che la criptovaluta data a questi truffatori non verrà mai
restituita.

Fate attenzione a truffe come questa, nelle quali il truffatore prende il
controllo di un account molto conosciuto e addirittura autenticato con il
bollino blu, per poi offrire i propri “servizi” ai numerosi follower
dell’account. E fate attenzione anche agli sciacalli, che dicono di essere in
grado di aiutarvi a recuperare il maltolto o consigliano qualcuno che lo è:
vorranno essere pagati per il tentativo di recupero, che ovviamente fallirà e
resterete doppiamente fregati. Uno di questi sciacalli è già
comparso
nei commenti alla mia segnalazione su Twitter.

L’account del Ministero è così almeno dalle 8.37 italiane di stamattina, ora
del primo tweet del truffatore.

11.05. Sembra che il controllo dell’account del Ministero sia stato
ripreso: alcuni tweet promozionali del truffatore sono stati rimossi e il
profilo sta riprendendo il suo aspetto normale.

11.45. Intanto Repubblica (copia permanente), Rainews (copia permanente) e Fatto Quotidiano (copia permanente) scrivono fandonie sulla vicenda spacciandole per notizie, addirittura
accusando pubblicamente Buterin di un reato informatico che non ha commesso (e fra l’altro Buterin è russo di origini ma naturalizzato canadese).
Il tweet di Angelo Bonelli è
archiviato qui

Il tweet di Repubblica.
Il titolo del Fatto Quotidiano.
Repubblica cita il tweet di Bonelli.
Rainews dice che Vitalik Buterin è “un pirata informatico”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Un ladro cerca di rubarmi l’account Instagram. Risate e tecniche di autodifesa

Un ladro cerca di rubarmi l’account Instagram. Risate e tecniche di autodifesa

Questo articolo è disponibile anche in
versione podcast audio.

Non tutti i criminali informatici sono dei geni del male. Pochi giorni fa un
aspirante truffatore ha tentato di prendersela con me e rubare il mio account
Instagram. Non è andata come sperava, e la sua disavventura mi offre
l’occasione di ripassare un paio di trucchi di sicurezza e di trappole di
Instagram che è meglio conoscere per difendersi. Ma c’è anche parecchio da
ridere.

Tutto comincia con una trappola classica. Un mio conoscente su Instagram mi
manda un messaggio privato usando un italiano improbabile: “voglio disturbarti affatto, ma ho bisogno del aiuto per qualcosa, per
favore”, condito con vari emoji di supplica. Gli chiedo come lo posso aiutare.

Lui risponde così:
“Sto cercando di iscrivermi con il mio Instagram il mio nuovo telefono e
Instagram non mi permette che mi hanno mostrato 2 amici che posso contattare
per aiutarmi a ricevere un link. Per favore, se ricevi il link mandamelo
così posso effettuare il login”.

Nei suoi messaggi successivi mi spiega insistentemente che dovrei ricevere
tramite SMS un link, che dovrei poi mandargli subito. In effetti mi arriva sul
telefonino un SMS che indica come mittente Facebook, dice
“Tocca per accedere al tuo account Instagram” e prosegue con un link
del tipo https://ig.me/ seguito da tante lettere e tanti numeri.
Attenzione: è questa la trappola da evitare. Questo link non va dato
assolutamente a nessuno, perché è un link temporaneo che
permette a chi ce l’ha di prendere il controllo dell’account senza dover
immettere password.

In pratica, un ladro di account ha preso il controllo dell’account Instagram
del mio conoscente e mi sta contattando, fingendo di essere lui. Vuole rubare
anche il mio account, e quindi è andato su Instagram, ha immesso il mio nome
utente nella
schermata di login e
ha cliccato su “Hai dimenticato la password?”, e così Instagram lo ha
portato alla
schermata di reset della password.

Questa schermata è pensata per consentire a un utente di rientrare nel proprio
account anche se non si ricorda la password: cliccando sul pulsante
Invia il link di accesso, l’utente riceve sul proprio smartphone un SMS
che contiene un link temporaneo di accesso diretto. Ma se l’utente manda quel
link a qualcun altro, sarà quel qualcun altro a prendere il controllo del suo
account Instagram.

Purtroppo Instagram commette il grave errore di non includere in questo SMS un
avvertimento che dica chiaramente che il link non va mandato a nessuno. Le
vittime di questa truffa ricevono l’SMS e la richiesta di quello che credono
sia un loro amico che ha bisogno di aiuto e quindi mandano questo SMS
all’impostore. E così si fanno rubare l’account Instagram.

Quindi mi raccomando: se ricevete un SMS contenente un link che invita a
toccarlo per accedere al vostro account Instagram,
non condividetelo con nessuno.

