Vai al contenuto

Una storia di phishing bancario diversa dal solito: il ladro beffato

Questo articolo è disponibile anche in
versione podcast. Ultimo aggiornamento: 2022/02/18 13:25.

All’inizio sembra la classica storia di phishing bancario: un
truffatore crea un sito Web che somiglia a quello di una banca, manda una
raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella
banca e contengono un link al sito del truffatore, e poi aspetta che le
vittime che hanno ricevuto quell’SMS e sono per pura coincidenza correntiste
di quella banca cadano nella trappola, cliccando sul link, visitando il sito e
immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che
svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_
) mi ha mandato un
tweet
avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il
mittente apparente era CartaBCC) e conteneva un messaggio di allarme:
“Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il
seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax”.

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in
modo da ingannare, con quel mittente falsificato, e creare ansia all’idea del
blocco del conto corrente, il link contenuto nell’SMS era chiaramente sospetto
per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non
sembra proprio un nome da sito bancario.

“Che faccio? Compilo?” mi ha chiesto ironicamente Giulio. 

Visitando il link con le opportune precauzioni ho visto che il falso sito
bancario era ancora attivo e conteneva la schermata di richiesta credenziali
di una nota
banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa
vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il
bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le
credenziali bancarie dei malcapitati correntisti che non si accorgevano
dell’inganno. Avrei dovuto quindi allertare la banca in questione e le
autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato
allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del
truffatore e ne aveva esaminato la struttura, che era pubblicamente
accessibile. Aveva notato per esempio il
contenuto del file
robots.txt, che rivelava che si trattava di un sito che era stato
creato con il popolare software WordPress e in realtà apparteneva a un
servizio legittimo, nel quale il truffatore si era inserito abusivamente
aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un
nome di file usato molto frequentemente, che non cito qui per prudenza, e di
aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore
archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili:
questo genio del male aveva commesso l’errore fondamentale di lasciare
pubblicamente accessibile
il file nel quale stava man mano registrando le credenziali delle proprie
vittime: indirizzo IP, login, nome, password, numero e CVV della carta
bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne
l’URL per leggerlo tranquillamente con un normale browser:
https://pay-stub.com/relax/%5Bnomefile%5D.txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in
fondo al file *.txt è comparsa una riga nuova contenente il mio
indirizzo IP e i miei dati. 

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente
reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non
erano al corrente della situazione e sono state giustamente sospettose nel
ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho
chiesto dati personali ma li ho comunicati io a loro, ossia il
contrario di quello che fa un truffatore: ho detto cose del tipo
“Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali
ed è correntista presso la Banca Cosìecosà e la sua password inizia con
queste lettere, tenga presente che la sua password è stata rubata e
rinvenuta in un archivio di password trafugante e le conviene cambiarla
immediatamente”.

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e
quando le si raggiunge è molto difficile spiegare tutta la situazione. Del
resto, se vi telefonasse uno sconosciuto dicendovi le vostre password
bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi
pomeriggio, insomma) e quindi i dati rubati non sono più reperibili
pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori
la beffa: a un certo punto molte vittime si sono accorte che si trattava di un
tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo
praticamente inutilizzabile la raccolta di credenziali iniziata dal
truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente
plausibili insieme a dei nomi utente o password decisamente scurrili, che non
posso riferire qui, per far capire al ladro che non si erano fatte ingannare.
Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni
molto colorite delle attività personali di sua madre e numerosi suggerimenti
pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all’inizio del file che conteneva le credenziali c’erano
anche i dati delle prove fatte dal ladro, che includevano anche il suo
indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare
Vodafone. Ho
comunicato
questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere
tutto il necessario per identificare l’aspirante ladro. 

—-

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono
tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine
come riconoscere i tentativi di inganno.

  • Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché
    possono essere falsificati facilmente. 
  • Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si
    tratta di messaggi di allarme che riguardano conti bancari o spedizioni
    postali o vincite inaspettate.
  • Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti
    tramite dei messaggini contenenti dei link o chiederà telefonicamente di
    confermare codici di accesso.

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è
usare Browserling.com, che vi offre tre
minuti di tempo su un computer remoto sacrificabile), potreste provare a
visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste
a proteggere le vittime nascondendo le loro credenziali vere in una selva di
credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti
potete segnalarlo a Google presso
Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se
lo visitano.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Occhio ai siti che offrono gemme gratis per i giochi: Itbrawler

Occhio ai siti che offrono gemme gratis per i giochi: Itbrawler

Brawl Stars è un gioco piuttosto popolare della Supercell (quella di Clash of Clans), uno dei tanti nei quali si usa una “moneta” interna per acquistare oggetti virtuali, poteri, skin o altre risorse: le gemme.

Normalmente queste gemme si ottengono giocando oppure si acquistano pagandole in denaro reale (per esempio 2000 gemme costano 110 euro). Mi è arrivata in proposito una segnalazione di un genitore perplesso perché il figlio voleva usare il sito Itbrawler.com per avere gemme gratis.

Visitando il sito si ottiene questa schermata:

Cliccando sul Tutorial compare un video che dice come avere ben 5000 gemme “gratis” (un controvalore di 275 euro): bisogna installare delle app (Pop Slots e Lords Mobile).

Cliccando su Genera compare invece la richiesta del tag giocatore (la schermata accetta qualunque valore), seguita dalla richiesta di invitare gli amici tramite WhatsApp per ricevere altre gemme di bonus. Il pulsante di invito è un link contenente la seguente stringa:
 whatsapp://send?text=Ehi,%20oggi%20possiamo%20ottenere%20gemme%20gratis%20in%20Brawl%20Stars,%20Cosa%20aspetti!%F0%9F%94%A5%20https://itbrawler.com/?w

Da telefonino, l‘invito non può essere scavalcato. Poi occorre cliccare sulla “verifica”, che mostra il tutorial che chiede di installare due app. I link portano a jump.ogtrk.net, che Scamadviser considera a bassa affidabilità (identità dei proprietari nascosta, collocazione a Panama, e altri fattori). Ma soprattutto le app proposte chiedono il numero di telefonino dell’utente (Bitte geben Sie Ihre Handynummer ein: / Geben Sie die Telefonnummer ein und senden Sie eine Nachricht, um Ihren Inhalt zu erhalten!). Perché?

Visitando il link di una di queste app con Chrome e con lo user-agent impostato su Android KitKat (per simulare che si tratti di una visita fatta da un telefonino Android, altrimenti non compare nulla) diventa molto evidente la ragione di tanta generosità:

Il numero di telefonino, se immesso, viene inviato al numero breve 522 e questo attiva un abbonamento che costa 14,9 CHF a settimana e fa capo a una società di Singapore. Altro che gemme gratis.

Auf https://ch1.nt.myvivo.xyz erhält der Benutzer die Möglichkeit, alle bereitgestellten Spiele für die Dauer des Abonnements zu spielen/herunterzuladen. Zum beenden, senden sie sms keyword: stop GO an 522 oder Kontaktieren an unsere hotline: +41445816440. Wenn sie auf kaufen klicken und das mo sms auf die Kurznummer 522 senden, bestätigen Sie sich an zu unbeschränktem videozugang im wochengebuhr von 14,9 CHF/Woche und akzeptieren des agb’s.

Certo, la dicitura sullo schermo avvisa che l’abbonamento è revocabile inviando un SMS con la parola GO (o stop GO) al numero breve 522. Ma quanti giovani giocatori capiranno il tedesco e saranno così pazienti da leggersi e annotarsi queste istruzioni?

