Credit: Facebook/The Register.

Facebook ha annunciato la propria criptovaluta, denominata Libra, che sarà alla base del sistema di pagamento che verrà introdotto in Facebook Messenger e in WhatsApp dal 2020.

Le intenzioni, stando ai documenti, sono buone: fornire un sistema di pagamento facile e a bassissimo costo, o addirittura a costo zero, a chi ne ha più bisogno, ossia a chi ha pochi soldi e ha solo uno smartphone. La criptovaluta sarà vincolata a un paniere di valute convenzionali per evitare gli sbalzi di valore che affliggono le altre criptovalute.

Ma le obiezioni non mancano: la reputazione di Facebook in fatto di tutela dei dati degli utenti non è particolarmente robusta, per usare un eufemismo. Si spera che custodisca i soldi meglio di quanto custodisca le foto cosiddette “private” degli utenti.

Sarà infatti interessante vedere quanti se la sentiranno di affidare i propri soldi e le proprie transazioni personali o di lavoro a un’azienda che ha dichiarato pubblicamente, in tribunale, che “non c’è nessuna attesa di privacy” su Facebook e che “non c‘è nessuna invasione della privacy, perché non c’è privacy”?

Si spera che gli utenti custodiranno meglio di quanto facciano adesso i propri account social, visto che finora se li sono fatti rubare in massa dai criminali anche se già contengono cose di valore come, appunto, le proprie immagini intime. Le occasioni di saccheggio per i malintenzionati saranno ancora più ghiotte. Per non parlare del rischio che il Libra diventi la valuta ufficiale necessaria in un’economia basata sui social network, come insegna Black Mirror.

Dalla puntata Nosedive di Black Mirror.

L’esperta informatica Sarah Jamie Lewis (quella delle falle nel sistema di e-voting svizzero) ha riassunto bene il problema:

The only mention of "privacy" in the whitepaper is in a citation defining "Pseudonymity" which just about sums up Facebook's entire approach to privacy. Names don't matter when they have locations, dates, times, social graphs and transaction amounts.

— Sarah Jamie Lewis (@SarahJamieLewis) June 20, 2019

Per prima cosa cita Matthew Green (professore associato di informatica presso il Johns Hopkins Information Security Institute statunitense), che scrive che “Francamente mi sbigottisce che un’azienda con un enorme problema di riservatezza dei dati abbia lanciato una valuta globale non privata”, e poi nota che “L’unico riferimento alla privacy nel whitepaper è in una nota che definisce lo ‘pseudoanonimato’, e questo riassume bene l’intero approccio di Facebook alla privacy. I nomi non importano, se loro hanno luoghi, date, orari, grafi dei rapporti sociali e importi delle transazioni”.


Fonti aggiuntive: The Register, Ars Technica.

È un caso classico: c’è sempre l’utente che usa una password assurdamente semplice pensando “nessuno immaginerà mai che ho una password così semplice”. E c’è sempre quello che invece lo immagina e lo frega.

Wired racconta una versione estrema di questo comportamento: gente che ha protetto il proprio wallet di criptovalute usando come “password” (più propriamente, come chiave privata) il numero 1. E che puntualmente si è fatta derubare, per un totale di oltre 50 milioni di dollari.

La blockchain delle criptovalute è pubblica e quindi si presta ad analisi come quella svolta dal ricercatore di sicurezza Adrian Bednarek alcuni mesi fa. Bednarek ha cercato wallet che avevano chiavi private assolutamente banali, come appunto “1” al posto della sequenza di 78 cifre che di solito protegge i wallet Ethereum, e con sua sorpresa ne ha trovati oltre 700. Tutti vuotati.

Estendendo la propria analisi alle transazioni (che sono anch’esse pubbliche), ha scoperto non solo che parecchi utenti avevano protetto (per così dire) i propri soldi virtuali con chiavi private assolutamente banali, ma che esistono dei veri e propri “banditi della blockchain”, ossia ladri specializzati nell’approfittare delle chiavi private troppo facili scelte dagli utenti.

C’è, per esempio, un account Ethereum che con questa tecnica ha raccattato 45.000 ether, per un valore di circa 50 milioni di dollari all’epoca del furto (oggi varrebbero “solo” circa 7 milioni di dollari).

