Vai al contenuto
Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

Podcast del Disinformatico RSI 2021/07/16: La seduttrice informatica assetata di bitcoin

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre
della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra
disposizione presso
www.rsi.ch/ildisinformatico (link diretto)
ed è ascoltabile anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

—-

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e
delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze
misteriose; due resteranno. Provate a indovinare quali. È importante, perché
storie come questa succedono realmente e possono capitare a tutti. 

—-

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica
statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma
di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo
vero nome), è un single che, come tante altre persone, usa app di incontri
come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il
profilo di un donna che si descriveva in una maniera che ha colpito la sua
attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente
due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin,
ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto
che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo
svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del
mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune
di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una
caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento
aveva un aspetto leggermente differente da quello che aveva visto nelle sue
foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto
reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi
genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000
dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa
di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che
Sara era tutto sommato poco interessata a bere: mostrava molto più interesse
per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi
si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla
toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di
mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma
aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che
la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è
svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il
portafogli, le carte di credito e i documenti personali dell’uomo erano ancora
al loro posto. In casa non erano spariti soldi, computer o altri oggetti di
valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i
propri account: ha visto che qualcuno aveva tentato di fare acquisti di
criptovalute usando il suo conto corrente bancario e di effettuare prelievi di
bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore
stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai
quali non interessavano i soldi che aveva in casa o le carte di credito.
Interessavano soltanto le password che proteggevano i suoi conti in
criptovalute. Quelle password erano custodite nel suo smartphone: quello che
mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di
Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel
ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli
aveva messo nel bicchiere approfittando della visita di Mark alla toilette.
Una sostanza di quelle che appunto notoriamente causano perdita di inibizione
e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai
danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era
un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le
vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro
smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene
passato a un altro componente della banda che si occupa di estrarne tutti i
dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è
molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso
alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro
telefonino sbloccato può accedere alla vostra casella di mail e intercettare
tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail
permette di ricevere i link inviati dai siti degli account dei social network
e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e
prenderne quindi il controllo cambiandone la password. Ma questo è soltanto
l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro
telefonino possa essere considerato così prezioso dai malviventi da spingerli
addirittura a organizzare una seduzione mirata, con tanto di incontro in carne
e ossa con un membro della banda, soltanto per rubare quel dispositivo e
farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che
avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di
autenticazione di banche e altri account che controllano denaro. Sul
telefonino c’è anche l’app di autenticazione, per esempio Google
Authenticator, che genera i codici usa e getta di questi account. E quindi
avere lo smartphone sbloccato di una vittima significa avere tutto quello che
serve per superare anche la cosiddetta autenticazione a due fattori usata
dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la
password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice
ti induce a rivelare quello che sai e si porta via quello che hai,
l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli
account di criptovalute che gestiva, ma non aveva considerato il fattore
umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano
disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di
incontri e immettendo in questi account parole chiave che attirano vittime
facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a
cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti,
infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne
vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle
bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono
riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in
uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva
protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o
chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e
gestite da persone differenti. Per fare un trasferimento di denaro servono
almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la
prassi standard per la gestione dei conti correnti nelle grandi aziende, e
rende difficilissima la tecnica della seduzione: i malviventi dovrebbero
riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una
variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per
indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora
l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle
criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato
buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono
estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

  • Se date appuntamento a una persona sconosciuta che avete contattato su un sito
    di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di
    telecamere le cui registrazioni possano essere consultate dalle autorità se
    qualcosa va storto.
  • Confrontate sempre la foto della persona nel profilo con l’aspetto della
    persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa
    persona, è il caso di allarmarsi.
  • Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da
    sconosciuti o persone incontrate da poco.
  • Limitate il vostro consumo di alcolici quando siete in un incontro di questo
    tipo.
  • Mettetevi sempre d’accordo con una persona fidata che sappia del vostro
    appuntamento e agisca se non vi sente entro un certo orario.
  • E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le
    criptovalute.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Una truffa Bancomat da conoscere per evitarla

Una truffa Bancomat da conoscere per evitarla

Credit: yatsenkoalexey / VectorStock.

Ho ricevuto da un lettore, Filippo (che ringrazio), la segnalazione di una truffa riguardante i Bancomat che credo sia importante conoscere per evitare di esserne colpiti, perché è talmente sofisticata da poter ingannare anche utenti particolarmente attenti. La riassumo qui con il suo permesso.

