La polizia cinese e il colosso dei videogiochi Tencent hanno collaborato per chiudere la più grande attività mai vista di cheater o bari nei videogiochi. 

La banda, situata principalmente nella Cina orientale, aveva rastrellato circa 76 milioni di dollari grazie ai suoi servizi a pagamento, disponibili in quasi tutto il mondo, che consentivano ai videogiocatori di vincere più facilmente a giochi come Overwatch o Call of Duty: Mobile.

Gli agenti hanno arrestato dieci persone. Fra i beni sequestrati alla banda figura anche una collezione di auto sportive di lusso.

I clienti dei servizi offerti dai bari pagavano dieci dollari al giorno: segno che c’è gente disposta a spendere grandi cifre pur di vincere disonestamente a un videogioco, usando software che conferisce poteri come la “vista a raggi X” (per rendere trasparenti i muri nel gioco) o l’auto-targeting, che migliora la precisione di tiro nei giochi sparatutto.

Non è la prima operazione di polizia del genere: nel 2018 Tencent aveva collaborato con la polizia cinese per arrestare ben 120 cheater del gioco PlayerUnknown’s Battlegrounds. In Cina, infatti, la legge punisce con il carcere le interferenze con le reti informatiche, che includono anche le reti di gioco. E in effetti disseminare cheat a pagamento è una grossa interferenza.

Chi usa i servizi di questi cheater probabilmente non ci pensa, ma sta alimentando il crimine organizzato e sta rovinando il piacere del gioco.

 

Ieri sera (30 luglio) è andata in onda una puntata di Falò dedicata al fenomeno degli “spalloni digitali”, ossia le persone che riciclano inconsapevolmente denaro rubato: un problema che colpisce anche la Svizzera, nonostante le misure di sicurezza prese dalle banche per proteggere le transazioni online.

In uno dei casi citati, al quale ho collaborato, il denaro (11.400 CHF) era stato rubato dai criminali da un conto corrente e trasferito sul conto corrente dello “spallone” inconsapevole. La puntata è visibile qui sotto.


Ma come fanno i criminali a prendere il controllo dei conti correnti eludendo le protezioni antifrode? L'esperto di sicurezza informatica Oliver Hough ha seguito e raccontato su Twitter un esempio delle tecniche utilizzate, che è meglio conoscere per evitare di esserne gabbati.

Tutto comincia con un SMS che sembra provenire da una banca e avvisa "È stato effettuato un tentativo di pagamento tramite un dispositivo nuovo. Se non sei stato tu, visita Payee-alert[punto]cc/hsbc”.

Se si seguono queste istruzioni (provenienti in realtà dai truffatori), si viene portati a un sito (gestito sempre dai truffatori) che somiglia a quello della banca. La vittima immette le proprie credenziali di accesso in questo sito, e in tempo reale uno dei truffatori prende queste credenziali e le immette nel vero sito della banca prima che scadano.

A questo punto se la banca chiede password o altre verifiche, il truffatore presenta alla vittima delle pagine che richiedono queste informazioni, le intercetta e le immette nel vero sito della banca. Per esempio, spiega Hough, se la banca invia un SMS con un codice di verifica, i truffatori mandano alla vittima una finta pagina in cui immettere il codice.

La vittima crede di interagire con la banca vera e quindi immette quanto richiesto nella pagina finta; il truffatore legge quello che è stato immesso e lo digita nel sito vero della banca. Questo sistema funziona anche con le app di autenticazione e con i vari dispositivi generatori di codici usati da alcune banche.

Il fatto che ci sia un truffatore che segue personalmente e in tempo reale ogni vittima può sembrare incredibile, ma per i truffatori ha molto senso, perché una singola vittima può fruttare decine o centinaia di migliaia di franchi, euro, dollari o altra valuta. Un collega di Hough lo ha verificato immettendo, al posto delle credenziali, delle parole di scherno verso i truffatori e ha ricevuto in risposta una pagina su misura.

i inputted 'we_know_who-you_are_hehe' and they redirected me to this LOL! pic.twitter.com/nHApU2IM6W

— zseano💫 (@zseano) July 12, 2020

La difesa, in casi come questi, è solo la prevenzione: non bisogna mai cliccare su link apparentemente bancari ricevuti via SMS, WhatsApp, mail o altro, ma bisogna visitare manualmente il sito della propria banca oppure lanciare l’app della banca stessa.

Hough è andato oltre: si è procurato il software usato dai truffatori e l’ha installato e configurato in una decina di minuti, notando quanto sia facile da usare. Questo significa che saranno sempre più numerosi i criminali che lo useranno. Meglio essere prudenti e consapevoli.

A ottobre 2019 avevo pubblicato su questo blog un’enigmatica richiesta rivolta a eventuali lettori a Mosca o dintorni.

Ora posso dirvi di cosa si trattava: un servizio di inchiesta della Radiotelevisione Svizzera sul fenomeno degli “spalloni digitali”: persone che in buona fede rispondono a inserzioni di lavoro e finiscono per diventare riciclatori inconsapevoli di soldi rubati o comunque di provenienza illecita.

