Vai al contenuto
Che male c’è a pubblicare una foto della carta d’imbarco o dei biglietti per un concerto?

Che male c’è a pubblicare una foto della carta d’imbarco o dei biglietti per un concerto?

Capita spesso di vedere gli amici che festeggiano pubblicamente la partenza per un viaggio o la partecipazione a un concerto mettendo sui social network le foto dei propri biglietti. Basta cercare su Instagram parole chiave come “boarding pass” o “concert ticket” per vederne decine di migliaia di esempi come quello qui accanto.

Ma un esperto di sicurezza della Repubblica Ceca, Michael Špaček, mette in guardia: i codici a barre presenti su questi documenti sono facilmente estraibili dalle foto e portano a informazioni sensibili.

Tanto per cominciare, annunciare che siete in partenza per un viaggio verso luoghi lontani indica che non sarete a casa per un bel po’. Ma i codici a barre delle carte d’imbarco, in particolare i codici Aztec, possono contenere il numero dell’account frequent flyer, le tappe future del viaggio e altri dati che hanno permesso al ricercatore di scoprire la data di nascita del titolare, il suo numero di passaporto, di modificare i dati annullando i voli successivi e modificando i dati di cittadinanza e di scadenza del passaporto. Anche il cosiddetto PNR (passenger name record) è una sorta di password temporanea, eppure viene stampato su ogni bagaglio. Fra l’altro, esistono siti appositi, più o meno affidabili, che facilitano l’estrazione e l’analisi di questi dati.

Il rimedio è semplice: non pubblicate immagini di questo genere fino alla fine del viaggio, o perlomeno copriteli.

Fonte: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenzione alle offerte di lavoro internazionali su LinkedIn

Attenzione alle offerte di lavoro internazionali su LinkedIn

Ho ricevuto da un lettore, che chiamerò Carlo (non è il suo vero nome), la segnalazione di un tentativo di raggiro online piuttosto insolito: una finta offerta di lavoro internazionale.

Carlo è un ingegnere. Di recente ha cercato su LinkedIn delle opportunità di lavoro corrispondenti alla sua qualifica di “BIM project coordinator” e ha trovato un annuncio che parlava della ricerca di una persona con questa qualifica per una nuova filiale in Canada. L’annuncio su LinkedIn conteneva un link che portava a Shine, un sito asiatico di annunci di lavoro, dove gli è stato chiesto di immettere i propri dati essenziali e di allegare un curriculum.

Qualche giorno dopo Carlo ha ricevuto una mail con un allegato in formato Word: un questionario la cui prima pagina è mostrata qui accanto. Il testo della mail è il seguente (ho rimosso solo i dati personali di Carlo):

From: “Macquarie Group Limited”
Date: ******
Subject: MACQUARIE GROUP LIMITED PRELIMINARY INTERVIEW QUESTIONS
To: ******
Cc:

Macquarie Group Limited
2400-550 Burrard St,
Vancouver, BC V6C 2B5
Canada

DEAR APPLICANT WE ARE GLAD TO INFORM YOU THAT YOUR RESUME POSTED ON INDIA JOB SITE SHINE HAS BEEN FOUND INTEREST

Macquarie Group is a global provider of construction, health care and financial services with offices in so many countries.
Our breadth of expertise covers construction, building bridges, transportation, health care, advisory and capital markets, trading and hedging funds management, asset finance, financing, research and retail financial services. The diversity of our operations, combined with a strong capital position and robust risk management framework, has contributed to our 46-year record of unbroken profitability. We have offices in 12 countries and 16 locations across the region.
Our EMEA operations represent a diversified business with leading expertise in infrastructure, transport, resources, commodities and energy with niche expertise in adjacent business areas.
The following vacancies are available for immediate appointment : Executive Assistant, Account Executive, Personnel Assistance and Secretary, supervisors,  Accountants, Medical and Health Workers, Project Manager, Business Development Manager ,  Project managers, Apprentice, Assistant Project Manager, Building Inspector , Carpenter , Civil Engineer, Concrete Laborers ,  Construction Assistant, Sales manager, marketing executive, Stock managers, , Construction Coordinator  , Construction Engineer, Construction Foreman , Construction Manager , Construction Superintendent, Construction Supervisor, Construction Worker, Contract Administrator , Contract Manager, Crane Operator , Dry Wall Finisher, Estimator ,  Electrician , Equipment Operator ,  Field Engineer, Framing Carpenter, General Laborer, Inspector, Iron Worker, Joiner, Laborer, Master Electrician,  Painter, Pipe Fitter , Planner , Plumber , Purchasing Coordinator , Project Assistant,  Project Manager , Roofer , Safety Director , Safety Manager ,Scheduler, Signal Worker,  Site Manager , Superintendent ,  Surveyor , Welder Mechanical,  Chemical, Electrical,  Human resource managers,  Project Engineer,  maintenance manager  , Ware House Manager.
After carefully reviewing your Resume/ CV we would like to consider you for a position that will best suit your qualification and experience, for an immediate appointment, which will be conditioned on your performance, for the continued growth of our company. We are currently recruiting candidates to join our Commodities and Financial Markets division. This is a varied role which involves supporting a team of 550 at various levels.