Come sempre, se un’offerta sembra troppo bella per essere vera, non è vera.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Identificare il titolare di una numerazione SMS breve in Svizzera

Identificare il titolare di una numerazione SMS breve in Svizzera

Se siete sulla rete cellulare svizzera e avete ricevuto degli SMS da numeri brevi (short number), lunghi da tre a cinque cifre, per esempio in relazione a offerte di oroscopi o abbonamenti a siti pornografici, probabilmente vi state chiedendo chi ve li stia mandando e magari vorreste contestarli o bloccarli.

In questo caso può essere utile consultare i siti dei principali operatori cellulari svizzeri, che hanno predisposto delle apposite pagine Web.

Quella di Salt consente la ricerca per numero breve o per nome del fornitore dei servizi via SMS e ne restituisce l’indirizzo e i recapiti telefonici, mail e Web insieme a un comodo riepilogo dei comandi standard da inviare per esempio per cancellarsi da un servizio.

La pagina di Swisscom permette la ricerca in base al numero, al nome o al merchant ID del fornitore (riportato nella vostra fattura, se siete abbonati ai suoi servizi) e fornisce tutti i recapiti e l’elenco dei comandi standard, insieme ai relativi costi.

La pagina di Sunrise consente la ricerca dei fornitori in base al numero, tramite un menu a tendina che ne elenca i nomi oppure in base alla categoria.

Per maggiori informazioni su questi servizi SMS/MMS (SMS premium) c’è inoltre una pagina apposita dell’Ufficio Federale delle comunicazioni (UFCOM) che include il codice di comportamento di questi fornitori di servizi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come difendersi dai finti sondaggi sui telefonini: abboccare costa caro

Come difendersi dai finti sondaggi sui telefonini: abboccare costa caro

Credit: 20min.ch

Se ricevete sul telefonino, per esempio tramite WhatsApp, un invito a partecipare a un sondaggio che potrebbe farvi vincere dei soldi, lasciate perdere e non rispondete, anche se il sondaggio presenta un marchio famoso: è con tutta probabilità un tentativo di truffa che può svuotarvi il portafogli.

In queste ore circola in Svizzera un allarme specifico per un sondaggio diffuso tramite WhatsApp: ostenta marchi noti, come Migros e IKEA, ma non è organizzato da queste aziende o da WhatsApp. Promette una carta regalo da 150 o 500 franchi ma in realtà induce l’utente a immettere il proprio numero di telefonino e altri dati, sottoscrivendo un abbonamento a un servizio SMS premium nel quale ogni messaggio costa 5 franchi (circa 4,6 euro), prelevati tre volte a settimana. Un mese di quest’abbonamento costa insomma circa 60 franchi (circa 55 euro), addebitati in bolletta.

Nel caso del sondaggio attribuito fraudolentemente alla Migros viene citato il sito migros.geschenkkarten-aktion.com, che secondo Domaintools è stato creato il 12 ottobre scorso e non è intestato a Migros ma a una società di anonimizzazione statunitense, PrivacyGuardian.org.

Difendersi da questo genere di raggiro richiede un po’ di attenzione e prevenzione: se il nome del sito visualizzato non corrisponde a quello dell’azienda, è probabilmente una trappola, e se non si immette il numero del proprio telefonino non si sottoscrive l’abbonamento ingannevole. C’è comunque, tipicamente, un avviso che informa sui costi, ma spesso è in lingue diverse dall’italiano o è comunque scritto in forma poco chiara.

Per prevenire alla radice questo tipo di trappola si può chiedere al proprio operatore telefonico di bloccare completamente i servizi SMS premium: le istruzioni sono sui siti degli operatori (Sunrise, Salt, Swisscom). Maggiori informazioni sono sul sito dell’Ufficio federale delle comunicazioni.

Fonti: Migros, RSI, La Regione, Corriere del Ticino.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Vi siete mai imbattuti in un caso di furto automatico di PIN di validazione acquisti online?

Vi siete mai imbattuti in un caso di furto automatico di PIN di validazione acquisti online?