Il servizio (teaser qui) verrà trasmesso nel programma Falò giovedì 30 alle 21:10 su RSI La1 e dovrebbe essere visibile in streaming anche dall’estero almeno in differita.

Questa è la presentazione del programma:

MAFIE, HACKER E SPALLONI DIGITALI

Sono i nuovi spalloni nell’era digitale: in gergo li chiamano «money mules» ovvero persone adescate su internet e costrette a riciclare denaro per bande di hacker e la criminalità organizzata. È così che è iniziato l’incubo di Katia Ronchi, un’impiegata di commercio del luganese alla ricerca di un lavoro. La donna ha risposto ad un’offerta di lavoro, apparentemente seria, pubblicata addirittura sul sito della Segreteria di Stato dell’Economia e già pochi giorni dopo l’assunzione ha ritrovato sul suo conto una grossa somma di denaro, da prelevare cash e spedire a Mosca in una busta. Falò ha seguito il flusso del denaro fino in Russia, il paradiso degli hacker.

Nove milioni di zombi si aggirano su Internet. No, non sono gli utenti rintronati dei social network che diffondono a pappagallo qualunque bufala: sono computer zombi.

Microsoft ha annunciato di aver partecipato alla disattivazione di una delle reti di computer zombi più grandi del pianeta: una botnet denominata Necurs.

Necurs esisteva dal 2012 e il suo malware, secondo le stime di Microsoft, aveva colpito oltre nove milioni di computer, principalmente in India ma anche in quasi tutti gli altri paesi del mondo ad eccezione della Russia. Non è un caso: il malware era programmato per non infettare un computer sul quale rilevava la presenza di una tastiera russa.

Fra le malefatte di Necurs si può citare il ransomware Locky, che bloccava i computer chiedendo un riscatto per sbloccarli, trojan per rubare da conti bancari, truffe sentimentali, furti di password, una quantità straordinaria di spam e una truffa borsistica del tipo pump and dump (in cui i truffatori promuovono un titolo di cui hanno azioni per convincere le vittime a comperarlo e farne salire artificiosamente la quotazione, e poi guadagnano vendendo quel titolo).

Ci sono voluti ben otto anni per tracciare e pianificare la disattivazione di Necurs. Microsoft e i suoi partner d’indagine hanno decifrato le tecniche usate dai criminali e hanno potuto così giocare d’anticipo bloccandoli nella creazione automatica di domini usati per inviare comandi ai computer infettati.

Ora resta il compito di ripulire i computer infettati, che non hanno più un coordinatore nascosto ma continuano a ospitare il malware. Per questo esistono gli antivirus, che riconoscono le tracce di Necurs e le eliminano.

Se giocate a Clash of Clans, Clash Royale o a un altro dei tanti giochi online che hanno una “moneta” interna, fate molta attenzione alle offerte di chi vi propone di ottenere queste monete a prezzi scontati: potreste avere a che fare con dei riciclatori di carte di credito rubate e potreste trovarvi con l’account bloccato.

Lo segnala Kromtech Security, raccontando di aver scoperto su Internet un archivio di dati pubblicamente accessibile e contenente migliaia di dati di carte di credito. Ben presto gli esperti si sono resi conto che si trattava di un archivio gestito da ladri di carte di credito.

Questi ladri avevano creato un sistema automatico che creava degli account Apple ID finti usando i dati delle carte di credito rubate. Questi account venivano poi usati per acquistare gemme o altre monete virtuali nei giochi. Le gemme acquistate con le carte altrui venivano poi vendute a prezzo scontato a giocatori comuni, e in questo modo la banda otteneva soldi puliti.

La Supercell, che ha sviluppato Clash of Clans e Clash Royale ha avvisato i giocatori che chi compra gemme o diamanti da siti esterni può trovarsi permanentemente bandito dal gioco e rischia di dare a dei criminali il controllo del proprio account Apple ID o Google Play.


Fonte aggiuntiva: Tripwire.

Credit: Patrick Wardle.

Phillip Durachinsky, un ventottenne residente in Ohio, è stato incriminato come autore di un malware per Mac che ha usato per oltre un decennio per spiare migliaia di vittime. Ha iniziato a farlo quando aveva quattordici anni.

Il malware, denominato Fruitfly, gli consentiva di prendere il controllo dei computer Apple che infettava, registrando dalla webcam e dal microfono, guardando cosa c’era sullo schermo, comandando mouse e tastiera e scaricando file. Ne avevo parlato a luglio del 2017, quando i dettagli del caso erano ancora riservati.

Durachinsky, secondo l’atto di incriminazione, ha usato questo suo malware per infettare e spiare migliaia di computer, rubando dati personali, informazioni bancarie, password e informazioni intime delle vittime, compresi moltissimi bambini: gli atti parlano di “milioni di immagini”. Per questo è accusato anche di produzione di pedopornografia.