IMPORTANT:
You are however expected to find the attached file in this email and give your brief, concise and intelligent answers to our preliminary interview questions; this is an important criterion in our overall final selection. All answers are to be typewritten and re-attached and forwarded  back to us. Please adhere strictly to instructions
 Employment Status: Full time with the following essentials.
A) A private accommodation with a furnished sitting room and bedroom.
B) A Fixed land phone and an Internet ready computer.
C) Free Lunch Feeding
D) Free medical care
E) A day off every week and all fully paid six weeks’ vacation in a year.
WORKING HOURS:
You will be working from 8am to 5pm Mondays to Fridays. And weekends overtime (optional) from 9am to 3pm
SALARY RANGE: 8,500 CAD-10,650 CAD monthly, (DEPENDING ON THE DEPARTMENT YOU ARE WORKING) after tax
ALLOWANCE: 1,500 CAD- 2,500 CAD monthly, (DEPENDING ON THE DEPARTMENT YOU ARE WORKING) after tax

NOTE:

1). You will undertake a 2 week training course to help orientate you on the moralities and modalities of service at our facility. This is to enable us bring you up to speed with your work schedule and company bureaucracy.
2). The board and management of Macquarie Group Limited has set up  a strategic visa acquisition process that guarantees all our foreign applicant’s Visa/ Work permit approval for all expatriates 100% success.
3). All our selected foreign applicants will be prioritized and given a diplomatic preference for the speedy issuance of their Visa/ Work permit. This is so because the management board has provided all the necessary documents to authenticate the verification of your Visa/ Work permit application Status.
If all conditions as stated here above is satisfactory to the intending employee, please kindly respond to us with an email with the following documents
1)    Indicate the post applied for or interested in
2)    Soft copy of your international passport and your credentials copies.
3)    Soft copy of recent passport photograph
4)  Your attached answers to the preliminary interview questions
So that we can proceed further and make the contract agreement letter through our immigration lawyer, if you make it to our final selection. Hence, you will be officially contacted directly by the head of our HR department acknowledging your acceptance of our offer.
Regards
Mr Besam Chars
Phone: No +16479465591

La prima anomalia che salta all’occhio, e che ha insospettito subito Carlo, è l’indirizzo del mittente: perché mai un’azienda canadese dovrebbe usare Yandex per la propria mail di lavoro? Normalmente le aziende usano indirizzi di posta che includono il loro dominio aziendale. La Macquarie, per esempio, dovrebbe usare *@macquarie.com.

La seconda anomalia è che l’azienda Macquarie Group Limited esiste davvero, ma cercando in Google “Macquarie Group Limited” scam fra i risultati emerge una pagina web dell’azienda che mette in guardia contro prese di contatto via mail provenienti da persone che si spacciano per rappresentanti dell’azienda e chiedono password e altri dati personali, ma non parla di offerte di lavoro.

Ci sono anche altre anomalie, come errori d’inglese molto bizzarri (in Ware House Manager, ware house è un errore stranissimo per un inglese, e la punteggiatura con lo spazio prima della virgola è decisamente dilettantesca). Inoltre il numero di telefono +16479465591 non risulta nelle Yellow Pages canadesi.

Si tratta insomma chiaramente di un raggiro, ma a che scopo? Il problema di molte di queste truffe online è che le vittime hanno un forte incentivo emotivo a sperare che siano offerte genuine e non riescono a vedere quale intento truffaldino possano avere.

La prima ipotesi è che il documento Word sia infetto e che l’offerta di lavoro sia un’esca per indurre la vittima ad aprirlo e infettarsi, ma secondo Virustotal.com non sembra contenere infezioni.

L’ipotesi più probabile è che si tratti di un pretesto per farsi mandare dalle vittime delle scansioni dei documenti personali, da usare per altre truffe basate su documenti, come per esempio le truffe sentimentali, le finte prenotazioni alberghiere o i falsi acquirenti di oggetti messi su siti come eBay.