Filippo ha ricevuto ieri una chiamata sul suo cellulare da un numero che corrisponde al numero verde dell’assistenza clienti della sua banca.

Una voce maschile distinta e gentilissima gli ha detto che stava chiamando dalla banca per un problema relativo al rinnovo del bancomat di Filippo in scadenza. Ha spiegato che per errore il bancomat nuovo era stato spedito ad un indirizzo sbagliato ed era ritornato in banca.

La voce ha quindi chiesto conferma dei dati di Filippo, elencando vari dati personali, compresi nome, cognome, numero di conto corrente, città di residenza, via e numero civico. Era tutto giusto, tranne una cifra del numero civico, che Filippo gli ha corretto.

Dopodiché, sempre con toni gentilissimi e amichevoli, l’uomo al telefono ha spiegato che a Filippo sarebbe arrivato un PIN nuovo via SMS e gli ha chiesto di rispondere, per sicurezza e autenticazione, mandando il PIN vecchio, sempre via SMS. L’uomo ha precisato che se Filippo non si fidava non c’era alcun problema: la procedura telefonica sarebbe stata bloccata e Filippo, presentandosi in banca, avrebbe ricevuto un’altra tessera.

Filippo ha accettato, dopo qualche esitazione. Gli è arrivato un SMS, stavolta da un numero non verde, ha risposto inviando il suo PIN e poi gli è arrivato il nuovo PIN. La telefonata si è chiusa cordialmente con l’assicurazione che il bancomat gli sarebbe arrivato entro due giorni lavorativi.

Filippo ha avuto la sensazione di qualcosa di storto e così ha chiamato il servizio clienti della banca (allo stesso numero verde dal quale aveva ricevuto la chiamata). La banca gli ha confermato che era stato vittima di una truffa e ha bloccato la carta prima di qualunque addebito. Filippo ha poi sporto denuncia in polizia.

Non è finita: nel primo pomeriggio gli è arrivata una nuova chiamata, da un numero non verde, da una persona che ha detto di essere un agente di polizia postale che stava seguendo la pratica del suo tentativo di truffa. Filippo ha riattaccato.

Parlando con la banca (quella vera) e con gli agenti (quelli veri), a Filippo risulta che la truffa probabilmente si è svolta in questo modo:

  • i truffatori sono entrati in possesso della busta con il suo bancomat nuovo, che viaggia con posta ordinaria e ha lo stesso PIN della tessera vecchia;
  • con un po’ di ricerche online sono riusciti a trovare informazioni aggiuntive su di lui;
  • hanno chiamato Filippo camuffando il numero del chiamante in modo da far sembrare che fosse quello della banca (non è difficile);
  • visto il blocco immediato della carta, hanno riprovato spacciandosi per la polizia.

Come vedete, il livello di sofisticazione di queste truffe è molto alto: sono stati usati tutti i trucchi tecnici e di social engineering per conquistare la fiducia della vittima. Non è facile resistere, ma bisogna ricordarsi la regola fondamentale: mai dare il proprio PIN a nessuno, per nessun motivo, anche se si presenta con tutte le credenziali in ordine. Nessun operatore umano, neanche quello della vostra banca, è tenuto a conoscere il vostro PIN.

“La sensazione che si prova quando si capisce di essere stati truffati è disarmante”, mi scrive Filippo. “A me è andata bene, ma vorrei che quello che mi è successo avesse la maggior diffusione possibile per aiutare e per informare tutti.” Prudenza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Storia di un attacco informatico a un gestore di bancomat: quanto conta la psicologia

Storia di un attacco informatico a un gestore di bancomat: quanto conta la psicologia

Ultimo aggiornamento: 2019/01/28 22:20.

Redbanc, la società che gestisce la rete interbancaria dei bancomat in Cile, è stata attaccata, probabilmente da intrusi legati a un governo straniero, con una tecnica che è meglio conoscere per evitare di esserne vittima.

Tutto è cominciato con un annuncio su LinkedIn che offriva posti di lavoro per sviluppatori. Un dipendente di Redbanc ha risposto all’annuncio e ha tenuto un colloquio preliminare via Skype con l’azienda che aveva pubblicato l’offerta di lavoro. Durante il colloquio, gli interlocutori hanno inviato via Skype al dipendente un link a un file denominato ApplicationPDF.exe. Il dipendente lo ha aperto.