Fra l’altro, Durachinsky aveva programmato Fruitfly in modo da mandargli un avviso se una delle vittime infettate digitava parole associate alla pornografia. Il suo intento, insomma, era molto chiaro.

Le intrusioni di Durachinsky sono andate avanti indisturbate per più di dieci anni: Fruitfly è stato scoperto soltanto l’anno scorso dalla società di sicurezza Malwarebytes. All’epoca Apple aveva rilasciato un aggiornamento di sicurezza per bloccare Fruitfly, ma nessuno sapeva chi fosse il suo mandante o creatore. Gli utenti che avevano aggiornato i propri Mac erano al sicuro, ma chi non si era aggiornato ed era infetto con Fruitfly continuava ad essere spiato.

Nei mesi successivi Patrick Wardle, ex dipendente NSA che oggi lavora per la Digita Security e offre strumenti di sicurezza gratuiti per Mac, ha analizzato il malware e ha scoperto come prenderne il controllo (ha trovato i nomi di dominio di riserva usati da Fruitly per comunicare con il suo padrone in caso di emergenza e li ha registrati a proprio nome, ricevendo così i dati inviati dal malware).

Wardle è riuscito a intercettare le comunicazioni fra i Mac infettati e il gestore del malware, scoprendo chi erano le vittime, e ha avvisato l’FBI, mostrando agli agenti i dettagli tecnici delle proprie scoperte. Le indagini hanno poi portato all’identificazione e all’incriminazione di Durachinsky.

Il problema è ora risolto: Fruitfly è stato disattivato e il suo autore non è più in grado di nuocere. Ma il ricercatore di sicurezza che ha snidato Durachinsky non ha parole tenere per Apple, che a suo dire era “concentrata anche sulla prospettiva di un’attenzione mediatica negativa”, rivelando “un esempio sorprendente di quali siano le priorità di Apple... Non è colpa di Apple se questo malware è entrato in tutti questi Mac... è imperativo che gli utenti Mac comuni siano consapevoli che esistono questi hacker malati e perversi che prendono di mira le loro famiglie, ma abbiamo Apple che spinge continuamente questa propaganda di marketing che dice che i Mac sono incredibilmente sicuri. Ma l’effetto collaterale è che gli utenti Mac diventano ingenui o eccessivamente fiduciosi”.

Morale della storia: i “virus” per Mac esistono e chiunque può esserne bersaglio. Meglio non credere troppo alle parole del marketing e attrezzarsi con un po’ di sana diffidenza e con un buon antivirus. Anche su Mac.

Ultimo aggiornamento: 2016/11/08 15:35.

Mi capita spesso di raccontare storie di criminali informatici che usano tecniche sofisticate e ingegnose, e questo potrebbe far pensare che questo genere di reato sia facile e magari indurre qualcuno in tentazione, ma in realtà la parte difficile di un reato informatico è quella che di solito non si racconta, ossia quella non informatica. In sé violare un sistema informatico può essere alla portata di molti, ma farlo senza lasciare tracce nel mondo reale che permettano agli inquirenti di rintracciare i colpevoli è estremamente difficile.

Anche alcuni aspiranti criminali sottovalutano questa difficoltà. Va ricordato, infatti, che non tutti coloro che pensano di fare soldi illegalmente con l’informatica sono geni del male.

Prendete per esempio Dwayne Cartouche Hans Jr, un ventisettenne americano dello stato di Washington. Nella sua meteorica carriera criminosa, è accusato di aver violato, fra aprile e luglio 2016, un importante sito per la gestione dei pagamenti del governo degli Stati Uniti e di aver dirottato un milione e mezzo di dollari su un conto di cui aveva il controllo.

Ma secondo quanto racconta il Dipartimento di Giustizia statunitense, nel suo piano ci sono state alcune piccole imperfezioni: ha violato il sito governativo usando il proprio computer e il proprio indirizzo IP di casa. Non solo: nelle credenziali che ha usato per avere accesso illecito al sito governativo ha dato il proprio indirizzo di mail, che è dwayne.hansjr@outlook.com.

Come se non bastasse, l’uomo ha poi dirottato i soldi governativi modificando i dati sul sito che aveva violato in modo che al posto di uno dei conti correnti di un beneficiario legittimo ci fosse un conto controllato da lui. In questo modo, quando il governo ha effettuato il pagamento di un milione e mezzo di dollari al beneficiario regolare, i soldi sono finiti invece sul conto gestito dal criminale. Che però aveva aperto quel conto dando il proprio nome e cognome e il proprio indirizzo di casa.

Il pagamento anomalo è stato notato e interrotto prima che Dwayne Cartouche Hans Jr potesse prelevare o ritrasferire i soldi bonificati. Come avrete intuito, a questo punto non è stato particolarmente difficile per l’FBI risalire all’autore del reato. La vicenda ha anche altri risvolti, riportati in dettaglio nella deposizione dell’FBI; ora l’uomo si ritrova accusato di frode telematica, frode informatica e riciclaggio di denaro.