Immagine esemplificativa.
Credit: Fortinet.

Ultimo aggiornamento: 2020/10/06 4:10.

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l’inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN. 

Qui sta il mistero: l’SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l’SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L’ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall’app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

Questo è riferito a questa funzione:

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication,
has been criticised for not being the most secure choice of technology.
For example, in recent years the National Institute of Standards and
Technology (NIST) initially publicly criticised SMS
as a communication medium for secure authentication, labelling it as
insecure and unsuitable for strong authentication. However more
recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[…] Examples in which Security Code AutoFill could pose a
risk to online banking security include a Man-in-the-Middle attack on
the user accessing online banking from Safari on their MacBook,
injecting the required input field tag if necessary, or where a
malicious website or app accesses the bank’s legitimate online banking
service.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenzione a chi offre Fortnite per Android: è una trappola

Attenzione a chi offre Fortnite per Android: è una trappola

Non esiste ancora una versione ufficiale di Fortnite Battle Royale per dispositivi Android, e così i truffatori si sono scatenati a proporne finte “versioni craccate” o “anteprime” per gli smartphone di questo tipo. Non cascateci: sono trappole che possono costare moltissimo perché infettano i dispositivi e prelevano soldi dal conto prepagato o dall’abbonamento.

Digitare fortnite in Google Play produce una schiera notevole di risultati: ma nessuno è della Epic Games.

Youtube è appestata da video che annunciano trucchi per avere Fortnite per Android, dicono che l’app è nel Play Store (falso) o che c’è una versione non ufficiale o un’APK scaricabile andando a un sito che non è il Play Store e abilitando l’opzione per installare app da fonti sconosciute. Non credeteci.

La società di sicurezza informatica Sophos ha provato a scaricare una di queste false app di Fortnite, pubblicizzata in uno dei tanti video presenti su Youtube, e ha scoperto che l’app contiene soltanto un gioco rudimentale ma soprattutto attiva l’invio di SMS a pagamento.

Queste immagini sono state raccolte dai ricercatori di Sophos:

Pazientate, insomma, oppure procuratevi un dispositivo che già supporta Fortnite (PC e Mac, Xbox, Playstation e iPhone/iPad), come descritto in questa pagina del sito ufficiale.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Torna John Titor? No, è un bug di Windows Mobile

Torna John Titor? No, è un bug di Windows Mobile

Ultimo aggiornamento: 2010/01/08.

Questo articolo vi arriva grazie alle gentili donazioni di “marco” e “damy2000” L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Pensavate che il Millennium Bug, con la relativa angoscia planetaria per la gestione corretta del cambio di data fra il 1999 e il 2000 da parte dei computer, fosse solo un brutto ricordo o addirittura una bufala? È ancora fra noi.

Dalla mezzanotte del 31 dicembre scorso, i telefonini con Windows Mobile 6.1 e 6.5 e con altri sistemi operativi ricevono talvolta SMS dal futuro, datati 2016. La causa è probabilmente un errore nel software che interpreta i codici usati per rappresentare l’anno negli SMS: secondo i commenti su Slashdot.org, la data negli SMS è in formato BCD mentre altri campi sono in formato esadecimale, per cui è possibile che alcuni software per cellulari (o nei gateway degli operatori) interpretino il codice dell’anno trattandolo come un esadecimale. In alternativa, si tratta di un astutissimo piano per evitare la fine del mondo nel 2012, prevista dal calendario Maya, passando direttamente al 2016.

Su WMexperts c’è una prima possibile pezza non ufficiale (da usare a vostro rischio e pericolo).

