Buone notizie sul fronte della lotta al crimine informatico: l’Interpol ha annunciato di aver identificato circa 3000 sospettati, arrestato circa 2000 operatori, truffatori e riciclatori di denaro, congelato circa 4000 conti correnti e intercettato circa 50 milioni di dollari di fondi illeciti. Questi, perlomeno, sono i dati preliminari dell’operazione First Light 2022, che è iniziata a marzo scorso e si è conclusa ai primi di maggio, coinvolgendo 76 paesi.

Le forze di polizia che hanno partecipato all’operazione hanno perquisito i call center dai quali si sospetta che partissero truffe telematiche di tutti i generi, dal romance scam (il finto corteggiamento che si conclude con una richiesta di denaro per un’emergenza inesistente) alle frodi bancarie online. Paradossalmente, l’Interpol segnala che sono in aumento i criminali che si fingono funzionari dell’Interpol e si fanno dare denaro dalle vittime che credono di essere sotto indagine.

L’annuncio dell’Interpol è interessante non solo per la vastità dell’azione di polizia, ma anche per la varietà delle tecniche di raggiro descritte. 

Per esempio, a Singapore, la polizia ha salvato una persona molto giovane che era stata convinta con l’inganno a fingere di essere stata rapita, mandando ai genitori video in cui mostrava finte ferite e veniva fatta una richiesta di riscatto di un milione e mezzo di euro.

In Papua Nuova Guinea, un cittadino cinese è stato arrestato perché sospettato di aver frodato circa 24.000 vittime, per un totale di circa 34 milioni di euro, usando uno schema Ponzi di vendita piramidale. 

Altri otto sospettati sono stati arrestati, sempre a Singapore, con l‘accusa di aver creato uno schema Ponzi legato alle offerte di lavoro, nel quale le vittime dovevano reclutare altri membri per guadagnare delle commissioni.

L’Interpol sottolinea inoltre il fenomeno in crescita dei money mule, ossia degli utenti che ricevono denaro sui propri conti, credendo di fare un lavoro onesto di intermediazione finanziaria, e scoprono solo in seguito che i soldi ricevuti provengono da reati e che quindi loro sono dei riciclatori inconsapevoli. L’Interpol cita anche il problema delle “piattaforme dei social media che stanno alimentando il traffico di esseri umani, intrappolando le persone in forme di schiavitù lavorativa o sessuale o in prigionia nei casinò o sui pescherecci.”

Naturalmente questi arresti da soli non bastano a fermare le attività criminali di questo genere, anche se sono un aiuto notevole oltre che una consolazione per le vittime. Serve anche una diffusa conoscenza di queste truffe e delle loro tecniche, in modo da saperle riconoscere. Magari voi avete già questa conoscenza, ma qualcuno nella vostra famiglia è più vulnerabile e meno informato. Parlatene e mettete in guardia:

• mai fidarsi dei contatti esclusivamente telefonici o via mail o messaggi; 
• mai dare informazioni personali, anche se sembrano poco pericolose, se non si è sicurissimi dell’identità dei propri interlocutori;
• mai inviare denaro a nessuno, non importa quanto sia commovente la sua storia o quanto sia promettente la sua offerta di moltiplicare questo denaro;
• mai accettare proposte troppo belle per essere vere;
• nel dubbio, fermatevi, non fatevi mettere fretta da nessuno e chiedete aiuto a una persona fidata
• e per finire, se un amico o un familiare vi dice che forse qualcuno sta cercando di truffarvi, ascoltatelo: come dice Paul Ducklin della società di sicurezza informatica Sophos, non lasciate che i truffatori vi separino dalle persone che amate, oltre che dai vostri soldi.
  

È disponibile il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto. Come la puntata precedente, questa è l’edizione estiva, nella quale mi metto comodo e racconto una storia sola in ogni puntata ma la racconto in dettaglio.

Il podcast di oggi, insieme a quelli delle puntate precedenti, è a vostra disposizione presso www.rsi.ch/ildisinformatico (link diretto) ed è ascoltabile anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

----

Questa storia inizia con tre ingredienti: uno smartphone, un cuore solitario e delle criptovalute. Uno di questi ingredienti sta per sparire in circostanze misteriose; due resteranno. Provate a indovinare quali. È importante, perché storie come questa succedono realmente e possono capitare a tutti. 

----

Pochi giorni fa Jameson Lopp, della società di sicurezza informatica statunitense Casa Incorporated, ha raccontato [link attualmente non funzionante] sul sito della società una forma di attacco informatico insolita e originale.

Uno dei clienti della società, che chiamerò Mark per comodità (non è il suo vero nome), è un single che, come tante altre persone, usa app di incontri come Tinder per conoscere altre persone. Di recente ha trovato su Tinder il profilo di un donna che si descriveva in una maniera che ha colpito la sua attenzione. Ma non nella maniera che potreste immaginare. Citava semplicemente due parole nella descrizione della propria professione: crypto trader.

Un crypto trader è una persona che fa compravendita di criptovalute: bitcoin, ma non solo. È un mestiere abbastanza raro e Mark è stato attratto dal fatto che la donna, che chiamerò Sara (anche qui, non è il suo vero nome), lo svolgesse, visto che anche lui è un crypto trader.

Così Mark ha contattato la donna su Tinder, dicendole che anche lui era del mestiere; gli sembrava un buon aggancio di conversazione, un interesse comune di cui discutere.

