Questo articolo è disponibile anche in
versione podcast audio.
Non tutti i criminali informatici sono dei geni del male. Pochi giorni fa un
aspirante truffatore ha tentato di prendersela con me e rubare il mio account
Instagram. Non è andata come sperava, e la sua disavventura mi offre
l’occasione di ripassare un paio di trucchi di sicurezza e di trappole di
Instagram che è meglio conoscere per difendersi. Ma c’è anche parecchio da
ridere.
Tutto comincia con una trappola classica. Un mio conoscente su Instagram mi
manda un messaggio privato usando un italiano improbabile: “voglio disturbarti affatto, ma ho bisogno del aiuto per qualcosa, per
favore”, condito con vari emoji di supplica. Gli chiedo come lo posso aiutare.
Lui risponde così:
“Sto cercando di iscrivermi con il mio Instagram il mio nuovo telefono e
Instagram non mi permette che mi hanno mostrato 2 amici che posso contattare
per aiutarmi a ricevere un link. Per favore, se ricevi il link mandamelo
così posso effettuare il login”.
Nei suoi messaggi successivi mi spiega insistentemente che dovrei ricevere
tramite SMS un link, che dovrei poi mandargli subito. In effetti mi arriva sul
telefonino un SMS che indica come mittente Facebook, dice
“Tocca per accedere al tuo account Instagram” e prosegue con un link
del tipo https://ig.me/ seguito da tante lettere e tanti numeri.
Attenzione: è questa la trappola da evitare. Questo link non va dato
assolutamente a nessuno, perché è un link temporaneo che
permette a chi ce l’ha di prendere il controllo dell’account senza dover
immettere password.
In pratica, un ladro di account ha preso il controllo dell’account Instagram
del mio conoscente e mi sta contattando, fingendo di essere lui. Vuole rubare
anche il mio account, e quindi è andato su Instagram, ha immesso il mio nome
utente nella
schermata di login e
ha cliccato su “Hai dimenticato la password?”, e così Instagram lo ha
portato alla
schermata di reset della password.
Questa schermata è pensata per consentire a un utente di rientrare nel proprio
account anche se non si ricorda la password: cliccando sul pulsante
Invia il link di accesso, l’utente riceve sul proprio smartphone un SMS
che contiene un link temporaneo di accesso diretto. Ma se l’utente manda quel
link a qualcun altro, sarà quel qualcun altro a prendere il controllo del suo
account Instagram.
Purtroppo Instagram commette il grave errore di non includere in questo SMS un
avvertimento che dica chiaramente che il link non va mandato a nessuno. Le
vittime di questa truffa ricevono l’SMS e la richiesta di quello che credono
sia un loro amico che ha bisogno di aiuto e quindi mandano questo SMS
all’impostore. E così si fanno rubare l’account Instagram.
Quindi mi raccomando: se ricevete un SMS contenente un link che invita a
toccarlo per accedere al vostro account Instagram,
non condividetelo con nessuno.
È chiaro, insomma, che sto interagendo con un ladro, e in particolare con un
ladro particolarmente sprovveduto, perché nella mia bio su Instagram c’è
chiaramente indicato che mi occupo di sicurezza informatica e quindi non sono
un bersaglio facile.
A questo punto posso permettermi di giocare un po’ con l’aspirante ladro.
Faccio finta di cadere nella trappola e gli mando un link leggermente
alterato: al posto delle lettere e dei numeri che mi sono arrivati nell’SMS
gli scrivo 1IcIVhfLkRicKR0LL. Qualunque ladro anche solo vagamente
attento dovrebbe notare che le ultime lettere di questo link compongono la
parola rickroll, che è il nome di una burla classica di Internet
descritta in una
puntata precedente di questo podcast. Non solo il ladro non se ne accorge, ma mi ringrazia anche con un
cuoricino.
Passano alcuni minuti, durante i quali il truffatore evidentemente digita
pazientemente il link falso e si rende conto che non funziona. Così mi chiede
di mandargli uno screenshot, probabilmente perché pensa che io sia un
imbranato.
A questo punto decido di dargli corda e fargli perdere tempo credendo di
essere a un passo dal mettere a segno il furto di account. Parte un lungo
dialogo: fingo di non essere esperto, e mi invento le scuse più bislacche.
Cose del tipo
“Non riesco, il telefono mi dice che ho il cirbione vagolato e manca la
notifica di hotlinking. Cosa vuol dire? Non capisco”. E lui, pazientemente, risponde.
“Non hai nulla di cui preoccuparti. Mandami il link dopo di che andrà tutto
bene”.
