Vai al contenuto
Instagram mi blocca l’account: piccola cronologia del recupero

Instagram mi blocca l’account: piccola cronologia del recupero

Questo non è un articolo tecnico: consideratelo semplicemente come un appunto
pubblico che magari può essere utile a qualcuno che si trovi nella mia stessa
situazione.

Ieri mi sono collegato al mio account Instagram e ho trovato questo avviso.

“Il tuo account è stato bloccato temporaneamente” dice l’avviso
sul mio smartphone.
“Abbiamo scoperto un’attività sospetta sul tuo account Instagram e lo
abbiamo bloccato temporaneamente per precauzione. Il tuo account potrebbe
essere stato compromesso perché hai inserito la tua password su un sito web
creato per assomigliare a Instagram. Questo tipo di frode è chiamato
“phishing””.

Come avrete intuito, non ho affatto inserito la mia password in un sito di
phishing e ho l’autenticazione a due fattori. Ma allora cosa sta succedendo
realmente?

L’avviso dice che nei passaggi successivi mi verrà chiesto di verificare la
mia identità. Va be’, proviamo. Clicco su Continua.

Mi viene chiesto come voglio ricevere un codice di sicurezza: via mail o
tramite SMS al mio telefonino. Scelgo la seconda opzione.

Mi arriva via SMS un codice di sei cifre e lo immetto nella schermata di
verifica di Instagram.

L’app mi chiede poi di modificare la mia password. Eseguo.

Ta-da! Account sbloccato. Mistero totale sulle cause del blocco. Colgo
l’occasione per ricordare che è indispensabile attivare sempre l’autenticazione a due fattori, per proteggersi da tentativi di phishing, e che con un “supporto tecnico” criptico del genere non è mai
una buona cosa far dipendere una propria attività economica o comunicativa
essenziale da un singolo account social, in ossequio alla
Clausola del Gatto Sitwoy.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Insolita tecnica rubapassword: il BITB o “Browser in the Browser”

Insolita tecnica rubapassword: il BITB o “Browser in the Browser”

Quando si insegnano le basi della sicurezza informatica e in particolare come
difendersi dai ladri di password, una delle regole più importanti, ripetute
fino alla noia, è che prima di digitare la propria password bisogna sempre
verificare di essere nel sito vero e non in una sua imitazione fabbricata dai
truffatori.

Per fare questa verifica in modo facile e usabile anche da persone non
esperte, si consiglia di ignorare l’eventuale contenuto grafico della pagina
che sta chiedendo le credenziali di accesso e di guardare con attenzione il
nome del sito, ossia l’URL (quello indicato in alto nella schermata).

Per esempio, se voglio verificare di essere davvero nella schermata di login
di Google e non in quella imitata da un truffatore, dovrò controllare che in
alto ci sia scritto accounts.google.com e non
pincopallino.com oppure googIe.com.

Come ulteriore verifica, cercherò anche l’icona di un lucchetto chiuso accanto
al nome del sito: se non c’è, saprò per certo che mi trovo nel sito di
un truffatore e quindi non digiterò la mia password. Se c’è, invece, non mi
potrò fidare, perché i truffatori più abili possono fare in modo che il
lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.

Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il
lucchetto) che si imparano facilmente e diventano automatiche come guardare a
sinistra e a destra prima di attraversare la strada.

Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che
sovverte queste regole di sicurezza, perché è in grado di imitare quasi
perfettamente sia il nome del sito, sia la presenza del lucchetto.

Questa tecnica si chiama Browser in the Browser, abbreviato in
BITB, ed è stata
annunciata
da un ricercatore di sicurezza che si fa chiamare semplicemente
mr.d0x.

Funziona così: avete presente quelle finestre di dialogo che compaiono spesso
quando si accede la prima volta a un sito? Quelle che per evitarvi di dover
creare un account e una password appositamente vi dicono
“login con Facebook”, “login con Microsoft”, “continua con Apple”,
“collegati usando Google”
o cose simili e vi propongono appunto di usare un vostro account esistente per
il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un
esperto, creare una versione fraudolenta di queste finestre di dialogo e farla
apparire sullo schermo della vittima.

Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla
finestra di dialogo un bordo superiore che
imita la testata di un browser.

La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra
del browser, e quando va a controllare il nome del sito e la presenza del
lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito
mostrato nella finta testata del browser, che è sotto il controllo del
truffatore.

Il ladro di password, infatti, può far comparire in questa testata un nome di
sito a suo piacimento, per cui se vuole per esempio rubare una password di un
account Google metterà in questa falsa testata accounts.google.com. E
per di più potrà anche inserire l’icona del lucchetto, fintamente
rassicurante.

Un video pubblicato
su YouTube illustra in dettaglio il procedimento necessario per creare un sito
rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche
qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa
tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di
sicurezza.

Anzi,
è già stata usata
almeno una volta, nel 2020, per rubare password del servizio di distribuzione
di videogiochi Steam.