Il nome del file faceva pensare a un modulo da compilare, e in effetti sullo schermo del dipendente è comparsa una finestra di dialogo nella quale immettere i suoi dati, ma si trattava in realtà di un malware, PowerRatankba, descritto in dettaglio dalla società di sicurezza informatica Flashpoint.

Il dipendente ha eseguito il malware su un computer collegato alla rete di Redbanc, dandogli così la possibilità di esplorare in lungo e in largo la rete aziendale. Dopo qualche tempo la sicurezza interna dell’azienda ha scoperto l’intrusione e l’ha bloccata, ma ha dovuto annunciare pubblicamente il misfatto, con grave imbarazzo e una pessima figura.

L’aspetto interessante di questo attacco è il canale usato per recapitare il malware: se fosse stato il solito allegato a una mail, probabilmente il dipendente si sarebbe insospettito, perché ormai è noto che gli allegati alle mail possono essere pericolosi. Ma un colloquio via Skype ha invece stabilito un rapporto personale e ha messo il dipendente sotto pressione psicologica: chi se la sentirebbe, durante un colloquio per un possibile nuovo impiego, di esprimere dubbi sulla credibilità dell’azienda interlocutrice e rifiutarsi di compilare un modulo? Tutto questo ha abbassato le difese del malcapitato.

Siate prudenti, specialmente se lavorate in un settore vitale come quello dei sistemi bancari.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lezioni di sicurezza, la Sanremo edition

Lezioni di sicurezza, la Sanremo edition

“Per intrufolarci al Festival di Sanremo ci serve un pass! Come facciamo a falsificarne uno? Ci servirebbe un’immagine molto nitida del pass. Ma dove la troviamo? Siamo fregati!”

(guarda Twitter)

“Aspetta….”

Sicurezza degli accessi, lesson one: mai e poi mai lasciare i pass e i badge in bella vista, e mai e poi mai fotografarli da vicino o lasciare che vengano fotografati.

Anche nel caso di dispositivi a chip o banda magnetica, una persona che indossa un pass, specialmente se lo fa con disinvoltura, viene considerata automaticamente affidabile da chiunque incontri, per cui può sempre scroccare un’apertura di porta dicendo “Scusa, non mi funziona il pass, mi aiuti?”. Specialmente se è una donna attraente.

2019/01/14 21:10

Aggiorno questo articolo con la triste notizia dell’uccisione di Pawel Adamowicz, sindaco di Danzica, accoltellato durante un evento di beneficenza da un uomo che “si era impossessato di un pass stampa per accedere all’evento”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Difendersi dai ricattatori sessuali su Internet

Questo articolo vi arriva grazie alla gentile donazione di “angelagabri*”.

Ieri, proprio mentre ero in una scuola di Locarno a raccontare agli studenti come riconoscere i tentativi d’inganno, di attacco e di molestia via Internet, è arrivata la notizia del fermo di un uomo di 47 anni, residente nella zona di Berna, per molestie sessuali, atti sessuali con fanciulli e ricatto.

I reati sono stati compiuti selezionando via Internet le vittime (adolescenti maschi fra i 15 e i 17 anni) con una tecnica micidiale: per due anni, sui social network (in particolare Facebook), l’uomo fingeva impunemente di essere una ragazzina (usando foto raccolte in Rete) e offriva materiale pornografico ai ragazzi presi di mira. Difficile resistere alle lusinghe di una ragazzina disinibita: i giovani venivano così convinti a ricambiare l’offerta esibendosi davanti alla webcam. Le loro attività venivano registrate e poi usate come arma di ricatto da parte del pedofilo, sfociando in incontri di persona.

I ragazzi hanno esitato a lungo prima di denunciare i fatti: come avviene spesso in questi terribili casi, la vittima si vergogna di essere caduta nella trappola, teme di essere ulteriormente umiliata se il suo comportamento viene reso pubblico e quindi non ne parla con nessuno, men che meno con i genitori. Il pedofilo crea insomma una situazione dalla quale la vittima non vede alcuna via d’uscita e questo consente alle molestie di protrarsi.

