Vai al contenuto
Interpol, duemila arresti per truffe informatiche, 50 milioni di dollari recuperati

Interpol, duemila arresti per truffe informatiche, 50 milioni di dollari recuperati

Buone notizie sul fronte della lotta al crimine informatico: l’Interpol ha
annunciato
di aver identificato circa 3000 sospettati, arrestato circa 2000 operatori,
truffatori e riciclatori di denaro, congelato circa 4000 conti correnti e
intercettato circa 50 milioni di dollari di fondi illeciti. Questi, perlomeno,
sono i dati preliminari dell’operazione First Light 2022, che è iniziata
a marzo scorso e si è conclusa ai primi di maggio, coinvolgendo 76 paesi.

Le forze di polizia che hanno partecipato all’operazione hanno perquisito i
call center dai quali si sospetta che partissero truffe telematiche di
tutti i generi, dal romance scam (il finto corteggiamento che si
conclude con una richiesta di denaro per un’emergenza inesistente) alle frodi
bancarie online. Paradossalmente, l’Interpol segnala che sono in aumento i
criminali che si fingono funzionari dell’Interpol e si fanno dare denaro dalle
vittime che credono di essere sotto indagine.

L’annuncio dell’Interpol è interessante non solo per la vastità dell’azione di
polizia, ma anche per la varietà delle tecniche di raggiro descritte. 

Per esempio, a Singapore, la polizia ha salvato una persona molto giovane che
era stata convinta con l’inganno a fingere di essere stata rapita, mandando ai
genitori video in cui mostrava finte ferite e veniva fatta una richiesta di
riscatto di un milione e mezzo di euro.

In Papua Nuova Guinea, un cittadino cinese è stato arrestato perché sospettato
di aver frodato circa 24.000 vittime, per un totale di circa 34 milioni di
euro, usando uno
schema Ponzi
di vendita piramidale. 

Altri otto sospettati sono stati arrestati, sempre a Singapore, con l‘accusa
di aver creato uno schema Ponzi legato alle offerte di lavoro, nel quale le
vittime dovevano reclutare altri membri per guadagnare delle commissioni.

L’Interpol sottolinea inoltre il fenomeno in crescita dei money mule,
ossia degli utenti che ricevono denaro sui propri conti, credendo di fare un
lavoro onesto di intermediazione finanziaria, e scoprono solo in seguito che i
soldi ricevuti provengono da reati e che quindi loro sono dei riciclatori
inconsapevoli. L’Interpol cita anche il problema delle
“piattaforme dei social media che stanno alimentando il traffico di esseri
umani, intrappolando le persone in forme di schiavitù lavorativa o sessuale
o in prigionia nei casinò o sui pescherecci.”

Naturalmente questi arresti da soli non bastano a fermare le attività
criminali di questo genere, anche se sono un aiuto notevole oltre che una
consolazione per le vittime. Serve anche una diffusa conoscenza di queste
truffe e delle loro tecniche, in modo da saperle riconoscere. Magari voi avete
già questa conoscenza, ma qualcuno nella vostra famiglia è più vulnerabile e
meno informato. Parlatene e mettete in guardia:

  • mai fidarsi dei contatti esclusivamente telefonici o via mail o
    messaggi; 
  • mai dare informazioni personali, anche se sembrano poco pericolose, se non
    si è sicurissimi dell’identità dei propri interlocutori;
  • mai inviare denaro a nessuno, non importa quanto sia commovente la sua
    storia o quanto sia promettente la sua offerta di moltiplicare questo
    denaro;
  • mai accettare proposte troppo belle per essere vere;
  • nel dubbio, fermatevi, non fatevi mettere fretta da nessuno e chiedete aiuto
    a una persona fidata
  • e per finire, se un amico o un familiare vi dice che forse qualcuno sta
    cercando di truffarvi, ascoltatelo: come
    dice
    Paul Ducklin della società di sicurezza informatica Sophos, non lasciate che
    i truffatori vi separino dalle persone che amate, oltre che dai vostri
    soldi.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre
della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra
disposizione presso
www.rsi.ch/ildisinformatico (link diretto)
ed è ascoltabile anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

—-

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e
delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze
misteriose; due resteranno. Provate a indovinare quali. È importante, perché
storie come questa succedono realmente e possono capitare a tutti. 