A questo punto occorre insomma aggiornare le regole di sicurezza: non basta
più controllare il nome del sito e l’eventuale assenza del lucchetto. Gli
esperti notano che c’è un modo abbastanza semplice per distinguere un sito
fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste
nel provare a spostare la finestra di dialogo: se è vera, sarà possibile
spostarla in modo che si sovrapponga alla vera testata del browser; se
è falsa, questo spostamento la farà finire sotto la vera testata. Ma
l’utente medio si ricorderà di fare ogni volta tutti questi controlli?

È improbabile, per cui si consiglia di usare un approccio differente, di
prevenzione: attivare l’autenticazione a due fattori su ogni account, usando
le istruzioni apposite facilmente reperibili in Google. In questo modo, se si
sbaglia e si digita la propria password in un sito che la ruba, i ladri non
potranno comunque prendere il controllo dell’account e si dovrà semplicemente
cambiare la password.

Come sempre, anche in informatica, prevenire è meglio che curare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Un tentativo di phishing molto realistico su Twitter rivela le tecniche d’inganno usate dai truffatori. E una mia figuraccia

Ultimo aggiornamento: 2022/03/03 8:15.
Questo articolo è disponibile anche in versione podcast audio.

Poche ore fa mi è arrivato su Twitter questo messaggio diretto:

Laccount di nome Feedback Team, autenticato con tanto di bollino blu, mi ha segnalato una mia
violazione del copyright e mi ha detto che il mio account sarebbe stato rimosso
entro 48 ore se non avessi dato spiegazioni usando il link appositamente
fornito.

Per qualche secondo mi sono allarmato, perché in effetti era possibile che io avessi commesso una violazione di copyright in qualche immagine che avevo
postato, e l’account dal quale proveniva la segnalazione era
davvero autenticato: cliccando sul suo bollino, infatti, compariva la
normale informativa di Twitter sui motivi dell’autenticazione, che diceva che
l’account dal quale mi era arrivata la segnalazione era
“verificato poiché è considerato degno di nota nella categoria delle
istituzioni, dell’attualità, dello spettacolo o di un altro settore
specifico.”

 

Ma si trattava di una trappola ben costruita. Non era affatto un account tecnico di Twitter, nonostante fosse autenticato.

Il primo ingrediente di questa trappola era la psicologia. Il testo del messaggio era fatto su misura per creare ansia nel destinatario, tramite la minaccia di chiusura dell’account.

E confesso che ha funzionato. Nonostante io non sia — come dire — di primo pelo in fatto di
sicurezza informatica, la mia mente non ha nemmeno fatto caso alle
motivazioni dell’autenticazione: ha semplicemente registrato il fatto
che l’account era autenticato. Non mi sono accorto che un account di supporto
tecnico di Twitter non c’entrava nulla con
“istituzioni”, “attualità” o “spettacolo”. Voi ci avete fatto caso? Ecco un esempio perfetto
dei corti circuiti mentali che si instaurano quando si è agitati. I truffatori
li conoscono benissimo e li sfruttano senza pietà. 

L’unico elemento che mi ha insospettito è stato il link a Google. Perché mai
Twitter avrebbe dovuto appoggiarsi a Google per ospitare le pagine di
richiesta di giustificazione?

Così mi sono fermato un momento a pensare e ho provato a controllare il nome
dell’account del presunto Feedback Team di Twitter: non quello indicato da
Twitter, ma quello presente nel link associato al messaggio: era
https://twitter.com/reazlepuff

Decisamente non era un nome plausibile per un account tecnico di Twitter. Però
era autenticato. Come era possibile che un truffatore avesse un account
autenticato? 

Lo spavento che avevo preso, e la consapevolezza che la trappola ben congegnata avrebbe causato danni a tanti, mi ha fatto inviperire e quindi ho lasciato al truffatore
un messaggio di risposta decisamente colorito (“F*** you, phishing ***hole”, ma senza gli asterischi). 

Me ne sarei pentito poche ore dopo.

Lo scopo della trappola era il phishing, ossia il tentativo di rubare
login e password. Me ne sono accordo quando ho visitato con molta cautela (cioè con un browser di una
macchina virtuale) il link a Google indicato nel tweet del truffatore, ossia
sites.google . com/view/case-02506828635-tw/ (copia permanente). Sullo schermo compariva quella che sembrava essere una pagina di login di Twitter, con tutta la grafica giusta e le diciture corrette, ma era
in realtà gestita dal truffatore.

Chiunque avesse immesso il proprio nome utente e la propria password in questa
pagina avrebbe inviato questi dati al ladro, dandogli tutto il necessario per
prendere il controllo dell’account (salvo che avesse attivato l’autenticazione
a due fattori, cosa che purtroppo molti utenti ancora non fanno).

Così ho segnalato subito a Twitter e a Google l’account truffaldino,
rispettivamente tramite l’account @TwitterSafety e la pagina
Safebrowsing.google.com.

Restava il mistero di come avesse fatto il truffatore ad avere un account autenticato. 