Ma quando questi crimini avvengono via Internet lasciano delle tracce digitali molto chiare, che gli esperti sanno analizzare, non solo per identificare i colpevoli ma anche per confermare, in prima istanza, le accuse dei minorenni coinvolti, che spesso temono di non essere presi sul serio. Internet aiuta i molestati a dimostrare i fatti terribili che raccontano, come ho suggerito in un’intervista [2018/10: link non più funzionante] per il telegiornale della RSI.

Vale, come sempre, la regola di fondo: mai fare davanti a una webcam o a qualunque fotocamera o telecamera nulla che non si farebbe sulla pubblica piazza, neanche quando si crede di conoscere l’interlocutore. Purtroppo molti utenti, non solo giovani, non sanno quanto è facile creare false identità in Rete, si fidano troppo, credono spesso di essere abbastanza furbi da riconoscere un impostore e non immaginano che qualcuno possa essere così vile da circuirli per settimane e anche mesi prima di far scattare la trappola del ricatto.

E se la trappola scatta, l’unico modo per uscirne è parlarne ai genitori e alle autorità, con il conforto di essere creduti grazie alle tracce lasciate inevitabilmente in Rete dai tormentatori.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Sì, le chiavette USB lasciate in giro come esca funzionano

Sì, le chiavette USB lasciate in giro come esca funzionano

È un espediente usato spesso nelle trame dei film e telefilm quando si vuole mostrare un tentativo di intrusione informatica: lasciare nelle vicinanze dell’azienda o della persona presa di mira delle chiavette USB che facciano da esca e poi attendere che il bersaglio le trovi e, mosso da curiosità, le infili in un computer, in modo che il malware contenuto nelle chiavette possa infettarlo e poi rubare dati o compiere altre nefandezze.

La tecnica è stata mostrata, per esempio, in una puntata della prima stagione di Mr. Robot, telefilm-culto fra gli informatici per il realismo delle modalità d’intrusione digitale che mostra. Ma questa storia delle chiavette è davvero credibile? La gente è davvero così curiosa e ingenua?

Purtroppo sì: pochi giorni fa, al convegno statunitense BlackHat, Elie Bursztein di Google ha presentato i risultati di un esperimento nel quale quasi 300 chiavette USB sono state lasciate in giro nel campus della University of Illinois Urbana-Champaign. Il 98% delle chiavette è stato raccolto (la prima solo sei minuti dopo il piazzamento) e il 45% è stato non solo inserito in un computer connesso a Internet ma sfogliato cliccando sui suoi file.

Le chiavette disseminate sono state etichettate con nomi diversi (“esami”, “confidenziale”, con chiavi e indirizzo del proprietario, oppure senza alcuna indicazione) per vedere quali nomi erano più allettanti. La buona notizia è che le chiavette che recavano le coordinate del proprietario sono state quelle meno aperte.

Alle cavie dell’esperimento è andata bene, perché sulle chiavette c’era solo un innocuo sondaggio tracciante, ma Bursztein ha mostrato come sarebbe stato possibile camuffare come chiavetta USB un emulatore di tastiera che poteva prendere il controllo del computer. Mai fidarsi, insomma, delle chiavette trovate in giro, neanche se hanno l’aria di contenere informazioni golose.

Fonte aggiuntiva: Tripwire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come rubare un profilo Facebook senza essere esperti informatici

Come rubare un profilo Facebook senza essere esperti informatici

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/07/05 14:25.

Di solito mi capita di raccontare attacchi informatici basati su vulnerabilità del software usato dagli utenti o su difetti nella sicurezza tecnica dei social network, ma stavolta ho da raccontare un altro approccio, che serve come chiaro promemoria di una cosa fondamentale: siccome noi utenti per i social network siamo soltanto mucche da mungere, a loro della nostra sicurezza non importa praticamente nulla.

Se i nostri post intimi, che abbiamo impostato come privati perché sono appunto privati, finiscono per diventare pubblici per errore, rovinando un’amicizia o un amore o una carriera, il problema è soltanto nostro, non loro. Quindi pensateci bene prima di affidare a un social network qualunque informazione personale, perché per rubarla non ci vuole nemmeno una gran competenza informatica. Basta chiedere educatamente.

Lo sa bene Aaron Thompson, un ventitreenne che vive nel Michigan. Il 26 giugno scorso si è accorto che non poteva più accedere al proprio account Facebook e che l’indirizzo di mail e i numeri di telefono associati all’account erano stati cambiati.