—-

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica
statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma
di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo
vero nome), è un single che, come tante altre persone, usa app di incontri
come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il
profilo di un donna che si descriveva in una maniera che ha colpito la sua
attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente
due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin,
ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto
che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo
svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del
mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune
di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una
caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento
aveva un aspetto leggermente differente da quello che aveva visto nelle sue
foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto
reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi
genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000
dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa
di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che
Sara era tutto sommato poco interessata a bere: mostrava molto più interesse
per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi
si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla
toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di
mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma
aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che
la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è
svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il
portafogli, le carte di credito e i documenti personali dell’uomo erano ancora
al loro posto. In casa non erano spariti soldi, computer o altri oggetti di
valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i
propri account: ha visto che qualcuno aveva tentato di fare acquisti di
criptovalute usando il suo conto corrente bancario e di effettuare prelievi di
bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore
stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai
quali non interessavano i soldi che aveva in casa o le carte di credito.
Interessavano soltanto le password che proteggevano i suoi conti in
criptovalute. Quelle password erano custodite nel suo smartphone: quello che
mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di
Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel
ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli
aveva messo nel bicchiere approfittando della visita di Mark alla toilette.
Una sostanza di quelle che appunto notoriamente causano perdita di inibizione
e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai
danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era
un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le
vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro
smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene
passato a un altro componente della banda che si occupa di estrarne tutti i
dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è
molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso
alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro
telefonino sbloccato può accedere alla vostra casella di mail e intercettare
tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail
permette di ricevere i link inviati dai siti degli account dei social network
e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e
prenderne quindi il controllo cambiandone la password. Ma questo è soltanto
l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro
telefonino possa essere considerato così prezioso dai malviventi da spingerli
addirittura a organizzare una seduzione mirata, con tanto di incontro in carne
e ossa con un membro della banda, soltanto per rubare quel dispositivo e
farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che
avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di
autenticazione di banche e altri account che controllano denaro. Sul
telefonino c’è anche l’app di autenticazione, per esempio Google
Authenticator, che genera i codici usa e getta di questi account. E quindi
avere lo smartphone sbloccato di una vittima significa avere tutto quello che
serve per superare anche la cosiddetta autenticazione a due fattori usata
dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la
password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice
ti induce a rivelare quello che sai e si porta via quello che hai,
l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli
account di criptovalute che gestiva, ma non aveva considerato il fattore
umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano
disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di
incontri e immettendo in questi account parole chiave che attirano vittime
facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a
cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti,
infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne
vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle
bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono
riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in
uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva
protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o
chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e
gestite da persone differenti. Per fare un trasferimento di denaro servono
almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la
prassi standard per la gestione dei conti correnti nelle grandi aziende, e
rende difficilissima la tecnica della seduzione: i malviventi dovrebbero
riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una
variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per
indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora
l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle
criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato
buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono
estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

  • Se date appuntamento a una persona sconosciuta che avete contattato su un sito
    di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di
    telecamere le cui registrazioni possano essere consultate dalle autorità se
    qualcosa va storto.
  • Confrontate sempre la foto della persona nel profilo con l’aspetto della
    persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa
    persona, è il caso di allarmarsi.
  • Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da
    sconosciuti o persone incontrate da poco.
  • Limitate il vostro consumo di alcolici quando siete in un incontro di questo
    tipo.
  • Mettetevi sempre d’accordo con una persona fidata che sappia del vostro
    appuntamento e agisca se non vi sente entro un certo orario.
  • E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le
    criptovalute.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Le Poste Svizzere offrono fino a 10.000 franchi a chi scopre falle nei loro sistemi

Le Poste Svizzere offrono fino a 10.000 franchi a chi scopre falle nei loro sistemi

Un
bug bounty
è una ricompensa che viene offerta da un’azienda o da un ente a chi trova e
segnala in modo responsabile una falla o un difetto informatico in un prodotto
di quell’azienda o ente. Questi premi servono per incoraggiare gli informatici a
cercare queste falle, con il risultato di migliorare la sicurezza del software
per tutti gli utenti.