“Sì, ma cos’è questo cirbione vagolato?” Sono due parole prese dal
lessico fantastico del fumettista Jacovitti. Il truffatore non si rende conto
che lo sto prendendo in giro.
“Non è niente. Mandami il link”, risponde. Gli chiedo scusa, dicendogli
“Mamma mia scusami ma sono molto lento perché ho la malattia della
tafazzite da quando avevo 13 anni ho solo due dita che funzionano”. Lui, imperterrito, insiste. Gli chiedo altre cose assurde:
“Tu stai bene? Hai qualche malattia? Ti piacciono i film dei gladiatori? A
me piace parlare con le persone ma non posso perché ho la tafazzite
contagiosa”.
Niente. Neanche la citazione di malattie inesistenti come la
tafazzite contagiosa o di battute celebri del film
L’aereo più pazzo del mondo gli fa accendere la lampadina. Mi manda uno
screenshot del mio profilo, dicendomi
“Mandami uno screenshot di questa parte del tuo account Instagram ora”.
È una mia impressione o il suo tono comincia a essere esasperato?
Il tempo passa e lo scambio di messaggi prosegue. Gli dico che mi sono
spaventato perché temo che lui sia un hacker e questo mi ha causato problemi
di incontinenza, e lui mi risponde
“Oh, mi dispiace tanto. Ti aiuterò con 1.000€”, dimostrando così che è
una persona in carne e ossa e non un bot o sistema automatico. Poi gli
dico che faccio intervenire la mia inesistente figlia Giuditta e gli mando,
finalmente, il link che continua insistemente a chiedermi. Ma il link che gli
mando è un canary token, ossia un link speciale, che si può creare
gratuitamente per esempio presso
Canarytokens.org e che quando
viene cliccato manda a chi l’ha creato delle informazioni su chi ha cliccato.
In altre parole, se il truffatore clicca sul link, riceverò le sue coordinate:
il suo indirizzo IP, il tipo di telefono che sta usando, e altre informazioni
interessanti. Ma il link è chiaramente riconoscibile, perché contiene il nome
del sito Canarytokens, per cui non mi aspetto che ci caschi. Per
confonderlo e come ulteriore presa in giro, gli dico che Giuditta, la mia
figlia immaginaria che mi sta aiutando, gli ha mandato per errore il link alle
sue foto intime e gli chiedo di non guardarle.
Ovviamente il truffatore non resiste alla tentazione e clicca sul link. Mi
arrivano le informazioni su di lui. Risulta che usa un iPhone e che il suo
indirizzo IP è svizzero, ma è quello di un servizio di VPN, per cui
probabilmente l’aspirante ladro di account sta altrove [probabilmente in Nigeria, a giudicare dal parametro en_NG, che è il locale di quel paese; la dicitura “Instagram phisher” l’ho generata io come promemoria della funzione di questo token].
A questo punto l’ho già tenuto in ballo per oltre un’ora, e ho ottenuto tutto
quello che mi serviva, per cui lancio la burla finale: “BUONGIORNO” gli
scrivo
“QUESTO È IL SERVIZIO SVIZZERO DI SICUREZZA DIGITALE. QUESTO ACCOUNT VIENE
MONITORATO. SIGNOR MONI
[è questo il nome dell’account rubato]
LEI È PREGATO DI IDENTIFICARSI CON UNA IMMAGINE DI UN DOCUMENTO DI IDENTITÀ
E DI PRESENTARSI ALLA CENTRALE DI SICUREZZA DI EGERKINGEN ENTRO 24 ORE PER
UN INTERROGATORIO. FIRMATO AGENTE HUBER.”
Improvvisamente cala il silenzio. Il truffatore non si fa più vivo; non
risponde ai miei messaggi successivi. Gli lascio un messaggio di congedo, nel
quale gli spiego chi sono e che ho
raccontato
il suo tentativo di furto in diretta su Twitter per far divertire chi mi
legge. Gli dico anche che so benissimo che lui è un criminale che sa bene che
sta commettendo un reato e aggiungo che spero che la conversazione gli sia stata di
lezione: le vittime, insomma, a volte sanno reagire.
Per me la vicenda sarebbe finita, ma a sorpresa, alcune ore più tardi, mi
chiede ancora di mandargli il link. Probabilmente sta gestendo
contemporaneamente vari tentativi di truffa e ha perso il filo del discorso.
Decisamente non tutti i criminali sono geni del male. Siate più svegli di
loro.
Se vi interessa l’intera conversazione che qui vi ho riassunto, gli screenshot
sono qui sotto. Buon divertimento e prudenza.
Fonti aggiuntive: Punto Informatico, Mobileworld.it.