Ha guardato la propria mail e vi ha trovato uno scambio di messaggi fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account. L’intruso, per evitare la verifica in due passaggi (autenticazione a due fattori), aveva mandato una richiesta di aiuto all’assistenza clienti di Facebook, dicendo che aveva perso l’accesso al proprio numero di telefonino e chiedendo di disattivare l’approvazione degli accessi e il generatore di codici. La richiesta dell’intruso non proveniva dall’account di posta di Thompson (“the hacker didn’t have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from.”).

La risposta automatica dell’assistenza clienti era stata molto semplice: l’interlocutore doveva dimostrare di essere il vero Aaron Thompson mandando una scansione di un documento d’identità.

L’intruso aveva risposto mandando questa immagine (alcuni dati sono oscurati nell’immagine qui sotto, ma non lo erano nell’originale inviato a Facebook):

Nessuno dei dati sul passaporto era esatto, a parte il nome, eppure questo è bastato a Facebook per “verificare” l’identità e disattivare tutte le protezioni sull’account di Thompson, cedendone il controllo all’intruso. Facebook poteva confrontare le informazioni nell’account con quelle nel finto passaporto, ma non ha fatto neanche quello.

La motivazione del furto dell’account era probabilmente economica: Thompson ha una serie di pagine Facebook che hanno vari milioni di “Mi piace”, altamente monetizzabili per esempio per uno spammer. Ma l’intruso si è limitato a inviare alcune foto oscene e qualche insulto.

Per riavere il controllo del proprio account su Facebook, Thompson ha dovuto raccontare pubblicamente la propria disavventura su Reddit. La notizia che basta un documento falso per convincere Facebook a disabilitare la verifica in due passaggi, cambiare la mail associata all’account e cambiare la password si è diffusa rapidamente.

Facebook è intervenuta, come racconta Motherboard, e ha ripristinato la situazione, dicendo che “aver accettato questo documento d’identità è stato un errore che ha violato le nostre prassi interne”. Sì, però nel frattempo è successo. Ricordatevelo. E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cinque attacchi informatici incredibilmente stupidi ma veri

Cinque attacchi informatici incredibilmente stupidi ma veri

Avete mai combinato un pasticcio informatico? Capita a tutti, non vi preoccupate. Consolatevi con questa serie di epic fail da parte di gente che in teoria dovrebbe saper gestire i dati digitali e invece s’è fatta fregare per inettitudine o maldestrezza.

Direttore CIA mette dati riservati su AOL

È di pochi giorni fa la notizia della presunta violazione della casella di mail del direttore della CIA John Brennan da parte di alcuni giovani informatici che su Twitter si fanno chiamare @_CWA_ e @phphax e che avrebbero prelevato da questa casella documenti riservati (contenenti nomi e altri dati di dipendenti dei servizi di sicurezza statunitensi, registri di telefonate con funzionari della Casa Bianca, il modulo di richiesta di verifica delle credenziali di sicurezza e altro ancora), pubblicandoli poi su Twitter e su Wikileaks.

Ma la vera notizia è che la casella di mail in questione non risiede sui server superprotetti della CIA: sta su AOL, un comune fornitore d’accesso Internet commerciale. Il direttore della CIA avrebbe insomma depositato documenti confidenziali presso un normale fornitore commerciale di accesso a Internet a basso prezzo.

Se confermato, sarebbe un gesto di stupidità monumentale in termini di sicurezza, che però sarebbe battuto dall’ingenuità delle misure di sicurezza di AOL. Gli intrusi avrebbero infatti ottenuto accesso alla casella di mail di Brennan usando dati pubblicamente reperibili per fingere di essere lui, contattare il servizio clienti di AOL e farsi inviare un ripristino della password, secondo la tecnica classica del social engineering, e descrivono tutti i dettagli della loro incursione.

Può sembrare poco credibile che il direttore della CIA commetta simili passi falsi, ma non è la prima volta che capita qualcosa del genere: nel 2013 furono violate, saccheggiate e pubblicate varie caselle di mail dei familiari dell’ex presidente degli Stati Uniti George H. W. Bush (nonché ex direttore della CIA). Indovinate dove erano custodite queste caselle? Sempre presso AOL.

La Banca d’Inghilterra spedisce piani segretissimi via mail

Un altro mirabile esempio di violazione della sicurezza informatica incredibilmente stupido arriva dal Regno Unito: in questo caso l’aggressore non ha dovuto fare nulla e anzi non c’è, perché il danno l’ha fatto tutto la vittima della fuga, ossia niente meno che la Banca d’Inghilterra.