È chiaro, insomma, che sto interagendo con un ladro, e in particolare con un
ladro particolarmente sprovveduto, perché nella mia bio su Instagram c’è
chiaramente indicato che mi occupo di sicurezza informatica e quindi non sono
un bersaglio facile.

A questo punto posso permettermi di giocare un po’ con l’aspirante ladro.
Faccio finta di cadere nella trappola e gli mando un link leggermente
alterato: al posto delle lettere e dei numeri che mi sono arrivati nell’SMS
gli scrivo 1IcIVhfLkRicKR0LL. Qualunque ladro anche solo vagamente
attento dovrebbe notare che le ultime lettere di questo link compongono la
parola rickroll, che è il nome di una burla classica di Internet
descritta in una
puntata precedente di questo podcast. Non solo il ladro non se ne accorge, ma mi ringrazia anche con un
cuoricino.

Passano alcuni minuti, durante i quali il truffatore evidentemente digita
pazientemente il link falso e si rende conto che non funziona. Così mi chiede
di mandargli uno screenshot, probabilmente perché pensa che io sia un
imbranato.

A questo punto decido di dargli corda e fargli perdere tempo credendo di
essere a un passo dal mettere a segno il furto di account. Parte un lungo
dialogo: fingo di non essere esperto, e mi invento le scuse più bislacche.
Cose del tipo
“Non riesco, il telefono mi dice che ho il cirbione vagolato e manca la
notifica di hotlinking. Cosa vuol dire? Non capisco”. E lui, pazientemente, risponde.
“Non hai nulla di cui preoccuparti. Mandami il link dopo di che andrà tutto
bene”.

Sì, ma cos’è questo cirbione vagolato?” Sono due parole prese dal
lessico fantastico del fumettista Jacovitti. Il truffatore non si rende conto
che lo sto prendendo in giro.

Non è niente. Mandami il link”, risponde. Gli chiedo scusa, dicendogli
“Mamma mia scusami ma sono molto lento perché ho la malattia della
tafazzite da quando avevo 13 anni ho solo due dita che funzionano”. Lui, imperterrito, insiste. Gli chiedo altre cose assurde:
“Tu stai bene? Hai qualche malattia? Ti piacciono i film dei gladiatori? A
me piace parlare con le persone ma non posso perché ho la tafazzite
contagiosa”.

Niente. Neanche la citazione di malattie inesistenti come la
tafazzite contagiosa o di battute celebri del film
L’aereo più pazzo del mondo gli fa accendere la lampadina. Mi manda uno
screenshot del mio profilo, dicendomi
“Mandami uno screenshot di questa parte del tuo account Instagram ora”.
È una mia impressione o il suo tono comincia a essere esasperato?

Il tempo passa e lo scambio di messaggi prosegue. Gli dico che mi sono
spaventato perché temo che lui sia un hacker e questo mi ha causato problemi
di incontinenza, e lui mi risponde
“Oh, mi dispiace tanto. Ti aiuterò con 1.000€”, dimostrando così che è
una persona in carne e ossa e non un bot o sistema automatico. Poi gli
dico che faccio intervenire la mia inesistente figlia Giuditta e gli mando,
finalmente, il link che continua insistemente a chiedermi. Ma il link che gli
mando è un canary token, ossia un link speciale, che si può creare
gratuitamente per esempio presso
Canarytokens.org e che quando
viene cliccato manda a chi l’ha creato delle informazioni su chi ha cliccato.

In altre parole, se il truffatore clicca sul link, riceverò le sue coordinate:
il suo indirizzo IP, il tipo di telefono che sta usando, e altre informazioni
interessanti. Ma il link è chiaramente riconoscibile, perché contiene il nome
del sito Canarytokens, per cui non mi aspetto che ci caschi. Per
confonderlo e come ulteriore presa in giro, gli dico che Giuditta, la mia
figlia immaginaria che mi sta aiutando, gli ha mandato per errore il link alle
sue foto intime e gli chiedo di non guardarle.

Ovviamente il truffatore non resiste alla tentazione e clicca sul link. Mi
arrivano le informazioni su di lui. Risulta che usa un iPhone e che il suo
indirizzo IP è svizzero, ma è quello di un servizio di VPN, per cui
probabilmente l’aspirante ladro di account sta altrove [probabilmente in Nigeria, a giudicare dal parametro en_NG, che è il locale di quel paese; la dicitura “Instagram phisher” l’ho generata io come promemoria della funzione di questo token].

A questo punto l’ho già tenuto in ballo per oltre un’ora, e ho ottenuto tutto
quello che mi serviva, per cui lancio la burla finale: “BUONGIORNO” gli
scrivo
“QUESTO È IL SERVIZIO SVIZZERO DI SICUREZZA DIGITALE. QUESTO ACCOUNT VIENE
MONITORATO. SIGNOR MONI
[è questo il nome dell’account rubato]
LEI È PREGATO DI IDENTIFICARSI CON UNA IMMAGINE DI UN DOCUMENTO DI IDENTITÀ
E DI PRESENTARSI ALLA CENTRALE DI SICUREZZA DI EGERKINGEN ENTRO 24 ORE PER
UN INTERROGATORIO. FIRMATO AGENTE HUBER.”