Una possibile spiegazione era che si trattasse di un account che era stato rubato a una persona reale, che in precedenza si era fatta autenticare da Twitter, in modo da avere il bollino blu di garanzia. In questo caso non sarebbe stato il ladro a ingannare i servizi di autenticazione di Twitter: più semplicemente, il truffatore avrebbe ereditato l’autenticazione fatta regolarmente dalla sua vittima. Questa sarebbe stata tutto sommato una buona notizia, perché avrebbe significato che il sistema di autenticazione non era stato compromesso.

Ma se le cose erano andate così, chi era la vittima autenticata? L’autenticazione su Twitter non è facile da avere, per cui doveva trattarsi di una persona o di un ente di una certa fama. Il nome reazlepuff non sembrava fornire indizi. Mi ci è voluta una ricerca approfondita nel motore di ricerca interno di Twitter (twitter.com/search) per trovare non tanto i suoi tweet, perché il truffatore li aveva nascosti, ma i tweet delle persone che le avevano scritto prima del furto dell’account (con la query https://twitter.com/search?lang=it&q=(to%3Areazlepuff)&src=typed_query). Questa ricerca indiretta mi ha permesso di scoprire di chi si trattava. 

Ed è lì che è partito il mio imbarazzato pentimento.

Infatti la vittima del furto di account, la persona il cui account autenticato veniva adesso usato per trarre in inganno altri utenti di Twitter e rubare i loro account, era Reality Winner, ex specialista di intelligence statunitense, condannata nel 2018 a cinque anni di carcere in una vicenda di whistleblowing molto clamorosa e controversa, finita in prima pagina su molti giornali statunitensi, per aver fornito alla stampa senza autorizzazione dei documenti governativi segreti sulle interferenze russe nelle elezioni americane del 2016: materiale di importanza cruciale per l’opinione pubblica.

In difesa di Reality Winner si erano schierate associazioni come la Electronic Frontier Foundation e la Freedom of the Press Foundation. La sua storia è raccontata qui da USA Today.

Sono riuscito a contattarla privatamente via Instagram, dove mi ha confermato di essere lei la titolare dell’account Twitter rubato e che stava cercando di riprenderne il controllo. L’autenticazione a due fattori non era stata violata.

È stato a quel punto che mi sono ricordato che avevo lasciato quel messaggio di insulti destinato al ladro, e mi sono reso conto che Reality Winner, una volta ripreso il controllo del proprio account, l’avrebbe letto e avrebbe pensato che fosse stato rivolto a lei. 

Insomma, le mie prime parole su Twitter a una nota whistleblower finita in prima pagina, a una persona che si era appena fatta cinque anni di carcere per difendere la libertà di stampa e fornire al pubblico informazioni politicamente vitali e che si stava da poco riaffacciando a Internet oltre che alla vita normale dopo cinque anni di sostanziale isolamento digitale, sarebbero state “F*** you”.

Mi sono precipitato a tentare di cancellarle, ma Twitter non consente di eliminare i messaggi diretti. Così ho riscritto di corsa a Reality Winner via Instagram, scusandomi profondamente e avvisandola che ero io il colpevole della pessima accoglienza verbale che avrebbe trovato.

Per fortuna l’ha presa molto sportivamente e mi ha perdonato con garbo quando il suo account è stato ripristinato (e la pagina del truffatore ora viene segnalata molto vistosamente come pericolosa da Google, come mostrato qui sotto). Ma la mia figuraccia resta. Mi raccomando: non fidatevi dei messaggi di avviso, neanche se arrivano da account autenticati, e soprattutto imparate dalle mie gaffe.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Piccola storia di phishing bancario: il seguito

Questo è il testo, con link, della seconda parte del mio
podcast
di questa settimana. Il testo della prima parte è invece
qui.

Ho un aggiornamento sulla vicenda del ladro informatico che tenta di rubare i
conti correnti alle vittime di cui vi ho parlato nella puntata precedente di
questo podcast [e
qui]. Riassunto veloce: qualcuno sta mandando moltissimi SMS a persone a caso,
facendo sembrare che si tratti di messaggi provenienti da una banca. I
messaggi contengono un link e un invito a cliccarvi su per verificare la
propria situazione sul conto. Il link porta a un sito, gestito dal truffatore,
che ha lo stesso aspetto del sito della banca presa di mira. Se la vittima
cade nella trappola e vi immette i dati, regala le proprie credenziali al
criminale.

Sembrava una vicenda classica di phishing, ma poi è emerso che il
truffatore stava commettendo un errore tecnico madornale: il file nel quale
registrava le login, le password e i dati delle carte di credito delle vittime
era pubblicamente accessibile via Internet e quindi chiunque poteva leggerlo
semplicemente conoscendone il nome (che è un nome assolutamente banale che si
usa spessissimo in questi casi).

Questo mi ha permesso di contattare le vittime, molte delle quali immettevano
nel sito del truffatore anche il proprio numero di telefonino, e così le ho
allertate evitando il danno o perlomeno riducendo la portata del furto di
credenziali.