In alcuni paesi, inoltre, una scansione di un documento è sufficiente per creare un conto bancario a nome della vittima, dal quale commettere truffe.

Online, infine, un’immagine di un documento è spesso l’unica cosa che serve per aprire un account autenticato e quindi credibile da usare per inganni o per furti di identità: Twitter, per esempio, ha autenticato il mio account usando solo una foto di un mio documento.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
"Wire-wire", tecnica di truffa sofisticata e in aumento

“Wire-wire”, tecnica di truffa sofisticata e in aumento

La creatività e la perseveranza dei truffatori via Internet non conoscono limiti: ad aprile scorso l’FBI ha pubblicato un avviso per mettere in guardia le aziende contro una particolare tecnica di truffa che si sta rivelando particolarmente redditizia per i malviventi ed è in rapido aumento (+270% da gennaio 2015): si chiama “wire-wire” o “BEC” (business e-mail compromise).

Funziona in questo modo: i truffatori si procurano gli indirizzi di mail dei dipendenti delle aziende-bersaglio tramite fonti pubblicamente disponibili. Poi infettano uno o più computer dell’azienda in modo da avere accesso alla mail. Leggendo la posta, identificano con pazienza gli indirizzi di mail dei fornitori usati dall’azienda e poi creano un indirizzo di mail molto simile a quello di un fornitore (per esempio pagamenti@rossini-ascensori.com al posto di pagamenti@rossiniascensori.com).

Quando l’azienda attaccata invia un ordine via mail al fornitore, i truffatori leggono il messaggio e lo lasciano arrivare a destinazione, così il fornitore invia una fattura, che viene intercettata e bloccata. Al suo posto i truffatori mandano, dall’indirizzo di mail imitato, una versione leggermente modificata della fattura, nella quale cambia soltanto il conto corrente sul quale effettuare il pagamento (modificare un documento PDF è molto semplice).

La vittima cade facilmente nella trappola perché la fattura è un documento che si aspetta di ricevere e proviene (apparentemente) da un fornitore conosciuto, per cui effettua il bonifico di pagamento, il cui importo finisce nelle mani dei truffatori.

Se la vittima non si accorge che l’indirizzo del mittente è leggermente diverso e non nota che le coordinate bancarie sono differenti, i truffatori incassano con una sola mail decine di migliaia di franchi o euro o dollari (l’FBI parla di importi compresi fra 25.000 e 75.000 dollari per volta).

Sapere dell’esistenza di questo genere di truffa è il primo passo verso la sua prevenzione: molti responsabili dei pagamenti nelle aziende piccole e grandi non immaginano che dei criminali possano essere così persistenti e pazienti.

Non sempre le cose vanno bene per questi ladri digitali, comunque: di recente una banda di oltre 30 truffatori che operava dalla Nigeria in tutto il mondo è stata smascherata perché si è fatta a sua volta infettare da un malware che ha consentito ai ricercatori di un’azienda di sicurezza informatica, la SecureWorks, di sorvegliare il loro traffico e documentarne in dettaglio i reati, che stavano fruttando circa 3 milioni di dollari l’anno.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come rubare un profilo Facebook senza essere esperti informatici

Come rubare un profilo Facebook senza essere esperti informatici

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/07/05 14:25.

Di solito mi capita di raccontare attacchi informatici basati su vulnerabilità del software usato dagli utenti o su difetti nella sicurezza tecnica dei social network, ma stavolta ho da raccontare un altro approccio, che serve come chiaro promemoria di una cosa fondamentale: siccome noi utenti per i social network siamo soltanto mucche da mungere, a loro della nostra sicurezza non importa praticamente nulla.

Se i nostri post intimi, che abbiamo impostato come privati perché sono appunto privati, finiscono per diventare pubblici per errore, rovinando un’amicizia o un amore o una carriera, il problema è soltanto nostro, non loro. Quindi pensateci bene prima di affidare a un social network qualunque informazione personale, perché per rubarla non ci vuole nemmeno una gran competenza informatica. Basta chiedere educatamente.

Lo sa bene Aaron Thompson, un ventitreenne che vive nel Michigan. Il 26 giugno scorso si è accorto che non poteva più accedere al proprio account Facebook e che l’indirizzo di mail e i numeri di telefono associati all’account erano stati cambiati.