Dopo una chattata su Internet i due hanno deciso di incontrarsi in una caffetteria. Mark ha notato che la donna che si è presentata all’appuntamento aveva un aspetto leggermente differente da quello che aveva visto nelle sue foto su Tinder, ma non si è fatto troppi problemi: tanta gente ha un aspetto reale parecchio differente da quello che pubblica online.

Durante questo primo incontro faccia a faccia Sara ha detto che i suoi genitori le avevano comperato un bitcoin, che aveva un valore di circa 30.000 dollari, ma non ha parlato di criptovalute per il resto dell’incontro.

Dopo una passeggiata insieme, i due si sono messi d’accordo di andare a casa di Mark a bere qualcosa. Hanno comperato degli alcolici, ma Mark ha notato che Sara era tutto sommato poco interessata a bere: mostrava molto più interesse per la musica. Anche qui, tutto sommato, niente di male.

A un certo punto Mark è andato alla toilette, e da quel momento i suoi ricordi si fanno confusi. Ricorda di aver bevuto ancora un po’ dopo essere stato alla toilette. Sara ha preso in mano lo smartphone di Mark e gli ha chiesto di mostrarle come si sbloccava. Mark sentiva che c’era qualcosa di sbagliato, ma aveva perso ogni inibizione e cautela. L’ultima cosa che ricorda di Sara è che la stava baciando, poi più nulla fino all’indomani mattina, quando Mark si è svegliato nel proprio letto.

Sara non c’era più, e non c’era più neppure il telefonino di Mark. Il portafogli, le carte di credito e i documenti personali dell’uomo erano ancora al loro posto. In casa non erano spariti soldi, computer o altri oggetti di valore.

Mark è andato al proprio computer portatile e ha cominciato a controllare i propri account: ha visto che qualcuno aveva tentato di fare acquisti di criptovalute usando il suo conto corrente bancario e di effettuare prelievi di bitcoin in vari siti di custodia di criptovalute. Chiaramente un aggressore stava cercando di svuotargli gli account dedicati alle criptovalute.

Che cosa gli stava succedendo?

Mark era diventato la vittima di una banda di criminali professionisti, ai quali non interessavano i soldi che aveva in casa o le carte di credito. Interessavano soltanto le password che proteggevano i suoi conti in criptovalute. Quelle password erano custodite nel suo smartphone: quello che mancava all’appello.

La sua strana arrendevolezza e perdita di inibizione davanti alla richiesta di Sara di mostrarle come sbloccare il suo smartphone, e la sua confusione nel ricordare gli eventi, erano probabilmente dovute a una sostanza che Sara gli aveva messo nel bicchiere approfittando della visita di Mark alla toilette. Una sostanza di quelle che appunto notoriamente causano perdita di inibizione e di memoria e vengono purtroppo usate solitamente per compiere aggressioni ai danni delle donne, specialmente nei locali pubblici. Stavolta la vittima era un uomo, e l’obiettivo non era un’aggressione fisica.

Sara era probabilmente il membro della banda che si occupava di sedurre le vittime, di drogarle di nascosto e di farsi dire come sbloccare i loro smartphone. Una volta ottenuto l’accesso al telefonino, il dispositivo viene passato a un altro componente della banda che si occupa di estrarne tutti i dati utili.

I criminali, infatti, si stanno rendendo conto che rubare un telefonino è molto remunerativo: questo dispositivo è ormai diventato la chiave di accesso alla vita intera, non solo digitale, di moltissime persone. Chi ha il vostro telefonino sbloccato può accedere alla vostra casella di mail e intercettare tutte le vostre comunicazioni personali e di lavoro. L’accesso alla mail permette di ricevere i link inviati dai siti degli account dei social network e dei servizi finanziari quando si clicca su “Ho dimenticato la password” e prenderne quindi il controllo cambiandone la password. Ma questo è soltanto l’inizio.

Quello che la maggior parte delle persone non si aspetta è che il loro telefonino possa essere considerato così prezioso dai malviventi da spingerli addirittura a organizzare una seduzione mirata, con tanto di incontro in carne e ossa con un membro della banda, soltanto per rubare quel dispositivo e farsene dare i codici di sblocco. Ma c’è un ottimo movente.

Avere il telefonino sbloccato di una persona, infatti, è ancora meglio che avere accesso alla sua mail: sul telefonino arrivano infatti anche gli SMS di autenticazione di banche e altri account che controllano denaro. Sul telefonino c’è anche l’app di autenticazione, per esempio Google Authenticator, che genera i codici usa e getta di questi account. E quindi avere lo smartphone sbloccato di una vittima significa avere tutto quello che serve per superare anche la cosiddetta autenticazione a due fattori usata dagli utenti più attenti: il primo fattore, infatti, è quello che sai (la password) e il secondo è quello che hai (il telefonino). Ma se una seduttrice ti induce a rivelare quello che sai e si porta via quello che hai, l’autenticazione a due fattori non serve più a nulla.

Infatti Mark aveva preso tutte queste precauzioni tecniche per proteggere gli account di criptovalute che gestiva, ma non aveva considerato il fattore umano. Ha sottovalutato l’investimento di risorse che i suoi aggressori erano disposti a fare.

I malviventi, infatti, si organizzano creando falsi account nei siti di incontri e immettendo in questi account parole chiave che attirano vittime facoltose: per esempio i gestori di criptovalute come Mark. Non sono loro a cercare le vittime: è la vittima che si autoseleziona.

Inoltre fanno leva sulle abitudini culturali: in un incontro fra sconosciuti, infatti, normalmente si pensa che la parte vulnerabile sia la donna. Le donne vengono avvisate del pericolo costituito dai farmaci immessi di nascosto nelle bevande: gli uomini no.