In Australia, intanto, alcuni sportelli bancari automatici stanno rifiutando le carte bancarie dei clienti da Capodanno, secondo quanto riferisce il Brisbane Times, perché i Bancomat pensano che l’anno corrente sia il 2016 e quindi a loro risulta che tutte le carte degli utenti sono scadute. In Germania è andata molto peggio: secondo Ticinonline, sono inutilizzabili “oltre 20 milioni di carte di credito e debito… legate al circuito Eurocheque… Tra le banche più colpite ci sono la Postbank e la Commerzbank”. Scusate se è poco. Ormai il problema è stato quasi risolto, dopo aver causato gravi disagi, ma secondo il Guardian costerà circa 300 milioni di euro alla società francese Gemaito che produce le carte. Il comunicato stampa dell’azienda insiste a definirla “world leader in digital security”.

Anche gli antivirus sono vulnerabili al Baco del Millennio e Dieci: la suite di sicurezza Symantec Endpoint Protection rifiuta tutti gli aggiornamenti successivi al 31 dicembre 2009 perché li considera scaduti. Il rattoppo temporaneo di Symantec consiste nel pubblicare gli aggiornamenti tenendo la data del 31 dicembre 2009 e incrementando il numero di versione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come mandare un SMS dalla Casa Bianca e altre truffe telefoniche

Come mandare un SMS dalla Casa Bianca e altre truffe telefoniche

Ieri, durante la trasmissione Filo Diretto della Radiotelevisione Svizzera, ho inviato in diretta al conduttore, Enea Zuber, un SMS facendo in modo che il numero del mittente, sul suo telefonino, fosse quello della Casa Bianca (+1(202) 456-1414), con il seguente testo:

Hi Enea, it’s Donald here. When are you coming to see me here at the White House for a good hamburger? Bring Charlie as well!

Ovviamente si tratta di un classico spoofing del numero del mittente, effettuato tramite uno dei tanti servizi disponibili online, e in questo esempio volutamente innocuo l’inganno è molto evidente. Ma se il numero di telefonino che ho simulato fosse stato quello di un amico o familiare di Enea presente nella sua rubrica telefonica, sul telefonino del conduttore sarebbe apparso anche il nome di quell’amico o familiare.

Questo rende estremamente credibile una truffa in cui per esempio il truffatore manda alla vittima un SMS spacciandosi per un familiare che è in viaggio all’estero (informazione facile da trovare grazie ai social network) e dice di essere stato derubato di tutto e di non poter pagare l’albergo, per cui ha bisogno che la vittima gli mandi subito dei soldi tramite Western Union. Le coordinate per il trasferimento di denaro sono nell’SMS e sono ovviamente quelle del conto Western Union del truffatore.

Un altro esempio: il truffatore manda un SMS imitando il numero di telefono della banca della vittima, informandola che c’è un grave problema sul suo conto, che risulta vuoto e chiedendo di richiamare l’assistenza clienti al numero indicato nel messaggio. Il numero è ovviamente quello del truffatore, che chiede alla vittima le coordinate del conto e i codici di accesso dicendo che gli servono per una verifica, e il gioco è fatto.

Se le restrizioni regionali ve lo consentono, potete vedere l’esperimento qui (da 4.21 in poi) oppure (senza restrizioni) qui, insieme a molti consigli su come difendersi dalle truffe telefoniche della giurista Katia Schober-Foletti e del giornalista Francesco Lepori.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telegram “violato”, le precauzioni da prendere

Telegram “violato”, le precauzioni da prendere

Ha fatto scalpore la notizia, pubblicata da Reuters, che dei ricercatori informatici (Collin Anderson e Claudio Guarnieri) hanno denunciato la violazione di alcuni account della popolare app di messaggistica cifrata Telegram appartenenti ad attivisti politici iraniani e sono riusciti a identificare i numeri di telefono di circa 15 milioni di utenti Telegram del paese. L’annuncio ha creato dubbi sull’effettiva riservatezza delle comunicazioni effettuate con quest’app.