Ha guardato la propria mail e vi ha trovato uno scambio di messaggi fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account. L’intruso, per evitare la verifica in due passaggi (autenticazione a due fattori), aveva mandato una richiesta di aiuto all’assistenza clienti di Facebook, dicendo che aveva perso l’accesso al proprio numero di telefonino e chiedendo di disattivare l’approvazione degli accessi e il generatore di codici. La richiesta dell’intruso non proveniva dall’account di posta di Thompson (“the hacker didn’t have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from.”).

La risposta automatica dell’assistenza clienti era stata molto semplice: l’interlocutore doveva dimostrare di essere il vero Aaron Thompson mandando una scansione di un documento d’identità.

L’intruso aveva risposto mandando questa immagine (alcuni dati sono oscurati nell’immagine qui sotto, ma non lo erano nell’originale inviato a Facebook):

Nessuno dei dati sul passaporto era esatto, a parte il nome, eppure questo è bastato a Facebook per “verificare” l’identità e disattivare tutte le protezioni sull’account di Thompson, cedendone il controllo all’intruso. Facebook poteva confrontare le informazioni nell’account con quelle nel finto passaporto, ma non ha fatto neanche quello.

La motivazione del furto dell’account era probabilmente economica: Thompson ha una serie di pagine Facebook che hanno vari milioni di “Mi piace”, altamente monetizzabili per esempio per uno spammer. Ma l’intruso si è limitato a inviare alcune foto oscene e qualche insulto.

Per riavere il controllo del proprio account su Facebook, Thompson ha dovuto raccontare pubblicamente la propria disavventura su Reddit. La notizia che basta un documento falso per convincere Facebook a disabilitare la verifica in due passaggi, cambiare la mail associata all’account e cambiare la password si è diffusa rapidamente.

Facebook è intervenuta, come racconta Motherboard, e ha ripristinato la situazione, dicendo che “aver accettato questo documento d’identità è stato un errore che ha violato le nostre prassi interne”. Sì, però nel frattempo è successo. Ricordatevelo. E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Badoo, allerta per possibile violazione in massa degli account

Badoo, allerta per possibile violazione in massa degli account

Ci sono furti di password che bruciano più di altri: trovarsi con un account Instagram violato per molti non è un problema, perché basta farne uno nuovo e avvisare gli amici. Ma se l’account rubato è su Badoo, frequentatissimo sito d’incontri, la cosa scoccia parecchio, perché spesso questi account vengono usati per conversazioni molto intime (e non solo conversazioni) e per infedeltà reali o virtuali. Scoprire che il proprio account su Badoo è stato violato e che qualcun altro ne ha la password potrebbe causare imbarazzi più che notevoli.

L’informatico Troy Hunt, collaboratore esterno di Microsoft, segnala che sono in circolazione nei bassifondi di Internet i dati di circa 112 milioni di account Badoo, e offre un servizio gratuito, HaveIBeenPwned.com (traducibile con “mi hanno fregato” – la P non è un refuso), nel quale si può immettere un indirizzo di mail (proprio o altrui) per sapere se compare negli elenchi di account violati, di cui Hunt fa collezione.

Hunt sottolinea che questo recente elenco di account Badoo non è verificato, nel senso che i responsabili di Badoo non hanno segnalato alcuna violazione del sito e quindi è possibile che si tratti semplicemente di un elenco di utenti che hanno usato su Badoo la stessa password usata anche su un altro sito che è stato violato oppure di utenti che si sono fatti infettare da malware che colleziona password. Casi come questo sono frequenti: è successo di recente per 272 milioni di account Hotmail, Yahoo, Gmail e Mail.ru e per 32 milioni di account Twitter.

Anche se il furto di account Badoo non è verificato, se avete un account presso questo fornitore di servizi è buona cosa cambiarne la password e magari iscriversi gratuitamente al servizio di allerta di HaveIBeenPwned, affidandogli i propri indirizzi di mail in modo da ricevere un avviso se compaiono in qualche archivio di account rubati. E magari abbandonare, una volta per tutte, la pessima abitudine di usare ovunque la stessa password.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Un altro sito d’incontri violato: un milione di profili privati di BeautifulPeople è ora in Rete

Un altro sito d’incontri violato: un milione di profili privati di BeautifulPeople è ora in Rete

Ricordate Ashley Madison, il sito dedicato agli incontri intimi infedeli i cui utenti furono messi a nudo ad agosto 2015 dal furto e dalla pubblicazione dei loro dati personali maldestramente custoditi? Adesso è il turno di un altro sito dello stesso genere, BeautifulPeople.com, che si vanta di selezionare i propri membri in base al loro aspetto.