Nel caso di Mark, però, c’è un lieto fine, o quasi. Infatti i malviventi sono riusciti a impossessarsi soltanto di una piccola cifra in bitcoin presente in uno dei suoi account perché lui aveva preso un’ulteriore precauzione: aveva protetto i suoi account di maggior valore con un sistema a chiavi multiple.

In questi sistemi, un account finanziario è protetto da più di un codice o chiave di sicurezza. Le chiavi sono custodite su dispositivi separati e gestite da persone differenti. Per fare un trasferimento di denaro servono almeno due chiavi e quindi almeno due persone che siano d’accordo. Questa è la prassi standard per la gestione dei conti correnti nelle grandi aziende, e rende difficilissima la tecnica della seduzione: i malviventi dovrebbero riuscire a sedurre almeno due dei possessori di chiavi contemporaneamente.

Gli esperti di sicurezza sottolineano che questo tipo di trappola è una variante nuova di una tecnica vecchia, il cosiddetto wrench attack, l’attacco con la chiave inglese, nel quale si minaccia di fare del male alla vittima per indurla a obbedire e consegnare password e dispositivi agli aggressori.

Ora l’obbedienza viene ottenuta usando farmaci. 

L’altra novità è che il boom delle criptovalute ha creato molti nuovi ricchi, che non hanno ancora sviluppato buone abitudini di sicurezza e non si rendono conto che bitcoin e simili sono estremamente facili da perdere o da farsi rubare.

Alla luce di questa evoluzione, i consigli di questi esperti vanno aggiornati.

• Se date appuntamento a una persona sconosciuta che avete contattato su un sito di incontri, fatelo sempre in un luogo pubblico, preferibilmente uno dotato di telecamere le cui registrazioni possano essere consultate dalle autorità se qualcosa va storto.
• Confrontate sempre la foto della persona nel profilo con l’aspetto della persona che incontrate in carne e ossa. Se avete dubbi che sia la stessa persona, è il caso di allarmarsi.
• Non lasciate mai incustoditi cibi o bevande e non accettate cibi o bevande da sconosciuti o persone incontrate da poco.
• Limitate il vostro consumo di alcolici quando siete in un incontro di questo tipo.
• Mettetevi sempre d’accordo con una persona fidata che sappia del vostro appuntamento e agisca se non vi sente entro un certo orario.
• E ovviamente non pubblicizzate a sconosciuti il vostro interesse per le criptovalute.

Un bug bounty è una ricompensa che viene offerta da un’azienda o da un ente a chi trova e segnala in modo responsabile una falla o un difetto informatico in un prodotto di quell’azienda o ente. Questi premi servono per incoraggiare gli informatici a cercare queste falle, con il risultato di migliorare la sicurezza del software per tutti gli utenti.

Ovviamente l’informatico che scopre una vulnerabilità è tenuto a non rivelarla a nessuno a parte l’azienda o ente che offre il bug bounty, in modo che sia possibile correggerla prima che diventi nota e venga sfruttata.

Le Poste Svizzere offrono da pochi giorni uno di questi bug bounty, con ricompense da 50 fino a 10.000 franchi. Non è la prima volta che lo fa, ma in questo caso l’iniziativa è aperta a tutti, mentre in passato era accessibile soltanto su invito.

Va notato, in particolare, che le Poste Svizzere offrono un safe harbor, ossia un’immunità da conseguenze legali per chi effettua test e indagini sui sistemi informatici seguendo le regole di un bug bounty. Senza questa tutela giuridica, infatti, una violazione di un sistema informatico sarebbe considerata un reato.

Per maggiori informazioni si può consultare la pagina apposita del sito delle Poste Svizzere, che porta a yeswehack.com/programs/swiss-post, dove è riportato il regolamento del bug bounty e c’è anche una hall of fame.

Le Poste spiegano di aver già trovato 500 vulnerabilità e di aver pagato circa 250.000 franchi in ricompense da quando è stato lanciato il programma, che ha dimostrato di essere efficacissimo, come racconta in dettaglio Sandro Nafzger, responsabile del programma.

A chi non conosce il settore può sembrare strano, e persino immorale, che un’azienda paghi profumatamente degli hacker per penetrare nei suoi sistemi e mostrarne le falle. Ma i bug bounty costano molto, molto meno di un test tradizionale svolto da professionisti e funzionano. Come conseguenza non trascurabile, tengono i talenti informatici al riparo dalle tentazioni del crimine organizzato. 

Secondo i dati pubblicati di recente dalla società di sicurezza Digital Shadows, infatti, le bande specializzate in reati informatici pagano cifre notevoli a chi vende loro accessi a sistemi aziendali. Un semplice initial access broker, ossia una persona che trova una falla in un sistema ma non la sfrutta e invece la rivende ad altri, diventando l’equivalente informatico di una persona che scassina una cassaforte e poi se ne va, lasciando ad altri il compito di vuotarla e riciclare il bottino, può guadagnare in media dai 7000 ai 9000 dollari. E questo genere di attacco è aumentato fortemente per via del lavoro da remoto di molte persone durante questa pandemia.

Questo articolo è il testo, leggermente ampliato, del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questa puntata è ascoltabile qui su RadioInblu.

Immaginate un ladro che vi entra in casa, vede sul tavolo le vostre carte di credito, e le lascia stare perché non gli interessano: va invece dritto verso la console di gioco di vostro figlio. È grosso modo quello che sta succedendo adesso su Internet, secondo i dati di un recente rapporto pubblicato da Akamai.