Il Dipartimento di Giustizia, nel suo comunicato stampa, dice che l’arresto del criminale “manda a tutti gli aspiranti cybercriminali un messaggio: vi troveremo e vi condurremo di fronte alla giustizia”. Belle parole, ma va anche detto che in questo caso trovare il criminale non richiedeva esattamente un fiuto da Sherlock Holmes. E in ogni caso agli inquirenti spesso basta che il malfattore commetta una singola svista invece del poker di pasticci confezionato da Dwayne Cartouche Hans Jr.

Ultimo aggiornamento: 2016/09/10 16:30.

Molti sottovalutano la determinazione dei truffatori digitali perché non hanno idea di quanto questi criminali possano essere motivati a investire tempo e risorse per fare una ricognizione digitale di un’azienda, compilarne l’organigramma e scandagliarne le difese. Provo a fare un esempio: bastano 40 milioni di euro come motivazione?

È quello che è successo all’azienda tedesca di cablaggi Leoni AG: come raccontano Tripwire e Softpedia, ha dovuto annunciare pubblicamente un danno economico di questo ammontare causato da una truffa informatica.

Secondo le prime ricostruzioni, a metà agosto scorso la giovane direttrice finanziaria della filiale rumena dell’azienda ha ricevuto una mail falsificata che sembrava provenire dai massimi dirigenti tedeschi della Leoni AG e ordinava il trasferimento di 40 milioni di euro. La mail teneva conto delle procedure interne dell’azienda per l’approvazione e il trasferimento di fondi: i criminali avevano quindi studiato bene la propria vittima, scegliendo l’unica delle quattro fabbriche rumene dell’azienda abilitata ad effettuare trasferimenti di denaro e prendendo di mira specificamente la persona che poteva eseguire un trasferimento così ingente.

I 40 milioni sono stati trasferiti a banche della Repubblica Ceca e da lì si sono volatilizzati. Il caso è ora in mano alle autorità rumene.

L’episodio può essere una buona occasione per riesaminare le procedure aziendali per gli ordini di pagamento: se un singolo dipendente, di qualunque grado, può disporre bonifici per decine di milioni sulla base di una semplice mail, senza alcun controllo incrociato (per esempio una banale telefonata al numero diretto del dirigente che avrebbe inviato la mail), e se i dipendenti non sono al corrente che il mittente di una mail è falsificabile, c’è decisamente qualcosa che non va.

Sono emersi alcuni dettagli tecnici molto interessanti a proposito del furto informatico milionario ai danni della Bangladesh Bank che ho raccontato un mesetto fa.

Si sapeva già che criminali informatici erano riusciti a penetrare nei computer della banca centrale del Bangladesh e a sottrarre le credenziali necessarie per effettuare bonifici, inviandone una quarantina per un importo complessivo di circa un miliardo di dollari, che sarebbero finti nei conti di complici nelle Filippine e nello Sri Lanka se i ladri non avessero commesso un banale errore di ortografia (indicando come beneficiaria la Shalika Fandation al posto della Shalika Foundation) che aveva insospettito un intermediario presso la Deutsche Bank. Il furto era stato quindi interrotto quando la cifra sottratta era soltanto (si fa per dire) di circa ottanta milioni di dollari.

Ora è emerso che la Bangladesh Bank era in pratica priva di firewall e usava una rete informatica di seconda mano con componenti a bassissimo costo, secondo le indagini della BAE Systems, che hanno rivelato che i ladri avevano alterato il software del sistema SWIFT in modo da poter spedire denaro in tutto il mondo senza lasciarne tracce in Bangladesh.

Normalmente il sistema interbancario SWIFT è sicuro: è una rete privata e la maggior parte delle banche consente trasferimenti soltanto fra mittenti e destinatari concordati. Per alterarlo bisogna essere all’interno dell’organizzazione di una delle banche che partecipano al sistema, come appunto la Bangladesh Bank. Purtroppo questa banca, usando componenti di rete a basso costo, non aveva isolato i propri sistemi SWIFT dal resto della rete informatica aziendale.

Come spiega Ars Technica, questa vulnerabilità ha consentito ai criminali di entrare nella rete bancaria via Internet, farsi strada fino ai sistemi SWIFT e alterare il software Alliance Access, che effettua e registra le transazioni SWIFT. La modifica ha rimosso i controlli di integrità e coerenza di questo software, consentendo di alterare gli importi dei bonifici e il contenuto dei messaggi di conferma in modo che non rimanesse traccia dei bonifici fraudolenti dopo il loro invio. Il tutto veniva gestito da un server situato in Egitto, anche se questo non vuol dire che i criminali risiedevano in questo paese.

Il riciclaggio del denaro sottratto è passato attraverso le Filippine, dove è in corso un’indagine governativa: i soldi sono arrivati su conti intestati a due cittadini cinesi che gestiscono il gioco d’azzardo a Macao e nelle Filippine, e da lì sono stati trasferiti a vari casinò e poi a conti bancari internazionali. I casinò nelle Filippine sono esentati dalle norme antiriciclaggio e quindi sono un canale perfetto (consapevole o inconsapevole) per queste operazioni fraudolente. Le indagini hanno già portato alle dimissioni del governatore della Bangladesh Bank e all’incriminazione di altre persone che hanno fatto da tramite per i movimenti illeciti di denaro.