Ma la vicenda non è finita: prima di tutto l’ufficio stampa della banca mi ha
contattato per ringraziare delle segnalazioni e per avvisare che gli uffici
interni della banca stessa sono stati allertati in modo che possano prendere
le contromisure necessarie e fare le segnalazioni opportune. Questo proteggerà
meglio i clienti e conferma che segnalare questi tentativi di furto non è
inutile ma è anzi apprezzato.

In secondo luogo, è emerso che questo errore grossolano non è successo una
sola volta, ma fa parte di una serie.

Non è chiaro se si tratti dello stesso ladro pasticcione che ripete l’errore
in tutti i siti che crea o se si tratti di un kit standard per creare frodi
bancarie che contiene questo difetto. Ma di fatto ci sono numerosissimi
siti-truffa che hanno lo stesso schema colabrodo. Questo è bene, perché così è
possibile avvisare le vittime.

In attesa che i ladri imbranati vengano assicurati alla giustizia o perlomeno
neutralizzati, ognuno di noi può dare una mano a contrastarli. Ecco come.

La prima cosa da fare è, ovviamente, non abboccare a questi falsi allarmi e
avvisare parenti, colleghi e amici di questo tipo di trappola. Non bisogna
mai, mai, mai cliccare sui link presenti in questi messaggi.

La seconda cosa da fare è segnalarli a Google, presso
Safebrowsing.google.com, cliccando su Report phish. In Svizzera si può inviare una
segnalazione anche ad
Antiphishing.ch per allertare il
Centro nazionale per la cibersicurezza della Confederazione. In Italia si può
inviare una segnalazione allo
sportello online
della Polizia Postale e delle Comunicazioni. Più in generale, si può segnalare
il sito-trappola ad
Antiphishing.org. Inoltre molti
antivirus per telefonini avvisano l’utente se tenta di visitare un sito che
finge di essere una banca e in molti casi bloccano direttamente l’accesso al
sito in questione.

Se siete utenti più esperti, potete poi usare il comando whois in una
finestra di terminale per sapere chi è il responsabile tecnico del server di
hosting che ospita il sito dei truffatori e mandargli una mail di
segnalazione, preferibilmente in inglese [qualcosa del tipo
“Please note that you’re hosting a phishing site that is stealing
credentials from victims”, seguito dal link del sito]. Molti di questi responsabili non sono al
corrente di tutto quello che succede sui loro server: non sono complici ma
vittime, per cui ricevono volentieri segnalazioni che evitino un loro
coinvolgimento in frodi bancarie. 

[Per esempio, ho trovato il sito di phishing mostrato qui sopra in hosting su
Tripulante.mx. Così ho fatto un whois per scoprire che indirizzo di
mail hanno i responsabili tecnici, amministrativi e di abuse di
Tripulante.mx: il record whois punta (stranamente) direttamente a
tech-iana chiocciola nic.mx, adm-iana chiocciola nic.mx e abuse chiocciola nic.mx. Ho
mandato loro una mail con la segnalazione dell’URL di phishing e ho ricevuto
conferma dell’apertura di un ticket al quale verrà data risposta entro 24 ore.
Al momento in cui scrivo, però, l’URL è ancora attivo, anche se si sta
riempiendo di credenziali farlocche immesse da utenti consapevoli del
raggiro.

Meraviglioso.]

[Un’altra mia segnalazione, invece, è andata a buon fine. Il sito isp-info-intesa-com.preview-domain punto com ospitava una
pagina di phishing che simulava Banca Intesa San Paolo:

Prima…
… e dopo.

Anche in questo caso ho usato whois per trovare la mail dell’abuse (abuse chiocciola hostinger punto com) e ho mandato una mail di segnalazione. Lo stesso è successo anche per un altro sito di phishing, aggiornadati2022 punto com.]

Se tutto questo vi sembra troppo complicato, per voi o per qualcuno che
conoscete, ricordate soltanto la regola fondamentale: nessuna banca seria vi
manderà mai un messaggino di allarme chiedendovi di cliccare su un link per
avere maggiori informazioni. Quindi qualunque messaggio che faccia queste cose
va semplicemente cestinato. E se è troppo tardi e avete immesso i vostri dati
confidenziali nel sito dei truffatori, non perdete tempo e bloccate
immediatamente il vostro conto corrente e la relativa carta di credito,
chiamando direttamente la vostra banca o andandoci di persona. Non usate
Internet.

Io, intanto, proseguo in buona compagnia il pedinamento dei ladri pasticcioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Una storia di phishing bancario diversa dal solito: il ladro beffato

Questo articolo è disponibile anche in
versione podcast. Ultimo aggiornamento: 2022/02/18 13:25.

All’inizio sembra la classica storia di phishing bancario: un
truffatore crea un sito Web che somiglia a quello di una banca, manda una
raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella
banca e contengono un link al sito del truffatore, e poi aspetta che le
vittime che hanno ricevuto quell’SMS e sono per pura coincidenza correntiste
di quella banca cadano nella trappola, cliccando sul link, visitando il sito e
immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che
svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_
) mi ha mandato un
tweet
avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il
mittente apparente era CartaBCC) e conteneva un messaggio di allarme:
“Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il
seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax”.