Il rapporto segnala infatti che la criminalità informatica si sta spostando sempre più verso gli account di videogioco. Dei 55 miliardi di tentativi di abuso di credenziali, ossia di nomi utente e password, rilevati nel corso di un anno e mezzo, ben 12 miliardi hanno riguardato utenti di videogame. Solitamente ai criminali non interessano le coordinate di accesso ai conti bancari o alle carte di credito che di solito sono associate agli account di gioco: vogliono proprio questi account, specialmente quelli di Steam. E i giochi più colpiti sono Fortnite, Minecraft, Clash of Clans e CounterStrike: Global Offensive.

Ci sono varie ragioni per questo interesse così insolito e per questa tendenza crescente. La prima è che gli account di gioco sono meno protetti di quelli bancari e delle carte di credito: pochi giocatori hanno password robuste e uniche e usano sistemi antifurto come l’autenticazione a due fattori. Inoltre le banche e le società che emettono carte di credito hanno sistemi di monitoraggio antifrode molto efficienti, mentre le aziende che gestiscono i videogiochi non sono altrettanto vigili. Rubare un account a un videogiocatore, insomma, è molto più facile che rubare un conto a un correntista.

La seconda ragione è che i ladri di account di gioco rubano e rivendono oggetti virtuali, immateriali, come le armi o gli indumenti rari e speciali per il proprio personaggio. Oggetti di questo genere possono costare centinaia e anche migliaia di euro. Ma alle forze dell’ordine interessa ben poco il furto di un oggetto immateriale. Provate a immaginare di andare in polizia a denunciare che vi hanno rubato un paio di bellissimi guanti digitali, che esistono solo all’interno di un gioco. Capirete che la vostra denuncia probabilmente non andrà in cima alla lista dei casi urgenti da risolvere.

Di conseguenza, i ladri online hanno più convenienza a rubare oggetti virtuali da un account di gioco che carte di credito o conti bancari: per loro è più facile rubarli, è più semplice smerciarli ad altri giocatori, ed è minore il rischio di essere oggetto di indagini.

Un altro motivo di questo boom di furti nei giochi, spiega il rapporto di Akamai, è che gli strumenti informatici per compiere questo tipo di reato costano pochissimo: con venti dollari un criminale può comperare il software che gli permette di tentare di violare centinaia di account in modo praticamente automatico.

Conviene insomma imparare a proteggere anche gli account di gioco usando le difese già disponibili ma spesso trascurate: password lunghe e differenti da quelle usate altrove e, se possibile, autenticazione a due fattori. Perché i soldi usati per comprare questi oggetti virtuali sono molto reali.

Attenzione alle offerte troppo allettanti di V-Buck, le monete virtuali che si usano nel popolarissimo videogioco Fortnite: possono nascondere trappole e persino vere e proprie operazioni criminali di riciclaggio di denaro sporco.

Lo segnala un’indagine svolta dal quotidiano britannico The Independent insieme alla società di sicurezza informatica Sixgill. I criminali usano carte di credito rubate per acquistare V-Buck e poi rivendono questi V-Buck a prezzo scontato ai giocatori. In questo modo ottengono denaro pulito.

Non è il primo caso di crimine che coinvolge Fortnite e i suoi oltre 130 milioni di giocatori: ci sono app false che fingono di essere versioni speciali del gioco e invece scaricano altre app sui dispositivi dei giocatori che le installano; i truffatori lo fanno perché sono pagati ogni volta che una di queste altre app viene installata.

Ci sono anche i ladri di account Fortnite, che mettono in vendita questi account rubati e incassano lauti guadagni. I giocatori, infatti, comprano con i loro V-Buck accessori di gioco virtuali, come modelli di personaggi, skin di decorazione per l’equipaggiamento o le armi e movimenti per i propri personaggi, e li accumulano nel proprio account.

Se l’account viene rubato, il ladro si porta via anche questi accessori e li vende ad altri giocatori, che sono disposti a pagarli bene pur di mettere le mani su certi accessori particolarmente rari. C’è un mercato fiorente di account rubati, come indicato dal caso di un giovane sloveno che ha dichiarato di aver incassato circa ventimila euro in poco più di sei mesi con questa attività illecita.

Rubare un account è purtroppo molto facile, perché tantissimi giocatori usano per Fortnite lo stesso indirizzo di mail e la stessa password che adoperano altrove, per cui al ladro basta frugare un po’ nei tanti archivi di account rubati di altri servizi, che si trovano nei bassifondi di Internet, e vedere se vi trova quell’indirizzo di mail e una password abbinata. Quasi sicuramente quella password sarà quella usata anche su Fortnite.

Per fortuna anche difendersi da questi ladri è abbastanza facile: il primo passo è non cercare guai andando in giro su Internet a caccia di offerte di V-Buck scontati presso siti di dubbia reputazione, e non abboccare alle pubblicità ingannevoli che compaiono su Instagram e negli altri social network, come fanno invece tantissimi giocatori, soprattutto quelli più giovani. Conviene invece restare sui siti ufficiali di vendita di V-Buck, come per esempio quello del produttore di Fortnite, che è Epicgames.com. Certo, si paga, ma è meglio pagare che trovarsi derubati.

Il secondo passo è proteggere il proprio account Fortnite con una password robusta e differente da tutte le altre che si usano altrove, e poi attivare il doppio codice di sicurezza denominato autenticazione a due fattori, che si trova nelle impostazioni dell’account.