A maggio 2015 il capo ufficio stampa della Banca, Jeremy Harrison, ha trasmesso via mail il Project Bookend, ossia i piani segretissimi d’emergenza per gestire un’eventuale uscita del Regno Unito dall’Unione Europea. Li ha trasmessi in chiaro, senza proteggerli neanche con una password o men che meno con un pizzico di crittografia. Non solo: li ha trasmessi al destinatario sbagliato. E fra tutti i destinatari possibili è riuscito a digitare l’indirizzo di mail di un redattore del giornale The Guardian, che ha prontamente reso nota la cosa.

Come è stato possibile un disastro simile? Merito del completamento automatico degli indirizzi. La soluzione adottata dalla Banca d’Inghilterra per evitare che imbarazzi del genere capitino di nuovo è altrettanto epica nella sua follia: invece di educare gli utenti a usare la crittografia o altri canali di trasmissione più sicuri per i documenti sensibili, ha fatto disabilitare il completamento automatico degli indirizzi di mail a tutti i dipendenti, col risultato che ora “tutti alla Banca d’Inghilterra devono faticosamente digitare ogni singolo carattere di ogni singolo indirizzo di mail che scrivono”.

Intrusione tramite…bollitore?

Restiamo nel Regno Unito: cosa ci può essere di più squisitamente inglese di un attacco informatico eseguito tramite i bollitori per il tè? Una marca di questi bollitori ha infatti messo in vendita iKettle, ossia un bollitore per l’acqua del tè che è comandabile a distanza tramite un’app per telefonini iOS o Android, in modo da far risparmiare al proprietario dei secondi preziosi quando si alza al mattino o quando rientra (lo so, lo so, problemi da primo mondo). Ma questo comando a distanza viene inviato via Wi-Fi ed è facilmente manipolabile per rivelare la password del Wi-Fi dell’utente.

“Se il bollitore non viene configurato,” spiegano gli esperti della società di sicurezza Pen Test Partners con dovizia di dettagli, “è banale per gli aggressori localizzare la casa e prendere il controllo del bollitore… mando due comandi e il bollitore mi rivela la password [del Wi-Fi] in chiaro.” La società ha anche creato una mappa londinese dei bollitori informaticamente vulnerabili, ma ha scelto di non divulgarla.

USA, dati personali 21 milioni di dipendenti governativi saccheggiati per un anno

Una delle più grandi violazioni di dati governativi della storia degli Stati Uniti è stata resa nota a giugno 2015. I dati personali di circa 21 milioni di dipendenti o ex dipendenti del governo americano (nomi, cognomi, date e luoghi di nascita, indirizzi, impronte digitali, stipendi, informazioni sui familiari, valutazioni psicologiche e altro) sono stati sottratti dagli archivi dell’Office of Personnel Management (OPM). Gli intrusi sono rimasti nel sistema informatico per almeno un anno.

Lo scopo del furto è probabilmente l’acquisizione di informazioni sui dipendenti governativi statunitensi da parte di una potenza straniera; queste informazioni possono essere sfruttate per ricattare i dipendenti oppure per identificare gli agenti governativi in incognito (avendo le loro impronte, anche se cambiano identità sono comunque tracciabili).

Anche qui gli aggressori sono entrati nei sistemi informatici usando, a quanto risulta dalle indagini, la tecnica del social engineering abbinandola alla totale mancanza di protezioni moderne, dovuta al fatto che alcuni dei sistemi hanno più di vent’anni e sono quasi impossibili da sostituire o aggiornare per dotarli di autenticazione a più fattori; oltretutto il governo statunitense rifiuta da anni di assegnare fondi significativi alla sicurezza informatica dell’OPM.

Audio porno inarrestabile dagli altoparlanti del grande magazzino

Per finire, un “attacco informatico” decisamente atipico: un centro commerciale Target vicino a San Jose, in California, è stato “attaccato” diffondendo l’audio esplicito di un video pornografico attraverso gli altoparlanti interni del grande magazzino. Mentre i dipendenti ridevano e riprendevano la scena con i telefonini, molti clienti sono scappati per l’imbarazzo e per non rispondere alle domande dei bambini che chiedevano di spiegare cos’erano i gemiti che riecheggiavano nelle corsie e sono proseguiti per almeno un quarto d’ora prima che qualcuno trovasse la maniera di zittirli.