Colpo grosso via Internet ai danni della Mattel: l’anno scorso tre milioni di dollari hanno preso il volo per via di una singola mail truffaldina.

La mail interna aziendale proveniva dal nuovo direttore generale della Mattel e ordinava il pagamento di questa cifra a un nuovo fornitore in Cina. L’ordine arrivava poco dopo un ricambio del personale a vari livelli, per cui la manager finanziaria che l’ha ricevuto era ansiosa di dimostrare la propria solerzia e diligenza. Così ha verificato la conformità dell’ordine ai protocolli di sicurezza, che esigevano che i trasferimenti di denaro avessero l’approvazione di due manager di alto livello. Lei aveva questa qualifica, e l'aveva anche il direttore generale, per cui il bonifico da tre milioni di dollari è partito subito alla volta di un conto presso la Bank of Wenzhou, in Cina.

Qualche ora dopo la manager ha accennato al pagamento durante una conversazione con il direttore generale, che però ha negato di aver dato un ordine del genere. Panico: è partita subito una serie di chiamate alla banca che doveva inviare il bonifico, alla polizia e all’FBI. Ma la risposta è stata inesorabile: troppo tardi, i soldi sono già in Cina.

La Mattel era finita in una trappola che ha già causato frodi per quasi due miliardi di dollari soltanto fra le aziende statunitensi: non il solito phishing generico e sgrammaticato, ma una mail accuratamente confezionata, molto realistica, che conteneva i nomi giusti delle persone (in questo caso quello del direttore generale e quello della manager), tratti probabilmente dalle notizie pubblicamente disponibili, e rispettava le prassi e i cicli di pagamento abituali dell’azienda. Si sospetta che in questo caso la Mattel abbia subito un’intrusione informatica che ha permesso di conoscere queste informazioni.

Ma stavolta il maltolto è stato ripreso dalle grinfie dei ladri informatici, perché Mattel ha agito tempestivamente e ha anche avuto fortuna: il bonifico è stato effettuato quando in Cina le banche erano chiuse per una festività locale e quindi la Mattel ha avuto tempo di avvisare la polizia cinese, che a sua volta ha avuto tempo di indagare. Quando la Bank of Wenzhou ha riaperto c’era già sul posto un responsabile antifrode della Mattel che recava una lettera dell’FBI che ha consentito alla polizia cinese di bloccare il conto destinatario del bonifico. Due giorni dopo i tre milioni di dollari sono stati restituiti. 


Fonte: AP.

L'articolo è stato aggiornato estesamente dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/10/06 11:30.

Molti internauti (giovani e meno giovani) si sentono disorientati e senza una guida nel mare dei servizi offerti da Internet. In realtà le guide ci sono: basta sapere dove trovarle.

Oggi segnalo quelle preparate dalla Prevenzione Svizzera della Criminalità: agili, snelle, disponibili naturalmente anche in italiano, adatte a tutte le età e confezionate in formati accattivanti per far arrivare a tutti i messaggi di base su sicurezza e prevenzione anche su Internet, senza obbligare gli utenti a diventare esperti informatici. Sono tante: qui ne cito giusto alcune.

C'è, per esempio, C’era una volta… Internet: cinque fiabe classiche reinterpretate in chiave digitale per spiegare altrettanti temi informatici molto importanti e pensate per i genitori di bambini sotto i 12 anni, che sono sempre più spesso lasciati a navigare in Rete da soli senza alcuna idea di quello che possono incontrare.

I diritti sulle immagini sono sempre un tema difficile, sul quale girano molti pregiudizi sbagliati: per chiarirli c'è la guida La propria immagine: tutto ciò che prevede la legge e c'è un'animazione, Diritto alla propria immagine.

Il bullismo digitale o cyberbullismo è affrontato in un video, mentre il bullismo su un altro livello, il cosiddetto cybermobbing, è trattato da Cybermobbing: tutto ciò che prevede la legge Cybermobbing: Molto imbarazzante, ma non per noi!

Per i social network ci sono le guide Sicurezza sui social network, Cartolina Postale, Check List e Safer Surfing.

Si parla anche di truffe, come quella classica dei finti dipendenti Microsoft, spiegata nel video La truffa del servizio assistenza Microsoft e in una miniguida. La Truffa della lotteria via SMS viene invece illustrata da un video e da un foglio informativo.

Va segnalata in particolare la versione aggiornata della guida Pornografia: tutto ciò che prevede la legge, che chiarisce la nuova tutela dei minori di età superiore ai 16 anni che fanno sexting (lo scambio di immagini intime). Il tema viene toccato anche da due altre guide, intitolate My Little Safebook, in versioni per adolescenti e per genitori, con molti consigli per divertirsi in Rete senza correre pericoli e per conoscere i luoghi e i modi in cui scattano le trappole terribili di cui spesso si sente parlare, come gli abusi sessuali (guida per adolescenti e per genitori).