L’ultimo passo spetta ai genitori, ed è associare all’account una carta di credito prepagata invece di quella tradizionale, per consentire acquisti legittimi e al tempo stesso limitarli. Buon divertimento!

Più chiaro di così non si può: la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) della Svizzera dice esplicitamente che “Chi utilizza la stessa password più volte agevola i cyber criminali”. Lo fa annunciando la pubblicazione del suo ventisettesimo rapporto semestrale, che racconta i maggiori incidenti informatici avvenuti in Svizzera e all’estero nel primo semestre del 2018.

MELANI sottolinea che molti utenti “hanno la cattiva abitudine di utilizzare la stessa password per accedere a diversi servizi online come webmail, e-banking e negozi online. Ciò semplifica di molto il lavoro dei criminali e consente loro di tentare sistematicamente di accedere ai servizi internet di diversi fornitori con i dati ottenuti da varie fughe di dati. In un caso gli hacker hanno utilizzato quasi un milione di queste credenziali provenienti da differenti fonti per tentare di accedere a un portale online.”

Il rapporto spiega che i siti di e-commerce e altri servizi Internet vengono regolarmente violati per rubare i dati dei clienti [poche ore dopo che ho scritto questo articolo è arrivata la notizia del furto dei dati di circa 500 milioni di clienti della catena alberghiera Marriott]. Se il furto include le password, i criminali tentano di usare la stessa coppia nome utente/password anche su altri siti, e siccome gli utenti tendono a usare la stessa password ovunque, di solito i malviventi hanno successo.

Se volete sapere se il vostro indirizzo di mail è stato oggetto di furto di credenziali, potete digitarlo nell’apposito strumento di controllo offerto da MELANI presso www.checktool.ch, che vi avviserà se il vostro indirizzo è presente nei vari database di dati rubati di cui la Centrale è a conoscenza.

La raccomandazione di questi esperti è di usare password sufficientemente lunghe, in modo che siano difficili da indovinare, e di adoperare password differenti per ciascun sito di e-commerce e/o servizio, attivando se possibile l’autenticazione a due fattori.

Credit: BBC.

La BBC segnala un’ondata di messaggi truffaldini circolanti su WhatsApp: si tratta di inviti a cliccare su un link per ricevere quelli che dovrebbero essere buoni sconto di supermercati molto noti se si partecipa a un semplice sondaggio e si manda il messaggio a venti dei propri amici. Lo scopo di questa truffa è raccogliere dati personali, come nomi, indirizzi e coordinate di carte di credito.

Fra i nomi colpiti, secondo il sito ActionFraud della polizia britannica, ci sono Marks and Spencer, Tesco, Asda, Nike, Lidl, Aldi e anche Singapore Airlines. È probabile che la stessa truffa circoli anche in versioni nazionali in altri paesi europei.

I messaggi sono molto credibili perché i link che presentano sono quasi identici a quelli dei veri siti dei supermercati presi di mira: è facile non accorgersi che sotto o sopra una delle lettere che compongono il nome del sito c’è un puntino, o che la lettera è barrata in alto.

La tecnica è nota come internationalized domain name homograph attack: in sintesi, i truffatori creano un sito il cui nome usa lettere di alfabeti diversi da quello latino. Per esempio, al posto di Aldi.com (il sito autentico) creano il sito Alḍi.com oppure Alđi.com e vi mettono delle pagine che somigliano a quelle del vero supermercato. Le vittime immettono i propri dati personali in queste pagine, credendo di poter ricevere un premio, e invece vengono imbrogliate.

I servizi antifrode di Internet hanno già messo un blocco su molti di questi siti ingannevoli, ma è meglio restare vigili e guardare sempre con molta attenzione il nome del sito linkato in qualunque messaggio, diffidando come sempre delle offerte troppo belle per essere vere.

Soprattutto è importante non ubbidire mai agli inviti a inoltrare un messaggio pubblicitario ad altri utenti: se lo fate, rendete più credibile la truffa, perché i vostri amici la ricevono da una fonte di cui si fidano, cioè voi.

Se siete fra i tanti che si sono chiesti cosa c’è nel Dark Web tanto pompato da alcuni giornalisti e magari avete anche pensato di procurarvi Tor Browser e visitare questa parte di Internet per comperare qualcosa di proibito, pensateci bene.

Non fate come il diciannovenne Gurtej Randhawa, che dal Regno Unito (abita a Wightwick, West Midlands) ha fatto un giro nel Dark Web e ha tentato di comperare una bomba artigianale, del tipo che si piazza in un’auto per compiere un attentato.

Il pacchetto ordinato gli è arrivato regolarmente a casa, ma sono arrivati anche gli agenti della National Crime Agency, che lo hanno arrestato quando Randhawa ha aperto il pacco e ha tentato di assemblarne il contenuto. La bomba era stata infatti intercettata e sostituita con un simulacro. L’uomo è stato processato e giudicato colpevole pochi giorni fa.

Non si sa come gli specialisti dell’NCA abbiano scoperto le intenzioni di Randhawa: è possibile che la bomba sia stata trovata dai rivelatori appositi nel sistema postale, o che l’uomo fosse sotto sorveglianza o che il “negozio” del Dark Web al quale si è rivolto fosse sorvegliato dagli agenti. Ma è anche possibile che siano stati usati metodi puramente informatici per togliere all’utente Tor l’anonimato (correlation attack).