Ovviamente l’informatico che scopre una vulnerabilità è tenuto a non rivelarla
a nessuno a parte l’azienda o ente che offre il bug bounty, in modo che
sia possibile correggerla prima che diventi nota e venga sfruttata.

Le Poste Svizzere offrono da pochi giorni uno di questi bug bounty, con
ricompense da 50 fino a 10.000 franchi. Non è la prima volta che lo fa, ma in
questo caso l’iniziativa è aperta a tutti, mentre in passato era accessibile
soltanto su invito.

Va notato, in particolare, che le Poste Svizzere offrono un
safe harbor, ossia un’immunità da conseguenze legali per chi effettua
test e indagini sui sistemi informatici seguendo le regole di un
bug bounty. Senza questa tutela giuridica, infatti, una violazione di
un sistema informatico sarebbe considerata un reato.

Per maggiori informazioni si può consultare la
pagina apposita
del sito delle Poste Svizzere, che porta a
yeswehack.com/programs/swiss-post, dove è riportato il regolamento del bug bounty e c’è anche una
hall of fame.

Le Poste
spiegano
di aver già trovato 500 vulnerabilità e di aver pagato circa 250.000 franchi
in ricompense da quando è stato lanciato il programma, che ha dimostrato di
essere efficacissimo, come
racconta in dettaglio Sandro Nafzger, responsabile del programma.

A chi non conosce il settore può sembrare strano, e persino immorale, che
un’azienda paghi profumatamente degli hacker per penetrare nei suoi
sistemi e mostrarne le falle. Ma i bug bounty costano molto, molto meno
di un test tradizionale svolto da professionisti e funzionano. Come
conseguenza non trascurabile, tengono i talenti informatici al riparo dalle
tentazioni del crimine organizzato. 

Secondo i dati pubblicati di recente dalla società di sicurezza
Digital Shadows, infatti, le bande specializzate in reati informatici pagano cifre notevoli a
chi vende loro accessi a sistemi aziendali. Un semplice
initial access broker, ossia una persona che trova una falla in un
sistema ma non la sfrutta e invece la rivende ad altri, diventando l’equivalente
informatico di una persona che scassina una cassaforte e poi se ne va, lasciando
ad altri il compito di vuotarla e riciclare il bottino, può guadagnare in media
dai 7000 ai 9000 dollari. E questo genere di attacco è aumentato fortemente per
via del lavoro da remoto di molte persone durante questa pandemia.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché i ladri digitali preferiscono rubare account di gioco che carte di credito o conti bancari?

Perché i ladri digitali preferiscono rubare account di gioco che carte di credito o conti bancari?

Questo articolo è il testo, leggermente ampliato, del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questa puntata è ascoltabile qui su RadioInblu.

Immaginate un ladro che vi entra in casa, vede sul tavolo le vostre carte di credito, e le lascia stare perché non gli interessano: va invece dritto verso la console di gioco di vostro figlio. È grosso modo quello che sta succedendo adesso su Internet, secondo i dati di un recente rapporto pubblicato da Akamai.

Il rapporto segnala infatti che la criminalità informatica si sta spostando sempre più verso gli account di videogioco. Dei 55 miliardi di tentativi di abuso di credenziali, ossia di nomi utente e password, rilevati nel corso di un anno e mezzo, ben 12 miliardi hanno riguardato utenti di videogame. Solitamente ai criminali non interessano le coordinate di accesso ai conti bancari o alle carte di credito che di solito sono associate agli account di gioco: vogliono proprio questi account, specialmente quelli di Steam. E i giochi più colpiti sono Fortnite, Minecraft, Clash of Clans e CounterStrike: Global Offensive.