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in
modo da ingannare, con quel mittente falsificato, e creare ansia all’idea del
blocco del conto corrente, il link contenuto nell’SMS era chiaramente sospetto
per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non
sembra proprio un nome da sito bancario.

“Che faccio? Compilo?” mi ha chiesto ironicamente Giulio. 

Visitando il link con le opportune precauzioni ho visto che il falso sito
bancario era ancora attivo e conteneva la schermata di richiesta credenziali
di una nota
banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa
vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il
bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le
credenziali bancarie dei malcapitati correntisti che non si accorgevano
dell’inganno. Avrei dovuto quindi allertare la banca in questione e le
autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato
allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del
truffatore e ne aveva esaminato la struttura, che era pubblicamente
accessibile. Aveva notato per esempio il
contenuto del file
robots.txt, che rivelava che si trattava di un sito che era stato
creato con il popolare software WordPress e in realtà apparteneva a un
servizio legittimo, nel quale il truffatore si era inserito abusivamente
aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un
nome di file usato molto frequentemente, che non cito qui per prudenza, e di
aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore
archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili:
questo genio del male aveva commesso l’errore fondamentale di lasciare
pubblicamente accessibile
il file nel quale stava man mano registrando le credenziali delle proprie
vittime: indirizzo IP, login, nome, password, numero e CVV della carta
bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne
l’URL per leggerlo tranquillamente con un normale browser:
https://pay-stub.com/relax/%5Bnomefile%5D.txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in
fondo al file *.txt è comparsa una riga nuova contenente il mio
indirizzo IP e i miei dati. 

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente
reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non
erano al corrente della situazione e sono state giustamente sospettose nel
ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho
chiesto dati personali ma li ho comunicati io a loro, ossia il
contrario di quello che fa un truffatore: ho detto cose del tipo
“Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali
ed è correntista presso la Banca Cosìecosà e la sua password inizia con
queste lettere, tenga presente che la sua password è stata rubata e
rinvenuta in un archivio di password trafugante e le conviene cambiarla
immediatamente”.

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e
quando le si raggiunge è molto difficile spiegare tutta la situazione. Del
resto, se vi telefonasse uno sconosciuto dicendovi le vostre password
bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi
pomeriggio, insomma) e quindi i dati rubati non sono più reperibili
pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori
la beffa: a un certo punto molte vittime si sono accorte che si trattava di un
tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo
praticamente inutilizzabile la raccolta di credenziali iniziata dal
truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente
plausibili insieme a dei nomi utente o password decisamente scurrili, che non
posso riferire qui, per far capire al ladro che non si erano fatte ingannare.
Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni
molto colorite delle attività personali di sua madre e numerosi suggerimenti
pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all’inizio del file che conteneva le credenziali c’erano
anche i dati delle prove fatte dal ladro, che includevano anche il suo
indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare
Vodafone. Ho
comunicato
questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere
tutto il necessario per identificare l’aspirante ladro. 

—-

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono
tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine
come riconoscere i tentativi di inganno.

  • Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché
    possono essere falsificati facilmente. 
  • Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si
    tratta di messaggi di allarme che riguardano conti bancari o spedizioni
    postali o vincite inaspettate.
  • Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti
    tramite dei messaggini contenenti dei link o chiederà telefonicamente di
    confermare codici di accesso.

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è
usare Browserling.com, che vi offre tre
minuti di tempo su un computer remoto sacrificabile), potreste provare a
visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste
a proteggere le vittime nascondendo le loro credenziali vere in una selva di
credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti
potete segnalarlo a Google presso
Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se
lo visitano.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il tentato phishing ai danni di Elodie

Il tentato phishing ai danni di Elodie

La cantante italiana Elodie ha
segnalato su Instagram di essere stata oggetto di un tentativo di
phishing: qualcuno le ha mandato vari messaggi che sembravano degli
avvisi di sicurezza per un suo account contenente foto ma in realtà erano dei
falsi generati dal suo aggressore. 

Si è accorta in tempo del tentativo e
non è caduta nella trappola. Ha pubblicato i messaggi-truffa, e questo
permette di studiare da vicino un caso concreto di tentato furto di
credenziali che avrebbe potuto avere conseguenze personali e professionali
pesanti.

La prima cosa interessante è il testo degli avvisi, costruito in modo da
sembrare realistico, personale e preoccupante:
“Ciao Elodie, Nuovo accesso al tuo account nei pressi di Milano(Mi).
Autorizza o blocca questo accesso tramite [link]”;
“Ciao Elodie, Come da tua richiesta il download della libreria fotografica
è iniziato. Verifica i tuoi file su [link]”;
“Ciao Elodie, Blocca i tentativi di accesso al tuo account completando il
login su [link]”; e così via. Tutti i messaggi sono pensati in modo da indurre la vittima a
cliccare sul link, dove troverà una finta pagina di login, gestita in realtà
dai truffatori. Se dovesse digitare la propria password in questa pagina
falsa, regalerà il controllo del proprio account ai malviventi.