Le violazioni sono avvenute sfruttando il fatto che Telegram utilizza gli SMS per abilitare nuovi dispositivi all’uso di un account. Se questi SMS vengono intercettati, per esempio tramite l’operatore della rete cellulare, un intruso può aggiungere un nuovo dispositivo a un account e quindi ricevere i messaggi scambiati dall’utente di quell’account e leggere le cronologie delle chat. Questo significa che Telegram è vulnerabile nei paesi nei quali gli operatori telefonici collaborano strettamente con i governi.

Secondo i responsabili di Telegram, tuttavia, la vulnerabilità è risolvibile evitando di usare gli SMS di verifica e usando al loro posto una password robusta e una casella di mail ben protetta, ossia la verifica in due passaggi introdotta da Telegram l’anno scorso.

L’identificazione di massa degli utenti, invece, è stata liquidata da Telegram come un non problema, perché “sono stati raccolti soltanto dati pubblicamente disponibili” e non sono stati violati gli account. Ma in realtà sapere chi usa Telegram, e saperlo in modo massiccio come in questo caso, è comunque un problema di sicurezza per gli utenti.

Una catalogazione di massa degli utenti Telegram di un paese consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto. Come mai lo fa? Cos’ha da nascondere? In molti paesi il solo fatto di usare app che fanno cifratura è considerato sospetto. Avendo i numeri di telefonino degli utenti Telegram, un governo può non solo identificare gli utenti, ma sapere dove abitano, chi chiamano e dove si trovano. In caso di manifestazione in piazza, per esempio, un governo può usare la rete cellulare per sapere chi ha partecipato e quali dei partecipanti usano Telegram e quindi sono più sospetti.

Come sempre, insomma, si può sapere molto di una persona anche senza intercettare il contenuto delle sue comunicazioni ma sfruttando soltanto i metadati che le descrivono: con chi ha comunicato, a che ora, per quanto tempo, e dove si trovavano gli interlocutori. È meglio tenerlo ben presente prima di fidarsi ciecamente delle promesse di sicurezza offerte dalle app di messaggistica.

Fonti: Sophos, @pwnallthethings.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

“Effective power”, un messaggino manda in tilt iPhone e Apple Watch: come rimediare

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Un difetto in CoreText di iOS consente a una specifica sequenza di caratteri di mandare in crash un iPhone o un Apple Watch e ovviamente molti ne stanno approfittando per sabotare almeno temporaneamente i dispositivi iOS altrui per burla.

Basta mandare questa sequenza (battezzata “effective power”) via iMessage o come normale SMS a un iPhone o a un Apple Watch e, se la funzione di notifiche per i messaggi è attiva (come lo è di solito), il dispositivo che lo riceve si bloccherà per poi riavviarsi e diventare inutilizzabile, secondo le segnalazioni dei media. Nessun dato viene perso o rubato, ma è pur sempre un fastidio.

Per prevenire il problema bisogna andare nelle Impostazioni, scegliere Notifiche e poi Messaggi e disattivare l’opzione di visualizzazione dei messaggi nella schermata di blocco. I messaggi verranno ricevuti ma non verranno visualizzati automaticamente.

Se il guaio è già successo, ci sono alcuni rimedi possibili. Potete chiedere al burlone di mandarvi un altro messaggio innocuo, per esempio. In alternativa, potete mandare un messaggio al mittente o mandare un messaggio al vostro stesso dispositivo (usandone un altro, ovviamente). Normalmente a questo punto l’app Messaggi è bloccata a causa del difetto, per cui bisogna ricorrere a un altro modo per inviare messaggi: per esempio tramite Siri oppure tramite le opzioni di condivisione presenti in molte altre app.

Paradossalmente, in attesa che Apple risolva il difetto, gli iCosi craccati hanno la possibilità di installare una correzione temporanea.

2015/05/29: Apple ha pubblicato una soluzione temporanea (in inglese); intanto emergono indicazioni secondo le quali la stessa vulnerabilità può essere trasmessa tramite Twitter e Snapchat e colpisce anche iPad e computer Apple.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.