Ci sono varie ragioni per questo interesse così insolito e per questa tendenza crescente. La prima è che gli account di gioco sono meno protetti di quelli bancari e delle carte di credito: pochi giocatori hanno password robuste e uniche e usano sistemi antifurto come l’autenticazione a due fattori. Inoltre le banche e le società che emettono carte di credito hanno sistemi di monitoraggio antifrode molto efficienti, mentre le aziende che gestiscono i videogiochi non sono altrettanto vigili. Rubare un account a un videogiocatore, insomma, è molto più facile che rubare un conto a un correntista.

La seconda ragione è che i ladri di account di gioco rubano e rivendono oggetti virtuali, immateriali, come le armi o gli indumenti rari e speciali per il proprio personaggio. Oggetti di questo genere possono costare centinaia e anche migliaia di euro. Ma alle forze dell’ordine interessa ben poco il furto di un oggetto immateriale. Provate a immaginare di andare in polizia a denunciare che vi hanno rubato un paio di bellissimi guanti digitali, che esistono solo all’interno di un gioco. Capirete che la vostra denuncia probabilmente non andrà in cima alla lista dei casi urgenti da risolvere.

Di conseguenza, i ladri online hanno più convenienza a rubare oggetti virtuali da un account di gioco che carte di credito o conti bancari: per loro è più facile rubarli, è più semplice smerciarli ad altri giocatori, ed è minore il rischio di essere oggetto di indagini.

Un altro motivo di questo boom di furti nei giochi, spiega il rapporto di Akamai, è che gli strumenti informatici per compiere questo tipo di reato costano pochissimo: con venti dollari un criminale può comperare il software che gli permette di tentare di violare centinaia di account in modo praticamente automatico.

Conviene insomma imparare a proteggere anche gli account di gioco usando le difese già disponibili ma spesso trascurate: password lunghe e differenti da quelle usate altrove e, se possibile, autenticazione a due fattori. Perché i soldi usati per comprare questi oggetti virtuali sono molto reali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Fortnite, criminali riciclano denaro attraverso i V-Buck

Attenzione alle offerte troppo allettanti di V-Buck, le monete virtuali che si usano nel popolarissimo videogioco Fortnite: possono nascondere trappole e persino vere e proprie operazioni criminali di riciclaggio di denaro sporco.

Lo segnala un’indagine svolta dal quotidiano britannico The Independent insieme alla società di sicurezza informatica Sixgill. I criminali usano carte di credito rubate per acquistare V-Buck e poi rivendono questi V-Buck a prezzo scontato ai giocatori. In questo modo ottengono denaro pulito.

Non è il primo caso di crimine che coinvolge Fortnite e i suoi oltre 130 milioni di giocatori: ci sono app false che fingono di essere versioni speciali del gioco e invece scaricano altre app sui dispositivi dei giocatori che le installano; i truffatori lo fanno perché sono pagati ogni volta che una di queste altre app viene installata.

Ci sono anche i ladri di account Fortnite, che mettono in vendita questi account rubati e incassano lauti guadagni. I giocatori, infatti, comprano con i loro V-Buck accessori di gioco virtuali, come modelli di personaggi, skin di decorazione per l’equipaggiamento o le armi e movimenti per i propri personaggi, e li accumulano nel proprio account.

Se l’account viene rubato, il ladro si porta via anche questi accessori e li vende ad altri giocatori, che sono disposti a pagarli bene pur di mettere le mani su certi accessori particolarmente rari. C’è un mercato fiorente di account rubati, come indicato dal caso di un giovane sloveno che ha dichiarato di aver incassato circa ventimila euro in poco più di sei mesi con questa attività illecita.