Inizialmente era stato ipotizzato che qualche dipendente avesse deciso di guardare video a luci rosse sul computer del centro commerciale usato per la gestione degli altoparlanti, ma poi si è scoperto che l’attacco non è stato il solo del suo genere: analoghi fenomeni sono avvenuti almeno tre altre volte in in altri centri commerciali della stessa catena.

Alla fine è emersa una falla di sicurezza davvero demenziale: i centralini telefonici digitali dei negozi della catena Target hanno un numero interno che è chiamabile da fuori e diffonde la telefonata direttamente sugli altoparlanti senza poter essere escluso. È andata tutto sommato bene, perché gli intrusi avrebbero potuto approfittare del controllo totale che avevano per diffondere falsi allarmi e creare panico.

Come tutte le altre storie di violazione informatica raccontate in questa carrellata, anche questa è un buon promemoria del fatto che qualunque vulnerabilità, anche la più nascosta, prima o poi verrà trovata e sfruttata, ma in molti casi la vittima non ha preso neppure le misure di sicurezza minime di buon senso e soprattutto non ha pensato che quando si introduce una funzione nuova in un sistema informatico bisogna chiedersi sempre se per caso quella funzione possa essere abusata.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Violati gli account Twitter di Tesla Motors ed Elon Musk; Teslamotors.com inaccessibile

Violati gli account Twitter di Tesla Motors ed Elon Musk; Teslamotors.com inaccessibile

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mind-deto*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

Stanotte ignoti hanno preso il controllo degli account Twitter autenticati di Tesla Motors (@teslamotors) e dello stesso Elon Musk (@elonmusk). Gli aggressori hanno pubblicato dei tweet contenenti un numero di telefono di una persona, con l’invito a chiamare il numero per ricevere una Tesla gratis. A giudicare dallo scambio di messaggi e da alcuni commenti, sembra che si tratti di una sorta di ripicca verso l’utente di cui è stato pubblicato il numero, fatta allo scopo di bombardarlo di telefonate di persone che gli chiedono una Tesla in regalo.

Gli account sono tornati alla normalità, ma in questo momento chi visita il sito Teslamotors.com da un browser si trova rediretto su una pagina parodistica piuttosto grossolana.

2015/04/27: Business Insider ha pubblicato un’analisi della tecnica d’attacco usata dagli aggressori: un classico social engineering.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Carcerato manda via mail un falso ordine di scarcerazione: lo rilasciano

Carcerato manda via mail un falso ordine di scarcerazione: lo rilasciano

Credit: Wikipedia.

È abbastanza normale che una mail sbagliata o truffaldina porti in carcere il suo mittente; è un po’ meno normale che una mail fraudolenta faccia uscire di prigione chi è già dentro. Ma è quello che è successo incredibilmente a Neil Moore, detenuto per truffa nel carcere britannico di Wandsworth.

Secondo quanto racconta la BBC, il ventottenne ha usato un telefonino, che si era procurato illegalmente, per creare un nome di dominio molto simile a quello usato dal tribunale per la corrispondenza ufficiale. Come intestatario del dominio ha usato il nome di un vero funzionario del tribunale.

Fatto questo, ha creato una casella di mail su quel dominio e l’ha usata per inviare al servizio di gestione dei carcerati una mail falsa nella quale ordinava la propria scarcerazione. I dipendenti del carcere hanno eseguito l’ordine senza batter ciglio e Moore è stato rilasciato dal carcere.

La sua libertà ottenuta via mail è durata poco: l’uomo si è costituito tre giorni più tardi. Secondo le autorità inquirenti, la sua impresa è un caso di “inventiva criminale straordinaria, doppiezza e creatività”. Ma sembra che nessuno si sia chiesto perché il carcere accetti ingenuamente ordini di scarcerazione inviati tramite semplici mail non autenticate.

Moore, fra l’altro, non era nuovo a questo genere di tecnica: aveva già usato quattro identità differenti per fingersi membro del personale di varie banche per convincere alcune grandi organizzazioni a mandargli ingenti quantità di denaro, riuscendo a intascare quasi due milioni di sterline (circa 2,8 milioni di franchi svizzeri o 2,7 milioni di euro). Come sempre, per una truffa di successo non basta che ci sia un dritto: serve anche che dall’altra parte ci sia un pollo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.