Essere perfettamente anonimi online non è facile come molti pensano: non basta scaricare Tor. Prima o poi si commette qualche errore che rivela la propria identità. Naked Security cita il fatto che il Department of Homeland Security statunitense ha identificato numerosi utenti Tor che scambiavano immagini di abusi su minori perché andavano anche sul Web normale per scaricare le immagini più in fretta rispetto alla relativa lentezza offerta da Tor. E ci sono trappole come Playpen, il sito del Dark Web di cui l’FBI prese di nascosto il controllo per infettare decine di migliaia di computer dei suoi frequentatori per poi arrivare a centinaia di incriminazioni.

In altre parole: lasciate stare, che è meglio. Il Web normale ha già abbastanza contenuti di ogni genere, e andare nei bassifondi della Rete non è un’avventura da turisti: significa cercare guai. E trovarli.

Avete visto il film The Circle? C’è una scena nella quale il social network immaginario del film, una sorta di Facebook, viene usato per localizzare una criminale che la giustizia ordinaria non riusciva a trovare. Viene diffusa la sua foto e gli utenti, sparsi ovunque nel mondo, vanno a caccia finché trovano la donna e la fanno arrestare. Spettacolare e inquietante, ma meno esagerato di quello che si potrebbe pensare.

Alcuni mesi fa la polizia della provincia canadese dello Saskatchewan ha infatti usato lo stesso sistema per identificare e localizzare una donna che stava cercando: ha messo su Facebook una foto della donna e ha sfidato gli utenti a partecipare alla sua ricerca, presentandola come una sorta di gioco. Ha funzionato: la giovane è stata riconosciuta dal fratello, che vive in North Carolina e che ha avvisato la polizia canadese e la sorella. Ed è qui che la storia prende una piega bizzarra.

La donna, Samantha Field, ha contattato la polizia e ha scoperto di essere ricercata in relazione a una serie di atti terroristici: qualcuno aveva inviato dei pacchi contenenti bicarbonato, facilmente confondibile con l’antrace, e aveva diffuso allarmi bomba. E su Internet c’era un video nel quale lei se ne prendeva la responsabilità, dicendo “Abbiamo fatto quei pacchi insieme... la gente penserà che il bicarbonato è antrace”.

Come è possibile? Samantha Field aveva risposto a un’inserzione su Fiverr, un sito tramite il quale si possono effettuare lavori online a pagamento, pensando di recitare dei brani di un libro per un video promozionale: una cosa che la Field fa spesso e che in questo caso le aveva fruttato 35 dollari. Ma non c’era nessun video promozionale e nessun libro da promuovere: il video, rimontato appositamente, è stato usato per incastrare la Field inviandolo ai media. Per fortuna la polizia non ha creduto alla rivendicazione involontaria fatta online.

In altre parole, se accettate lavori online da sconosciuti, vi conviene sempre fermarvi un momento a pensare e chiedervi se per caso quello che fate o dite può essere manipolato e usato contro di voi.

Si fanno chiamare “Famiglia Criminale Turca” (“Turkish Crime Family”) e minacciano di cancellare i dati dagli iPhone e dagli account iCloud di almeno 300 milioni di utenti se Apple non pagherà un riscatto entro il 7 aprile. Considerata la portata della minaccia, potreste pensare a una richiesta di riscatto milionaria, ma la Famiglia ha pretese modeste: 75.000 dollari in Bitcoin o Ether oppure 100.000 dollari in carte regalo iTunes.

I ricattatori hanno contattato varie testate giornalistiche per cercare di rendersi visibili e credibili, e sono sicuramente riusciti a farsi notare, ma Motherboard racconta che finora le presunte prove presentate dalla Famiglia sono prive di conferme indipendenti.

Apple ha dichiarato che “non ci sono state violazioni dei sistemi Apple... La presunta lista di indirizzi di mail e di password sembra provenire da servizi di terzi violati in precedenza”.

Al momento non c’è motivo di farsi prendere dal panico, ma storie come questa sono sempre una buona occasione da cogliere per mettere alla prova le proprie impostazioni di sicurezza e chiedersi se sarebbero in grado di reggere a una minaccia di questo genere. Vale la pena, per esempio, di proteggere il proprio account con una password robusta (non ovvia e sufficientemente lunga) e unica (diversa da quelle usate per tutti gli altri servizi online) e con l’autenticazione a due fattori.

E naturalmente non dimenticate l’importanza di un buon backup dei vostri dati, salvato su un supporto scollegato da Internet.


Fonti aggiuntive: Hot For Security.

Di fronte alle notizie di tecniche d’attacco sempre più sofisticate è facile avere la sensazione di essere inermi e che le autorità non facciano nulla, ma in realtà questi malviventi non sempre la fanno franca. L’Interpol e la Commissione sui Crimini Economici e Finanziari della Nigeria segnalano l’arresto di “Mike”, un quarantenne nigeriano a capo di una rete criminale internazionale che aveva messo a segno truffe per oltre 60 milioni di dollari ai danni di centinaia di vittime. Una di queste vittime era stata imbrogliata al punto da inviare 15,4 milioni di dollari ai truffatori.

Le tecniche di truffa usate dalla banda (circa 40 persone sparse fra Nigeria, Malesia e Sud Africa) erano ben collaudate: non solo la fattura leggermente alterata e la creazione di falsi ordini di pagamento provenienti dagli indirizzi di mail dai dirigenti aziendali, ma anche truffe sentimentali. I bersagli erano principalmente in Australia, Canada, India, Malesia, Romania, Sud Africa, Thailandia e Stati Uniti. Il denaro sottratto veniva convogliato su conti correnti di complici in Cina, Europa e Stati Uniti.