Improvvisamente cala il silenzio. Il truffatore non si fa più vivo; non
risponde ai miei messaggi successivi. Gli lascio un messaggio di congedo, nel
quale gli spiego chi sono e che ho
raccontato
il suo tentativo di furto in diretta su Twitter per far divertire chi mi
legge. Gli dico anche che so benissimo che lui è un criminale che sa bene che
sta commettendo un reato e aggiungo che spero che la conversazione gli sia stata di
lezione: le vittime, insomma, a volte sanno reagire.

Per me la vicenda sarebbe finita, ma a sorpresa, alcune ore più tardi, mi
chiede ancora di mandargli il link. Probabilmente sta gestendo
contemporaneamente vari tentativi di truffa e ha perso il filo del discorso.

Decisamente non tutti i criminali sono geni del male. Siate più svegli di
loro.

Se vi interessa l’intera conversazione che qui vi ho riassunto, gli screenshot
sono qui sotto. Buon divertimento e prudenza. 

 

Fonti aggiuntive: Punto Informatico, Mobileworld.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dispositivi di tracciamento colabrodo mettono a rischio le flotte di trasporto su strada

Dispositivi di tracciamento colabrodo mettono a rischio le flotte di trasporto su strada

Questo articolo è disponibile anche in
versione podcast audio.

La gestione elettronica dei veicoli è una gran bella cosa, con tanti vantaggi,
ma va fatta bene: se è fatta male, può avere conseguenze catastrofiche e
inattese. 

Un esempio in questo senso arriva nientemeno che dalla
Cybersecurity and Infrastructure Security Agency del governo
statunitense, che si occupa di sicurezza informatica delle infrastrutture ai
più alti livelli.

Il CISA ha pubblicato un
avviso
a proposito della pericolosità di un dispositivo di tracciamento GPS dotato di
ricetrasmettitore cellulare, molto usato dalle flotte di veicoli commerciali. Si chiama MV720 e lo fabbrica la MiCODUS. Questo dispositivo ha una serie di difetti informatici che possono
permettere a un aggressore addirittura di prendere il controllo del veicolo,
per esempio disattivandone l’antifurto e anche interrompendo l’erogazione di
carburante oltre a tracciarne la posizione e i percorsi.

Fra questi difetti spicca un classico: una cosiddetta hardcoded password, ossia
una password di amministrazione fissa e non modificabile, una sorta di
passepartout, che permetterebbe a un aggressore di accedere al server di
controllo e mandare comandi ai dispositivi di tracciamento tramite SMS.

Come se non bastasse, un altro difetto consente a un malintenzionato di
mandare comandi, tramite SMS, senza aver bisogno di autenticarsi. E poi c’è un’altra
falla, che permette di accedere ai dati degli altri utenti perché il server non
verifica l’identificativo del dispositivo che viene inviato dall’utente. Il
problema, quindi, rischia di riguardare tutti i dispositivi di tracciamento di
questa marca.

Un vero disastro di incompetenza, insomma, che apre la porta ad attacchi di
vario genere: a parte quelli strategici o politici e ideologici, ci sono quelli
del crimine informatico organizzato. Con falle di questo livello,
un’organizzazione criminale potrebbe per esempio ricattare un’azienda di
trasporti, minacciando di fermare tutta la sua flotta di veicoli se non viene
pagato un riscatto, oppure potrebbe acquisire i dati delle spedizioni e compiere furti
mirati.

La scoperta di queste vulnerabilità è stata fatta dai ricercatori della società di sicurezza
informatica statunitense Bitsight ed è stata
descritta in un
rapporto pubblico
molto dettagliato dopo aver tentato inutilmente di avvisare la casa
produttrice del dispositivo, la cinese MiCODUS, e dopo aver comunicato privatamente il
problema alle autorità governative statunitensi per la sicurezza informatica.

Circa un milione e mezzo di utenti privati e di aziende che usano questi
dispositivi in quasi 170 paesi, comprese forze militari, agenzie governative e
corrieri, a questo punto hanno una sola strada per eliminare il rischio:
assicurarsi che questi tracciatori non siano accessibili da Internet e usare
accessi remoti sicuri, protetti per esempio da VPN. O, meglio ancora, rimuovere
completamente questi dispositivi e sostituirli con alternative meno
vulnerabili. 

Il problema è ovviamente capire quali lo sono e quali no, ma grazie ai
ricercatori almeno adesso sappiamo che questo, perlomeno, è da evitare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.