Questo è solo un assaggio: il resto è sul sito della Prevenzione Svizzera della Criminalità. Buona lettura, insomma.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “treomarc*” e “fabiano.bi*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

La diffusione dei dati sottratti a HackingTeam ha permesso di far emergere altre due falle di sicurezza in Adobe Flash che consentono a un aggressore di prendere il controllo del computer del bersaglio semplicemente facendogli visitare un link (una delle tecniche predilette di HackingTeam).

Queste due nuove falle non hanno per ora un aggiornamento correttivo e sono distinte da quella già corretta.

Adobe sta correndo per creare e distribuire l'aggiornamento che corregga queste falle, ma intanto i criminali informatici stanno già sfruttando almeno una di esse, per cui è altamente consigliabile disinstallare, disattivare o perlomeno bloccare l'esecuzione automatica di Flash. Fra l'altro, probabilmente non ne sentirete molto la mancanza; anzi, noterete che molti siti si caricheranno più velocemente perché i contenuti Flash (tipicamente pubblicità) non vengono letti.

Le falle Flash sono etichettate CVE-2015-5122 e -5123 e sono presenti nelle versioni Windows, Linux e OS X del plugin di Adobe. L'azienda che gestisce Flash ha detto che queste nuove falle verranno corrette la prossima settimana. Fino a quel momento, usate più prudenza del solito, anche sui siti di buona reputazione, perché molti attacchi provengono dalle pubblicità Flash, che non sono gestite dai siti stessi ma sono inserite da reti pubblicitarie separate, che vengono prese di mira dai criminali informatici.

Come consueto, le istruzioni per bloccare l'esecuzione automatica di Flash sono qui.

Questo articolo vi arriva grazie alla gentile donazione di “remot*” e “swiftgt*” ed è stato aggiornato dopo la pubblicazione iniziale.

Poche ore fa sul famigerato canale /b/ di 4chan è stata pubblicata una serie molto consistente di fotografie e video personali di circa un centinaio di cantanti e attrici e dei loro partner: Jennifer Lawrence, Kaley Cuoco, Avril Lavigne, Kate Upton, Ariana Grande, Lea Michele, Kirsten Dunst e molte altre.

Alcuni scatti sono estremamente intimi e sono stati autenticati dalle rispettive vittime del furto di massa, che è stato segnalato da Huffington Post, Gawker, Mashable, Business Insider, E!Online, BBC e in numerosi altri siti di notizie.

Si tratterebbe di un assaggio, studiato per invogliare gli utenti a mandare soldi (tramite bitcoin) all'autore del furto affinché pubblichi il resto del maltolto, evitando i rischi di una trattativa con siti di gossip o peggio.

Lasciando da parte il contenuto delle foto e passando agli aspetti tecnici (analizzati bene da @SwiftOnSecurity su Twitter e da Graham Cluley sul Guardian), molti dei siti che stanno pubblicando la notizia ipotizzano che il furto sia avvenuto a causa di una falla di iCloud di Apple, che metterebbe a repentaglio la privacy di chiunque usi un iPhone e i servizi online di Apple per custodire le proprie foto.

In effetti, l'entità massiccia del furto, perpetrato ai danni di più persone e contenente immagini risalenti a date differenti, anche recentissime (secondo le acconciature e i dati EXIF), e in alcuni casi addirittura cancellate (TMZ.com), e il fatto che si tratta in quasi tutti i casi di selfie o di foto chiaramente fatte con un telefonino, rendono molto plausibile la strada della sottrazione tramite accesso indebito alla copia conservata nel cloud senza adeguate precauzioni. Proprio oggi Apple ha corretto una falla che permetteva di accedere agli account iCloud tramite un banale bruteforcing, ma può darsi che sia semplicemente una coincidenza.

L'intrusione così ampia si potrebbe anche spiegare semplicemente con il fatto che il criminale ha avuto accesso alla rubrica telefonica di una vittima iniziale e vi ha trovato i numeri delle altre.

Tuttavia l'idea che il problema riguardi soltanto il cloud di Apple parrebbe smentita dal fatto che i telefonini visibili nelle foto non sono tutti iPhone (lo è quello mostrato qui sopra in mano a Jennifer Lawrence, ma altre foto mostrano cellulari di altre marche), anche se chi usa telefonini non-Apple potrebbe trovarsi comunque con il dispositivo collegato ad iCloud.

L'altra ipotesi plausibile è che il furto sia stato realizzato da una persona che lavora all'interno dei servizi cloud dei produttori dei telefonini o delle reti cellulari utilzzate dalle celebrità coinvolte.

Va notato, infine, che non si tratta soltanto del fatto che delle celebrità rivelano qualche centimetro di pelle in più e lo fanno magari prima del trucco e di Photoshop: nelle foto ci sono anche le coordinate GPS, con il conseguente rischio di stalking. Non tutti coloro che lavoro nel mondo dello spettacolo hanno i soldi per pagarsi guardie del corpo e servizi di vigilanza.