L’arresto, secondo le autorità nigeriane, è un segnale chiaro che la Nigeria non può essere considerato un porto sicuro per questi criminali. Gli esperti consigliano di attivare l’autenticazione a due fattori (o verifica in due passaggi) sugli indirizzi di mail e di verificare gli ordini di pagamento usando un canale diverso da Internet: una telefonata alla persona che avrebbe inviato l’ordine, per esempio.

Da parte mia aggiungo un’altra raccomandazione: attenzione alle offerte di lavoro che vi propongono di fare l’intermediario finanziario semplicemente stando al computer un certo numero di ore al giorno per ricevere e inoltrare bonifici di denaro. Il denaro che ricevereste sul conto rischia di essere il frutto di una truffa online, per cui voi risultereste come complici.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ammyy Admin (Ammyy.com) è un’applicazione legittima, piuttosto diffusa per il controllo remoto dei computer, ma di recente dei criminali informatici hanno preso ripetutamente il controllo del sito che distribuisce l’applicazione e hanno alterato il programma d’installazione in modo che chi scaricava e installava Ammyy riceveva e installava anche uno spyware (Lurk) che ruba soldi dai conti correnti gestiti via Internet da computer insicuri.

Visto che gli amministratori di Ammyy non sembrano granché competenti nel risolvere gli attacchi (una volta passi, ma trovarsi a distribuire malware ripetutamente è inaccettabile), probabilmente non è più il caso di fidarsi.

Questo genere di attacco si chiama in gergo watering hole attack, ossia letteralmente “attacco al luogo di abbeveraggio”: invece di prendere di mira direttamente i singoli bersagli, gli aggressori attaccano un sito utilizzato dai bersagli. Sono i bersagli stessi, poi, a infettarsi quando vanno a visitare il sito.

In generale, per prevenire furti di denaro nella gestione dei conti correnti via Internet conviene procurarsi un computer (o un tablet o Chromebook) da dedicare esclusivamente a questa attività, come se fosse una sorta di terminale della banca. Su questo dispositivo non si gioca, non si usano i social network, non si risponde alla posta, non si aprono allegati, non si installa nulla a parte gli aggiornamenti del sistema operativo e l’eventuale applicazione della banca. In questo modo il rischio di infettarlo e aprire la strada ai ladri è ridotto al minimo. Ormai i costi dei computer e dei tablet sono talmente bassi che è un investimento accettabile, soprattutto se lo si confronta con il costo (monetario e di tempo) di un furto dal proprio conto corrente.


Fonti: Ars Technica, Securelist.

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/02/19 23:25.

Il ransomware si sta rivelando una forma di attacco informatico tristemente efficace nel portar via soldi alle vittime: dagli Stati Uniti arriva la notizia che un ospedale, il Hollywood Presbyterian Medical Center, è stato preso in ostaggio da un ransomware che ne ha paralizzato i sistemi informatici al punto che è stato necessario tornare a registrare i pazienti su carta e recuperare le cartelle cliniche cartacee e la rete informatica è rimasta ferma per oltre una settimana.

Alla fine, dopo dieci giorni di paralisi, i dirigenti dell’ospedale si sono arresi e hanno pagato il riscatto ai criminali che gestivano il ransomware: 40 bitcoin, che al cambio attuale sono circa 17.000 dollari. Il presidente e CEO dell’ospedale ha detto che “il modo più rapido ed efficiente per ripristinare i nostri sistemi e le nostre funzioni amministrative era pagare il riscatto e ottenere la chiave di decifrazione”. È andata tutto sommato bene, visto che la richiesta iniziale di riscatto era di circa 3,6 milioni di dollari [2016/02/19 23:25: questo importo è stato smentito in un comunicato dell’ospedale].

L’attacco con ransomware a un’azienda o a un’istituzione sembra essere la moda del momento fra i criminali, probabilmente perché è più remunerativo rispetto all’attacco a privati: un altro esempio arriva sempre dagli Stati Uniti, in questo caso da Conway, nel South Carolina, dove la rete informatica scolastica delle Horry County Schools è stata colpita con la stessa tecnica che ha messo in ginocchio l’ospedale californiano: buona parte dei dati cifrati dagli aggressori è stata recuperata dai backup, ma resta una ventina di server che ancora contengono file presi in ostaggio, per cui gli amministatori hanno stanziato 8500 dollari per pagare la richiesta di riscatto. I responsabili della rete scolastica hanno detto che sono disposti a pagare perché si tratta di una cifra modesta rispetto alle ore-uomo già sprecate nel tentativo (vano) di risolvere il problema.


Fonti: Ars Technica, Wbtw.com, Los Angeles Times, Ars Technica.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po' di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c'è anche il controllo sulla coerenza del codice fiscale. L'unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell'indirizzo ci sia il nome corretto del sito insieme all'icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2012/12/30.

La puntata di stamattina del Disinformatico radiofonico è pronta da scaricare. Ecco i temi e i rispettivi articoli: il mercato nero delle password vendute a 2 dollari, le ragioni dell'apparente immunità Apple ai virus, l'allerta per la vulnerabilità degli smartphone e tablet Samsung e Facebook troppo difficile per la sorella di Mark Zuckerberg. La parola di Internet di questa puntata è underweb. Buon ascolto e/o buona lettura.

Aggiornamento (2012/12/30): Gizmodo ha pubblicato altri dettagli della scenata di lesa maestà di Randi Zuckerberg.