Rubare un account è purtroppo molto facile, perché tantissimi giocatori usano per Fortnite lo stesso indirizzo di mail e la stessa password che adoperano altrove, per cui al ladro basta frugare un po’ nei tanti archivi di account rubati di altri servizi, che si trovano nei bassifondi di Internet, e vedere se vi trova quell’indirizzo di mail e una password abbinata. Quasi sicuramente quella password sarà quella usata anche su Fortnite.

Per fortuna anche difendersi da questi ladri è abbastanza facile: il primo passo è non cercare guai andando in giro su Internet a caccia di offerte di V-Buck scontati presso siti di dubbia reputazione, e non abboccare alle pubblicità ingannevoli che compaiono su Instagram e negli altri social network, come fanno invece tantissimi giocatori, soprattutto quelli più giovani. Conviene invece restare sui siti ufficiali di vendita di V-Buck, come per esempio quello del produttore di Fortnite, che è Epicgames.com. Certo, si paga, ma è meglio pagare che trovarsi derubati.

Il secondo passo è proteggere il proprio account Fortnite con una password robusta e differente da tutte le altre che si usano altrove, e poi attivare il doppio codice di sicurezza denominato autenticazione a due fattori, che si trova nelle impostazioni dell’account.

L’ultimo passo spetta ai genitori, ed è associare all’account una carta di credito prepagata invece di quella tradizionale, per consentire acquisti legittimi e al tempo stesso limitarli. Buon divertimento!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
MELANI: usare la stessa password ripetutamente aiuta i criminali

MELANI: usare la stessa password ripetutamente aiuta i criminali

Più chiaro di così non si può: la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) della Svizzera dice esplicitamente che “Chi utilizza la stessa password più volte agevola i cyber criminali”. Lo fa annunciando la pubblicazione del suo ventisettesimo rapporto semestrale, che racconta i maggiori incidenti informatici avvenuti in Svizzera e all’estero nel primo semestre del 2018.

MELANI sottolinea che molti utenti “hanno la cattiva abitudine di utilizzare la stessa password per accedere a diversi servizi online come webmail, e-banking e negozi online. Ciò semplifica di molto il lavoro dei criminali e consente loro di tentare sistematicamente di accedere ai servizi internet di diversi fornitori con i dati ottenuti da varie fughe di dati. In un caso gli hacker hanno utilizzato quasi un milione di queste credenziali provenienti da differenti fonti per tentare di accedere a un portale online.”

Il rapporto spiega che i siti di e-commerce e altri servizi Internet vengono regolarmente violati per rubare i dati dei clienti [poche ore dopo che ho scritto questo articolo è arrivata la notizia del furto dei dati di circa 500 milioni di clienti della catena alberghiera Marriott]. Se il furto include le password, i criminali tentano di usare la stessa coppia nome utente/password anche su altri siti, e siccome gli utenti tendono a usare la stessa password ovunque, di solito i malviventi hanno successo.

Se volete sapere se il vostro indirizzo di mail è stato oggetto di furto di credenziali, potete digitarlo nell’apposito strumento di controllo offerto da MELANI presso www.checktool.ch, che vi avviserà se il vostro indirizzo è presente nei vari database di dati rubati di cui la Centrale è a conoscenza.

La raccomandazione di questi esperti è di usare password sufficientemente lunghe, in modo che siano difficili da indovinare, e di adoperare password differenti per ciascun sito di e-commerce e/o servizio, attivando se possibile l’autenticazione a due fattori.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenzione alle false promozioni di grandi marche su WhatsApp

Attenzione alle false promozioni di grandi marche su WhatsApp

Credit: BBC.

La BBC segnala un’ondata di messaggi truffaldini circolanti su WhatsApp: si tratta di inviti a cliccare su un link per ricevere quelli che dovrebbero essere buoni sconto di supermercati molto noti se si partecipa a un semplice sondaggio e si manda il messaggio a venti dei propri amici. Lo scopo di questa truffa è raccogliere dati personali, come nomi, indirizzi e coordinate di carte di credito.