Non è la prima volta che avviene una predazione del genere: nel 2012 era successo a Scarlett Johansson, Mila Kunis e altre celebrità. L'autore del furto era stato identificato e condannato a dieci anni di carcere. Anche in questo caso, sottolineo che un adulto ha il diritto di farsi le foto intime che meglio preferisce e che questa è comunque una violazione della privacy anche nel caso di celebrità, la cui unica colpa è fidarsi delle promesse di riservatezza dei fornitori dei servizi che usano.

Per chi non ha tempo o voglia di studiare gli aspetti di sicurezza dei servizi cloud e dei telefonini (per esempio l'autenticazione a due fattori e la disattivazione dei dati GPS) resta valida la raccomandazione di sempre: se fate foto che non volete far circolare, non fatele mai usando un dispositivo collegato o collegabile a Internet e non affidatele ai servizi cloud. Meglio ancora, non fatevi foto intime, se non volete spendere tempo a imparare come proteggerle.

Tenete presente che anche se voi fate del vostro meglio, una fuga d'immagini compromettenti può avvenire lo stesso, a causa di una carenza di sicurezza del fornitore dei servizi cloud. Questi servizi non hanno a cuore la vostra privacy; hanno a cuore il profitto. Se a voi succedono guai perché loro non hanno protetto bene le vostre foto, ai loro dirigenti non frega nulla: sono assicurati e comunque di solito le clausole del servizio li esonerano da ogni risarcimento. Per cui se devono scegliere fra sicurezza e profitto, tipicamente sceglieranno il profitto.

Per chi invece si scatena nella caccia alle foto e ai video in questione, ricordo che tipicamente in questi casi i criminali informatici preparano subito copie fasulle contenenti malware o generano siti contenenti le parole chiave legate alla foto, e poi aspettano che i polli arrivino e scarichino, installando il malware o guadagnando dalle pubblicità visualizzate.

E per chi gongola spinto dal voyeurismo e dice che tanto sono celebrità e se la sono cercata, ricordo solo una cosa: questo potrebbe succedere anche a voi. Anche a vostra figlia.


Aggiornamento 1 (14:00): Secondo le discussioni in corso su 4chan, la serie di immagini sarebbe stata pubblicata inizialmente su Anonib (sito ad alto rischio di immagini scioccanti, come del resto 4chan) e farebbe parte di una collezione già circolante (almeno in parte) da tempo fra i cultori di questo genere di contenuti. Inoltre alcune analisi dei dettagli anatomici delle persone ritratte indicano che alcune delle foto sono false (manipolate) o attribuite alle persone sbagliate. Infine, alcuni membri di 4chan ritengono di aver individuato il colpevole della pubblicazione (che non è necessariamente il colpevole del furto), ma 4chan spesso pubblica storie come questa per assistere con compiacimento alla persecuzione di una persona che in realtà non c'entra nulla. Meglio attendere dati concreti prima di lanciarsi in una caccia alle streghe.

Aggiornamento 2 (20:30): Gawker sembra confermare che 4chan non è l'origine delle immagini, che invece sarebbe AnonIB, e che molte delle immagini circolavano già da qualche tempo.

Aggiornamento 3 (23:10): Ars Technica ha postato un articolo molto categorico nel mettere in relazione le immagini trafugate e la falla Apple, ma non spiega le ragioni di tanta certezza. Inoltre sottolinea che se un fornitore di servizi cloud ha una falla di sicurezza, l'utente può anche essere supremamente diligente e prudente, ma si mette nelle mani di quel fornitore. Che ha pochissimo incentivo a garantire la privacy dei suoi clienti.

Aggiornamento 4 (2014/09/02, 14:15): l'esame dei dati EXIF delle immagini circolanti indica, almeno in alcuni casi, date recentissime (metà agosto scorso) e l'uso di Photoshop Express e Windows Viewer; le immagini sarebbero state quindi manipolate prima di essere diffuse. C'è anche almeno uno UUID. Inoltre la natura caotica e frammentata della diffusione sembra indicare che si tratti non di un'unico furto di massa, ma della pubblicazione di una o più collezioni ottenute da fonti differenti: non ci sarebbe, insomma, una mente unica. È interessante notare, infine, che se è stata sfruttata una falla di iCloud o una tecnica di social engineering chi l'ha usata avrebbe potuto tranquillamente azzerare i dispositivi delle vittime, ma a quanto pare si è limitato a copiarne le foto.  A tutt'oggi non c'è nessuna conferma oggettiva di un eventuale nesso fra la falla di Find my iPhone e questi furti d'immagini.

Troels Oerting, responsabile dell'Europol (Ufficio di Polizia Europeo) per la lotta al crimine informatico, ha messo in guardia gli internauti contro il rischio di furto di dati sensibili se usano gli accessi WiFi pubblici.