Quanto dev'essere sofisticato un attacco di phishing? Non molto

Giovedì ero in una scuola di Bellinzona per una lezione su Internet e le sue trappole sociali e tecniche. Una delle docenti mi ha mostrato una mail sospetta:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]@yahoo.com>
Data: 16 novembre 2011 20:10:06 GMT+01:00
A: [omissis]
Oggetto: Gentile utente edu.ti.ch ,
Rispondi a: [omissis]@w.cn


Gentile utente edu.ti.ch ,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:
Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l'inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

Grazie per la vostra comprensione.
Supporto tecnico / Team TSR manutenzione.
Posta elettronica scuola TI - @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio - Copyright / IP Policy - Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy - Informazioni confidenziali

Pensavo si trattasse di un tentativo casuale di phishing e le ho consigliato di non rispondere e cestinare il messaggio, ma stamattina ho saputo dalla stampa locale (Tio.ch; Cdt.ch) che la stessa mail è stata ricevuta anche da altri docenti delle scuole ticinesi. E purtroppo qualcuno di loro ha risposto, presumibilmente regalando il proprio nome utente e la propria password ai criminali.

Non paghi del loro successo, stamattina gli spioni hanno insistito:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]>
Data: 19 novembre 2011 03:44:34 GMT+01:00
A: [omissis]
Oggetto: ultimo avvertimento
Rispondi a: [omissis]@w.cn

Cari edu.ti.ch! utente,

 Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

 In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

 Indirizzo e-mail
 password
 Data di nascita:

 In caso contrario, questo sarà immediatamente rendere il tuo account disattivati ​​dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E 'anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

 NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

 Grazie per la vostra comprensione.
 Supporto tecnico / Team TSR manutenzione.

Si pensa sempre che gli “hacker” (termine improprio, ma pazienza) usino stratagemmi ultrasofisticati, ma in realtà molto spesso basta un attacco grossolano per superare le difese dei sistemi sfruttando l'anello debole della catena: l'utente.

In questo caso alcuni docenti avrebbero dato retta a un messaggio-trappola nonostante:

1. fosse scritto in un italiano catastroficamente sgrammaticato
2. provenisse da un indirizzo che per simulare una provenienza autorevole usava soltanto un espediente banalissimo (una descrizione e nulla più, lasciando in chiaro il vero mittente e il reply-to cinese)
3. chiedesse loro dati estremamente sensibili come le password e le date di nascita.

Se questo attacco ha avuto successo, vuol dire che basta davvero poco, persino un messaggio sgangherato come questo, per ingannare gli utenti. Vuol dire anche che i docenti (e con loro molti altri utenti) hanno bisogno urgente di una sensibilizzazione all'uso di Internet e di uno strumento fondamentale come l'e-mail. Sembra proprio che manchino le basi, e questo è preoccupante.

Inoltre, se questo attacco ha colpito esclusivamente docenti, vuol dire che gli aggressori si sono impadroniti in qualche modo della rubrica dei loro indirizzi e che quindi c'è stata una compromissione della sicurezza dei servizi informatici scolastici. In tal caso non si tratterebbe di un tentativo a casaccio che per pura coincidenza ha raggiunto anche dei docenti, ma di un attacco mirato (spear phishing).

Speriamo che l'incidente serva di lezione, non solo in Canton Ticino ma anche altrove. Se qualcuno ne sa di più, mi scriva.


Questo articolo vi arriva grazie alla gentile donazione di “pilla” ed è stato aggiornato dopo la pubblicazione iniziale.

Ricattava oltre 200 donne e ragazze via webcam, arrestato

Se avete notato l'abbondanza di immagini amatoriali senza veli di ragazze anche giovanissime su Internet, riprese nelle loro stanze, e le avete interpretate come una dimostrazione della decadenza dei valori della società occidentale o di una sfrenata passione giovanile per l'esibizionismo, tenete presente che esiste anche un'altra possibile spiegazione: il ricatto.

Dagli Stati Uniti, specificamente dalla divisione informatica dell'FBI di Los Angeles, arriva infatti la notizia dell'arresto di un trentunenne che era riuscito a infettare silenziosamente i computer di oltre 200 donne e ragazze, alcune ancora minorenni, attivandone di nascosto microfoni e telecamerine incorporate (webcam). Conquistava la fiducia delle proprie vittime presentandosi come una ragazza in un social network o impersonando un'amica, poi inviava loro un file dicendo che si trattava di un video impressionante. Le vittime, fidandosi della fonte, aprivano il video e infettavano il proprio computer, che catturava di nascosto immagini dei loro momenti privati oppure permetteva al delinquente di prelevare dal computer le loro foto personali.

Il criminale usava poi queste immagini rubate come arma di ricatto, minacciando le vittime di pubblicarle o di mandarle ai loro parenti e amici se non avessero collaborato esibendosi per lui davanti alla webcam in pose ancora più esplicite e senza veli. Ovviamente il ricatto a quel punto diventava ancora più forte.

Non è il primo caso del genere e non sarà certo l'ultimo, come sottolinea Sophos nel commentare l'arresto, per cui la guardia deve restare sempre alta, ma stavolta l'FBI chiede la collaborazione degli utenti di tutto il mondo: ha pubblicato l'elenco delle identità online del ricattatore e chiede di fornire, attraverso il sito tips.fbi.gov, segnalazioni e testimonianze delle sue malefatte. Per tutti, comunque, vale il suggerimento di coprire la webcam con un pezzo di nastro adesivo nero o altro sistema meccanico quando non la usate e di spegnete il computer quando non lo state adoperando. Specialmente se avete il computer in camera vostra.