A quanto pare BeautifulPeople ha selezionato con lo stesso criterio anche i responsabili della sicurezza informatica, perché i dati personali di un milione di utenti del sito sono ora in vendita nei bassifondi di Internet: nomi utenti, indirizzi di mail, collocazione geografica, caratteristiche fisiche, professione, preferenze sessuali e altro ancora.

I dati sono stati trafugati attingendo a un server di test non protetto sul quale girava il software MongoDB, che ha seri problemi di sicurezza: per esempio, per colpa sua di recente sono finiti online 93 milioni di dati identificativi riservati degli elettori messicani e pochi mesi fa hanno fatto la stessa fine i dati di circa 13 milioni di utenti di MacKeeper. Secondo il motore di ricerca Shodan l’anno scorso c’erano circa 600 terabyte di dati esposti in circa 30.000 database di vari siti grazie alle errate configurazioni di MongoDB.

BeautifulPeople.com dice di aver avvisato tutti gli utenti coinvolti e che le password e le informazioni finanziarie non sono state compromesse. Ma anche senza questi dati le possibilità di ricatto e di furto d’identità sono enormi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Impostore apre account Facebook usando la mia mail, ci trovo dentro già delle amicizie

Impostore apre account Facebook usando la mia mail, ci trovo dentro già delle amicizie

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Questa sera, intorno alle 21:45, qualcuno ha usato un mio indirizzo di mail e il mio nome per aprire un account su Facebook. Me ne sono accorto perché mi è arrivata la notifica su quell’indirizzo di mail:

Per prendere subito il controllo dell’account ho confermato l’account e immesso il codice di conferma. Fin qui niente di speciale: la cosa che mi ha colpito è che dall’account non ancora confermato erano già partite delle richieste di amicizia.

Io ho confermato l’account intorno alle 23:15, ma alle 21:46 c’era già nel Registro Attività una prima richiesta di amicizia che “io” avrei inviato e le altre erano state fatte nei minuti successivi. Le richieste erano state inviate a persone che assolutamente non conosco: una era stata accettata.

Per il resto l’account era vuoto, a parte la data di nascita (14 marzo 1985, sbagliatissima). Ho cambiato il nome all’account per renderne evidente la natura fittizia, ho impostato una buona password, ho disconnesso gli eventuali dispositivi connessi (non ce n’erano) e ho deciso di tenere attivo l’account vuoto perché così facendo nessun altro può tentare di aprire un account usando quel mio indirizzo di mail (ho verificato che non è possibile).

A qualcuno è mai capitato qualcosa del genere? Il tentativo d’impostura non mi preoccupa, ma mi piacerebbe capire se la creazione di false richieste di amicizia prima ancora di confermare un account sia una funzione normale di Facebook o un bug.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Facebook non imporrà più di usare i nomi veri

Facebook insiste da tempo che gli utenti devono usare il proprio vero nome e cognome: una caratteristica che lo separa da quasi tutti gli altri social network passati e presenti, nei quali l’uso di un nome di fantasia era non solo tollerato ma anzi incoraggiato. La giustificazione formale è che in questo modo gli utenti sono più sicuri dell’identità delle persone che contattano e sono più responsabilizzati per quello che dicono, ma i maliziosi dicono che in questo modo il valore degli account agli occhi dei pubblicitari aumenta notevolmente.

Quest’obbligo di trasparenza, però, comporta dei problemi a un numero non trascurabile di utenti: quelli che per varie ragioni sono a rischio se rendono pubblica la propria identità, come per esempio gli attivisti politici o chi è vittima di violenze. E come ben sa chi frequenta Facebook, l’efficacia dei controlli di identità di questo social network è davvero modesta e non frena la lingua di molti bulli e molestatori.

Ora Facebook ha annunciato un piccolo ma significativo cambio di rotta: ora chi segnala un utente accusandolo di usare un nome falso dovrà essere più preciso e portare più prove, per evitare che queste segnalazioni diventino una forma di abuso. Inoltre chi usa uno pseudonimo potrà giustificare più facilmente e dettagliatamente le ragioni della scelta. I documenti d’identità che Facebook potrebbe chiedere come conferma saranno gestiti più correttamente e verrà ampliata la rosa di quelli accettati; durante il processo di verifica gli utenti sotto esame potranno continuare ad accedere al proprio account Facebook per sette giorni invece di essere bloccati subito o quasi.

Per ora queste modifiche sono in fase di test per gli utenti che risiedono negli Stati Uniti o per chi simula di essere negli Stati Uniti dal punto di vista informatico, ma verranno estesi a tutto il mondo al termine dell’attuale periodo di sperimentazione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.