Il link è la seconda cosa interessante: è sempre uguale, ed ha la forma
bit [punto] ly/accessoSospetto. Anche il nome del link è scelto in modo
da sembrare un riferimento a una pagina di verifica di sicurezza antifrode.

Si tratta di un link abbreviato: la sua versione estesa, e quindi il vero
indirizzo web della pagina-trappola, è
https://www.iclooud[punto]co/b/VerificaAccesso/. Notate l’iclooud
con due O, che è facile scambiare per iCloud di Apple. Secondo
Domaintools,
Iclooud[punto]co risiedeva in Germania all’indirizzo IP 185.219.221.184
ed è stato creato 87 giorni fa, il primo marzo 2021. Ora non risponde più:
meglio così.

Per evitare questo genere di truffa, conviene abituarsi a non cliccare
sui link di allerta e conviene
attivare
l’autenticazione a due fattori. Forse ora che il tentativo di
phishing è capitato a una persona così seguita, un po’ di gente starà
più attenta. Forse.

 

Fonti:
Yahoo Notizie,
Fanpage.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Se avete ancora l’uovo come icona su Twitter, cambiate icona: rischiate di essere bloccati come spammer

Se avete ancora l’uovo come icona su Twitter, cambiate icona: rischiate di essere bloccati come spammer

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla donazione di tondo*. Se vi piace, potete farne una anche voi (con Paypal, regalandomi una ricarica telefonica dati o pescando dalla mia wishlist su Amazon) per incoraggiarmi a scrivere ancora. Pubblicazione iniziale: 2016/11/12. Ultimo aggiornamento: 2017/01/02 23:50.

Finora non mi ero curato granché degli account fasulli che mi seguono su Twitter, ma ho visto che stanno cominciando a essere un problema ed è ora di fare un po’ di pulizia nel mio account @disinformatico. Quindi se mi seguite e avete ancora l’uovo come icona, cambiate icona: sto per purgare i fake e questo sarà uno dei miei criteri. Non sarà l’unico, ma sicuramente uno dei più rilevanti e immediati da rimediare.

Fra l’altro, cambiare icona serve anche per migliorare la vostra credibilità in generale su Twitter.

Perché purgare?

Reputazione. Avere un account con tanti follower fasulli dà l’impressione che io abbia gonfiato i numeri dei miei follower comprandoli. Preferirei passare la giornata a lavare le mutande dei lottatori di sumo, ma chi non mi conosce non lo sa e magari si fa un’idea sbagliata.

Rischio di chiusura dell’account. Se Twitter decide che io sono uno che raccatta fake, potrebbe decidere di eliminarmi, e questo sarebbe un peccato (sì, ho ben presente la Clausola del Gatto Sitwoy). Sto avviando comunque la procedura di autenticazione del mio account [2016/12/19: l’account è stato autenticato].

Rischio di abuso nei confronti dei follower veri. Chi segue un account che ha tanti follower falsi potrebbe vedere nel flusso di tweet anche i commenti di spammer e phisher e cliccarvi sopra incuriosito, finendo in qualche trappola. Esistono vere e proprie reti di account zombi che twittano spam. Se poi un account molto seguito viene rubato da uno spammer o un phisher, la trappola è ancora più letale perché sembra che sia l’utente a postare i tweet che contengono spam o link-trappola (sì, ho attivato l’autenticazione a due fattori; fatelo anche voi).

La mia situazione attuale

Non sono messo bene. Per esempio, secondo Statuspeople.com il 36% dei miei attuali follower su Twitter è fake, il 49% è inattivo e soltanto il 15% è a posto.

I suoi criteri per considerare fake un account sembrano essere il numero di persone seguite dai miei follower (meno di 250 ed è sospetto) e l’assenza di tweet (chi non twitta da 100 giorni è sospetto).

Invece per Twitteraudit, che (pagando 3,99 dollari) prende un campione a caso di 5000 follower e ne valuta l’autenticità in base al numero di tweet, alla data dell’ultimo tweet e al rapporto fra follower e amici, attualmente sono fasulli 140.706 dei miei 321.982 follower: in altre parole, il 56,3% è reale e il 43,7% è fake. Twitteraudit non offre un servizio di rimozione dei fake (dice che “arriverà presto”) e l’estensione per Chrome si limita a visualizzare la percentuale di utenti fake di un account sulla base dell’audit più recente.

 

Twopcharts mi dice, sulla base di 5000 follower scelti a caso, che addirittura l’87% dei miei follower potrebbe essere falso, spammer o semplicemente poco attivo. Non offre un servizio di rimozione fake.