In un'intervista alla BBC, Oerting ha segnalato la crescita degli attacchi effettuati utilizzando questi accessi “per rubare informazioni, identità o password e soldi... dovremmo insegnare agli utenti che non dovrebbero gestire informazioni sensibili quando usano un WiFi aperto non sicuro.” Il WiFi di casa va bene, ha aggiunto, ma è meglio evitare l'accesso senza fili spesso offerto da luoghi di ristoro o locali pubblici.

La tecnica d'attacco è semplice: il criminale crea un hotspot WiFi che somiglia a quelli pubblici (non è difficile, basta un laptop o uno smartphone) e convince le persone a collegarsi a Internet tramite quell'hotspot. In questo modo i dati delle vittime transitano dai dispositivi del criminale che, con il software opportuno, può intercettarli e decifrarli.

L'attacco in sé non è una novità (in gergo si chiama “man in the middle”, letteralmente “uomo che si mette in mezzo”): uno dei casi più noti riguarda il Parlamento europeo, che qualche mese fa ha spento il proprio sistema WiFi pubblico dopo che un informatico ha dimostrato quanto era facile usarlo per compiere proprio questo genere d'incursione.

La difesa, per fortuna, è semplice: usare la connessione dati cellulare invece del WiFi. Purtroppo questo diventa assai costoso se si è in roaming. In casi come questo si può usare il WiFi pubblico, avendo però l'accortezza di adottare un software di cifratura della connessione (VPN), che ha il vantaggio aggiuntivo di mascherare la reale posizione geografica e di scavalcare i filtri adottati da molti fornitori d'accesso (consentendo, per esempio, di vedere i video di Youtube che hanno restrizioni geografiche). Alcuni nomi: Anonymizer, Avast SecureLine, TunnelBear, disponibili per Windows, Android e iOS.

Questo articolo era stato pubblicato inizialmente l'8/2/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Due giorni fa il lavoro coordinato di Microsoft e Symantec ha portato le autorità statunitensi a sequestrare in Virginia e nel New Jersey i server di un gruppo di criminali informatici che avevano infettato circa sette milioni di computer Windows, prendendone il controllo a distanza. I criminali monetizzavano i computer infettati comandandoli in modo che cliccassero sulle pubblicità e incassando una commissione su questi clic pubblicitari fasulli. I ricavi di quest'operazione ammontavano a circa 2 milioni di franchi (1.600.000 euro) nei due anni di attività.

I computer venivano infettati dal malware, denominato Bamital, solitamente perché gli utenti scaricavano copie di programmi alterati per includere Bamital (secondo la tecnica del trojan horse o “cavallo di Troia”). Una volta infettati, i computer dirottavano invisibilmente le ricerche fatte in Google, Bing e Yahoo verso siti gestiti dai criminali, che contenevano altri programmi infettanti capaci di sorvegliare e registrare le attività degli utenti, rendendoli ancora più vulnerabili per esempio ai furti d'identità.

L'intervento di Microsoft e Symantec ha bloccato l'attività della banda, ma non può rimuovere le infezioni dai computer colpiti da Bamital: quello è un compito che spetta agli utenti, che però spesso sono ignari di essere infetti. Così Microsoft ha modificato i server sequestrati dei criminali per fare in modo che i dirottamenti subiti dagli utenti di computer infettati portino a una pagina di avviso di Microsoft invece di portare ai siti-trappola gestiti dalla banda. Nella pagina di avviso, che è in inglese, con traduzioni in tedesco, spagnolo e francese, vengono proposti due programmi gratuiti di disinfezione.

Microsoft ribadisce i consigli consueti per evitare di essere coinvolti in queste truffe informatiche invisibili: installare un firewall e tenerlo sempre attivo, scaricare e installare gli aggiornamenti dei sistemi operativi e del software e installare un antivirus, tenendolo sempre aggiornato.

È disponibile il podcast della puntata di ieri del Disinformatico che ho realizzato per la Radiotelevisione Svizzera. I temi della puntata sono questi:

• Come si taglia il nastro inaugurale di una fabbrica di oggetti prodotti da stampanti 3D? Con un paio di forbici stampate da una stampante 3D, naturalmente. È successo a New York. 
• Quanto vale un PC violato? Brian Krebs offre un bel grafico dei mille modi nei quali si monetizza un'intrusione, con buona pace di chi dice “Ma io non corro rischi perché non ho niente di valore nel computer”. 
• Le parole di Internet: VDSL. Anch'io sono fra i tanti ai quali il provider (Swisscom, nel mio caso) ha imposto ultimamente di cambiare il router (a spese del provider, per fortuna). Vediamo perché occorre questo cambiamento e cosa comporta la differenza fra VDSL e ADSL.
• Fotografa svizzera fa causa ad Apple: le ha rubato un occhio.
• La (non) sicurezza informatica dei pacemaker può uccidere a distanza. Sembra un'idea da NCIS, ma è realtà: certi apparati cardiaci impiantati sono riprogrammabili a distanza da chiunque, con conseguenze letali.

I link portano agli articoli di supporto alla trasmissione.