Fra i nomi colpiti, secondo il sito ActionFraud della polizia britannica, ci sono Marks and Spencer, Tesco, Asda, Nike, Lidl, Aldi e anche Singapore Airlines. È probabile che la stessa truffa circoli anche in versioni nazionali in altri paesi europei.

I messaggi sono molto credibili perché i link che presentano sono quasi identici a quelli dei veri siti dei supermercati presi di mira: è facile non accorgersi che sotto o sopra una delle lettere che compongono il nome del sito c’è un puntino, o che la lettera è barrata in alto.

La tecnica è nota come internationalized domain name homograph attack: in sintesi, i truffatori creano un sito il cui nome usa lettere di alfabeti diversi da quello latino. Per esempio, al posto di Aldi.com (il sito autentico) creano il sito Alḍi.com oppure Alđi.com e vi mettono delle pagine che somigliano a quelle del vero supermercato. Le vittime immettono i propri dati personali in queste pagine, credendo di poter ricevere un premio, e invece vengono imbrogliate.

I servizi antifrode di Internet hanno già messo un blocco su molti di questi siti ingannevoli, ma è meglio restare vigili e guardare sempre con molta attenzione il nome del sito linkato in qualunque messaggio, diffidando come sempre delle offerte troppo belle per essere vere.

Soprattutto è importante non ubbidire mai agli inviti a inoltrare un messaggio pubblicitario ad altri utenti: se lo fate, rendete più credibile la truffa, perché i vostri amici la ricevono da una fonte di cui si fidano, cioè voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
E così vorreste andare nel Dark Web...

E così vorreste andare nel Dark Web…

Se siete fra i tanti che si sono chiesti cosa c’è nel Dark Web tanto pompato da alcuni giornalisti e magari avete anche pensato di procurarvi Tor Browser e visitare questa parte di Internet per comperare qualcosa di proibito, pensateci bene.

Non fate come il diciannovenne Gurtej Randhawa, che dal Regno Unito (abita a Wightwick, West Midlands) ha fatto un giro nel Dark Web e ha tentato di comperare una bomba artigianale, del tipo che si piazza in un’auto per compiere un attentato.

Il pacchetto ordinato gli è arrivato regolarmente a casa, ma sono arrivati anche gli agenti della National Crime Agency, che lo hanno arrestato quando Randhawa ha aperto il pacco e ha tentato di assemblarne il contenuto. La bomba era stata infatti intercettata e sostituita con un simulacro. L’uomo è stato processato e giudicato colpevole pochi giorni fa.

Non si sa come gli specialisti dell’NCA abbiano scoperto le intenzioni di Randhawa: è possibile che la bomba sia stata trovata dai rivelatori appositi nel sistema postale, o che l’uomo fosse sotto sorveglianza o che il “negozio” del Dark Web al quale si è rivolto fosse sorvegliato dagli agenti. Ma è anche possibile che siano stati usati metodi puramente informatici per togliere all’utente Tor l’anonimato (correlation attack).

Essere perfettamente anonimi online non è facile come molti pensano: non basta scaricare Tor. Prima o poi si commette qualche errore che rivela la propria identità. Naked Security cita il fatto che il Department of Homeland Security statunitense ha identificato numerosi utenti Tor che scambiavano immagini di abusi su minori perché andavano anche sul Web normale per scaricare le immagini più in fretta rispetto alla relativa lentezza offerta da Tor. E ci sono trappole come Playpen, il sito del Dark Web di cui l’FBI prese di nascosto il controllo per infettare decine di migliaia di computer dei suoi frequentatori per poi arrivare a centinaia di incriminazioni.