BotOrNot si è rivelato totalmente inaffidabile, segnalando come fake numerosi account famosissimi, compresa persino la BBC:

Followerwonk, un tempo una delle risorse più utili per Twitter, sta per chiudere, per cui non provo neanche a usarlo.

Socialbakers ha strumenti gratuiti, ma non gestiscono un numero di follower elevato come il mio. Le versioni a pagamento sono un po’ care per questo piccolo esperimento (anche se c’è una prova gratuita di 14 giorni, che però non fornisce informazioni sui follower falsi) e comunque non offrono strumenti per la rimozione di follower fasulli (lo strumento Fake Followers Check di Socialbakers, presentato a fine 2012, non esiste più).

Naturalmente dopo aver usato questi strumenti li ho subito de-autorizzati a usare il mio account Twitter.

Se l’approccio dei vari servizi di analisi citati qui sopra vi sembra inadeguato o discutibile, Marco Camisani-Calzolari ha pubblicato una serie più rigorosa di criteri, che trovate citata in questo articolo tecnico come Tabella 2. I criteri includono, per esempio, un nome, un’immagine, un indirizzo fisico, una biografia, almeno 30 follower, l’inclusione in una lista, la pubblicazione di almeno 50 tweet, l’uso di hashtag e altro ancora; il rischio di essere considerati fake aumenta all’aumentare del numero di criteri che non soddisfate.

Date anche un’occhiata allo strumento di analisi descritto in questo articolo di Digital Inspiration; altre info ancora sono qui su FiveThirtyEight.

Qui sotto trovate un perfetto esempio di account fake facilmente riconoscibile: un uovo come icona, un nome contenente numeri a caso, un solo tweet che è puro spam.

La situazione mi scoccia, ma mi consolo, perché sono in buona compagnia: Yahoo ha pubblicato un elenco di account famosi ricolmi di follower fittizi.

Come eliminare i fake?

Esistono vari servizi a pagamento legati ai siti di analisi citati sopra; segnalo anche lo script gratuito “rimuovi-uova” e quello rimuovi-fake di Clayton Lambert, recensiti e validati da IBTimes (non li ho testati e non so se sono diventati obsoleti); Twopcharts ha un “elenca-uova”; e naturalmente si può sempre procedere a mano, se avete molto tempo e un numero non eccessivo di fake (non è il mio caso, purtroppo).

Wikihow mostra come eliminare i fake manualmente usando uno smartphone o un computer: in pratica si blocca l’account e poi lo si sblocca, togliendolo così dai propri follower. Questo metodo ha il vantaggio che i follower veri, accorgendosi di essere stati rimossi, si reiscriveranno, mentre quelli falsi probabilmente no. Basta avvisarli prima con un po’ di tweet (e un post come questo, per esempio), così non pensano di essere stati bloccati perché sgraditi.

Sto facendo un po’ di esperimenti. Vi aggiornerò sui risultati: se intanto avete consigli o idee, i commenti sono a vostra disposizione. Nel frattempo, niente panico: non verrete purgati soltanto perché avete l’uovo come icona. Per essere purgati dovreste soddisfare contemporaneamente vari criteri oltre a questo. Ma se volete rendermi più agevole il lavoro di pulizia, fatemi (e fatevi) il favore di cambiare icona.

2017/01/02: primi filtraggi di prova

Approfittando del periodo relativamente tranquillo di fine anno, ho fatto qualche esperimento: i risultati sono in questo articolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Immettere credenziali false nei siti dei truffatori serve a ostacolarli?

Immettere credenziali false nei siti dei truffatori serve a ostacolarli?

Credit: Cosive.

Rispondo pubblicamente alla domanda di un lettore, Gabriele, che è ricorrente e credo sia di interesse generale:

All’ennesimo tentativo di phishing via email, per tentare di carpire le credenziali del mio conto BancoPosta (che, come molti altri bersagli di queste email, non ho), mi è venuta una curiosità: ma, se invece di ignorarli, faccio finta di cascarci e metto delle credenziali totalmente fasulle, secondo te posso creargli almeno qualche fastidio? Che so, magari a seguito dei tentativi errati viene bloccato l’indirizzo IP…
A tua conoscenza, esistono apposite credenziali da immettere a questo scopo, almeno su qualcuno dei classici bersagli?

La tecnica di immettere credenziali fasulle in un sito di truffatori si chiama well poisoning (“avvelenamento del pozzo”) o credential poisoning (“avvelenamento delle credenziali”) e in sé funziona, ma sconsiglio di usarla a livello personale e di lasciarla ai professionisti.

La ragione è che un non professionista riesce a fare troppo poco. Oggi i criminali informatici sono molto ben attrezzati, e quindi sono in grado di verificare molto rapidamente un gran numero di credenziali e accorgersi in poco tempo di quelle false (per esempio perché provengono tutte da uno stesso indirizzo IP o dalla stessa versione dello stesso browser nella medesima lingua o hanno la stessa struttura indirizzo1, indirizzo2, indirizzo3…).

Generare credenziali credibili, infatti, è piuttosto complicato: se viene chiesto un numero di carta di credito, per esempio, non basta immettere sedici cifre a caso. Devono essere coerenti tra loro, ed è invece banale per il criminale verificare se il numero è valido.

Per mettere seriamente in crisi dei truffatori è necessario immettere un numero molto elevato di credenziali in poco tempo e queste credenziali devono essere coerenti e credibili (provenienti da browser e indirizzi IP differenti): i professionisti sanno come generarle sul momento, ma i singoli utenti raramente hanno le risorse necessarie.

Per dare un’idea di cosa si intende per “poco tempo”, una ricerca interna di IBM del 2017 ha indicato che già all’epoca il 70% delle credenziali veniva raccolto dai truffatori nella prima ora di attività della loro campagna di phishing, e che comunque un sito di phishing aveva una vita media di una decina di ore. Di conseguenza non esistono, che io sappia, appositi elenchi di credenziali già pronte.

Un’altra tecnica di “avvelenamento del pozzo” molto interessante è l’uso delle cosiddette canary credentials (letteralmente “credenziali canarino”, con riferimento all’uso dei canarini nelle miniere per rilevare gas tossici o altrimenti pericolosi nell’aria) da parte dei siti per proteggere la propria sicurezza: si tratta di credenziali (nome utente e password) che non appartengono a nessun utente reale e quindi normalmente non verranno mai usate da nessuno. Se qualcuno tenta di accedere al sito usandole, scatta automaticamente l’allarme, perché è chiaro che c’è stata una violazione della sicurezza.



Fonti aggiuntive: Cosive, Allure Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenzione ai falsi siti Xbox Live rubapassword

Attenzione ai falsi siti Xbox Live rubapassword

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/12/12 13:40.

Se usate la Xbox o comunque i servizi di Xboxlive.com, occhio ai tentativi di furto di password: Microsoft ha segnalato che è stata resa pubblica per errore una serie di chiavi di sicurezza private relative a un certificato digitale per Xbox Live. Un aggressore può usare queste chiavi per simulare di essere il sito Xboxlive.com e intercettare i dati riservati dell’utente Xbox e carpirgli nome utente e password.

Microsoft non è al corrente di attacchi in corso che sfruttino questo errore, ma ha comunque revocato il certificato digitale falsificabile: gli utenti di Windows 8, 8.1, RT, RT 8.1, Server 2012, Server 2012 R2, Windows 10 e di Windows Phone 8, 8.1, e 10 Mobile riceveranno automaticamente l’aggiornamento della lista dei certificati digitali affidabili, con la relativa revoca di quello non più attendibile.

Anche chi usa ancora Windows Vista, Windows 7, Windows Server 2008 (o 2008 R2) e usa l’aggiornamento automatico della lista di certificati fidati (Certificate Trust List) riceverà automaticamente l’aggiornamento. Chi adopera altre versioni di Windows, invece, resterà vulnerabile se non passa a una versione più recente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Tentativo di rubare password alla SUPSI (Scuola universitaria professionale della Svizzera italiana)

Tentativo di rubare password alla SUPSI (Scuola universitaria professionale della Svizzera italiana)

D3LabIT mi segnala questo tentativo di phishing ai danni degli utenti della SUPSI, la Scuola universitaria professionale della Svizzera italiana. La falsa pagina di login, mostrata qui sopra, si trova in realtà presso https://fusioncya punto com/sup/. Gli altri link nella pagina portano alle pagine corrispondenti del vero sito SUPSI.

I truffatori probabilmente portano le vittime su questa pagina mandando loro dei messaggi (mail o altri canali di messaggistica) contenenti un link che apparentemente porta al sito della SUPSI ma in realtà porta al sito dei truffatori. È sempre pericoloso cliccare su link contenuti in messaggi; diffidate di quelli che vi portano a pagine di login.

Notate il lucchetto, che può dare un falso senso di sicurezza: indica soltanto che la comunicazione è cifrata, ma non autentica il sito che lo presenta. Il certificato digitale che fa mostrare al browser questo lucchetto è fornito in questo caso gratuitamente da Let’s Encrypt.

Dopo aver cliccato su Login nella pagina dei ladri di password si viene portati alla vera pagina di login della SUPSI (https://webmail.ti-edu.ch/). Questo fa credere all’utente che ci sia stato semplicemente un banale errore di immissione, perfezionando l’inganno.

La falsa pagina di login.

La vera pagina di login.

Ovviamente non bisogna mai immettere password in pagine come questa. Se l’avete fatto, cambiate immediatamente la vostra password visitando il sito vero. Per essere sicuri di visitare il sito vero, digitatene a mano il nome nel vostro browser.

Può avere senso visitare in massa la pagina dei ladri di password e immettere dati fasulli, in modo da inquinare e rendere inservibile l’archivio di login e password che stanno accumulando? È probabile. In ogni caso, prudenza.

2018/12/14 10:30. Firefox ora segnala il sito truffaldino come pericoloso, grazie a Google Safe Browsing.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.