In altre parole: lasciate stare, che è meglio. Il Web normale ha già abbastanza contenuti di ogni genere, e andare nei bassifondi della Rete non è un’avventura da turisti: significa cercare guai. E trovarli.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Fa un video a pagamento su Internet e finisce accusata di terrorismo

Fa un video a pagamento su Internet e finisce accusata di terrorismo

Avete visto il film The Circle? C’è una scena nella quale il social network immaginario del film, una sorta di Facebook, viene usato per localizzare una criminale che la giustizia ordinaria non riusciva a trovare. Viene diffusa la sua foto e gli utenti, sparsi ovunque nel mondo, vanno a caccia finché trovano la donna e la fanno arrestare. Spettacolare e inquietante, ma meno esagerato di quello che si potrebbe pensare.

Alcuni mesi fa la polizia della provincia canadese dello Saskatchewan ha infatti usato lo stesso sistema per identificare e localizzare una donna che stava cercando: ha messo su Facebook una foto della donna e ha sfidato gli utenti a partecipare alla sua ricerca, presentandola come una sorta di gioco. Ha funzionato: la giovane è stata riconosciuta dal fratello, che vive in North Carolina e che ha avvisato la polizia canadese e la sorella. Ed è qui che la storia prende una piega bizzarra.

La donna, Samantha Field, ha contattato la polizia e ha scoperto di essere ricercata in relazione a una serie di atti terroristici: qualcuno aveva inviato dei pacchi contenenti bicarbonato, facilmente confondibile con l’antrace, e aveva diffuso allarmi bomba. E su Internet c’era un video nel quale lei se ne prendeva la responsabilità, dicendo “Abbiamo fatto quei pacchi insieme… la gente penserà che il bicarbonato è antrace”.

Come è possibile? Samantha Field aveva risposto a un’inserzione su Fiverr, un sito tramite il quale si possono effettuare lavori online a pagamento, pensando di recitare dei brani di un libro per un video promozionale: una cosa che la Field fa spesso e che in questo caso le aveva fruttato 35 dollari. Ma non c’era nessun video promozionale e nessun libro da promuovere: il video, rimontato appositamente, è stato usato per incastrare la Field inviandolo ai media. Per fortuna la polizia non ha creduto alla rivendicazione involontaria fatta online.

In altre parole, se accettate lavori online da sconosciuti, vi conviene sempre fermarvi un momento a pensare e chiedervi se per caso quello che fate o dite può essere manipolato e usato contro di voi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ricatto ad Apple: paga o cancelleremo i dati degli iPhone e di iCloud

Ricatto ad Apple: paga o cancelleremo i dati degli iPhone e di iCloud

Si fanno chiamare “Famiglia Criminale Turca” (“Turkish Crime Family”) e minacciano di cancellare i dati dagli iPhone e dagli account iCloud di almeno 300 milioni di utenti se Apple non pagherà un riscatto entro il 7 aprile. Considerata la portata della minaccia, potreste pensare a una richiesta di riscatto milionaria, ma la Famiglia ha pretese modeste: 75.000 dollari in Bitcoin o Ether oppure 100.000 dollari in carte regalo iTunes.

I ricattatori hanno contattato varie testate giornalistiche per cercare di rendersi visibili e credibili, e sono sicuramente riusciti a farsi notare, ma Motherboard racconta che finora le presunte prove presentate dalla Famiglia sono prive di conferme indipendenti.

Apple ha dichiarato che “non ci sono state violazioni dei sistemi Apple… La presunta lista di indirizzi di mail e di password sembra provenire da servizi di terzi violati in precedenza”.

Al momento non c’è motivo di farsi prendere dal panico, ma storie come questa sono sempre una buona occasione da cogliere per mettere alla prova le proprie impostazioni di sicurezza e chiedersi se sarebbero in grado di reggere a una minaccia di questo genere. Vale la pena, per esempio, di proteggere il proprio account con una password robusta (non ovvia e sufficientemente lunga) e unica (diversa da quelle usate per tutti gli altri servizi online) e con l’autenticazione a due fattori.

E naturalmente non dimenticate l’importanza di un buon backup dei vostri dati, salvato su un supporto scollegato da Internet.



Fonti aggiuntive: Hot For Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.