Bednarek ha scoperto che questi ladri usano un sistema automatico: ha infatti provato a versare l’equivalente di un dollaro in vari wallet protetti da chiavi private debolissime e già saccheggiati in passato, e ha visto che in pochi secondi il denaro è stato rubato. A volte il ricercatore ha visto che più di un ladro si è avventato sul wallet-esca: ha vinto quello che è arrivato qualche millisecondo prima degli altri.

Va detto che in alcuni casi la colpa non è degli utenti ma del software di gestione dei wallet, che a volte contiene errori di programmazione che gli fanno generare chiavi private insicure. Ma spesso è l’utente a voler usare delle chiavi facili da ricordare, per esempio tre o quattro parole in sequenza.

Normalmente una sequenza del genere è una protezione sufficiente, per esempio per un account social o di mail, ma se un wallet contiene tanti soldi i ladri investiranno molto tempo e molta potenza di calcolo per scardinarlo. Per le criptovalute conviene quindi usare chiavi private davvero complesse e software affidabile. Utente avvisato, meno depredato.

Ultimo aggiornamento: 2018/09/19 10:10.

Mi stanno arrivando moltissime segnalazioni di un messaggio in italiano che annuncia a chi lo riceve che è stato “installato un trojan di accesso remoto” sul suo computer e chiede soldi per non pubblicare le informazioni intime che sarebbero state così trovate. Non è vero; non cascateci, non rispondete e soprattutto NON PAGATE.

Il testo del messaggio dice in sintesi: “Ho scaricato tutte le informazioni riservate dal tuo sistema... i video dove tu masturbi” (sì, forma transitiva, segno che è una traduzione, forse dall’inglese, nel quale il verbo to masturbate è sia transitivo sia riflessivo). “Quando hai cliccato su Play di un video porno, in quel momento il tuo dispositivo ha scaricato il mio trojan. Dopo l’installazione la tua camera frontale ti filma ogni volta che tu masturbi”.

Scatta poi il ricatto: “Se tu vuoi che io cancelli tutti i dati raccolti, devi trasferirmi $300 in BTC (criptovaluta). Questo è il mio portafoglio Bitcoin: [codice]... Altrimenti manderò i video con le tue birichinate a tutti i tuoi colleghi e amici!!!”

Il messaggio è generico e non contiene nessuna informazione personale: è un bluff, una finta per vedere se avete la coscienza sporca e ci cascate. Se lo ricevete, cestinatelo. Tutto qui.

I codici dei wallet che ho visto nei campioni che ho ricevuto sono i seguenti, con i rispettivi importi accumulati (aggiornati alle 23:40 del 18 settembre 2018):

1. 1CXup5BRrEFuBHDeQcduCvfu3P48rXHrck (19 transazioni, 0,727 BTC, 3906 euro)
2. 14dEvzyftZjrTjXaX5XXHo65C1rdsqCw1s (5 transazioni, 0,155 BTC, 832 euro)
3. 16yJ7MQWTFNjsSvAJJMkjPpnJbAsGLYhW7 (10 transazioni, 0,428 BTC, 2319 euro)
4. 16acVRG2RdMDSmdVuve1N1bYBFu8Rr3iii (6 transazioni, 0,237 BTC, 1284 euro)

Va detto che alcune di queste poche transazioni potrebbero essere state fatte dal truffatore stesso per rendersi più credibile.

Per monitorare questi wallet è sufficiente andare a Blockchain.com e immettere il codice del wallet nella casella di ricerca oppure digitare direttamente https://www.blockchain.com/btc/address/ seguito dal codice.

Riporto dai commenti una domanda molto frequente: se qualcuno è così informaticamente ingenuo da abboccare a una truffa di questo genere, come può avere le competenze informatiche non banali necessarie per procurarsi dei bitcoin e pagare il ricatto?

La risposta è che è talmente spaventato dall’idea di uno svergognamento di fronte al partner o agli amici che si rivolge a un esperto per fare il pagamento, e insiste a voler pagare anche quando l’esperto gli spiega che è una truffa, che non c’è nessun video e che pagare non serve a nulla. Ho seguito numerosi casi di questo genere che si sono svolti secondo questo schema.

2018/09/16 17:05

Questa è una versione in tedesco del messaggio truffaldino:

Titolo: Es geht um Ihre Sicherheit.

Testo: Hallo, lieber Benutzer von [omissis].

Wir haben eine RAT-Software auf Ihrem Gerät installiert.
Zu dieser Zeit ist Ihr E-Mail-Konto gehackt (siehe , jetzt habe ich den Zugriff auf Ihre Konten).
Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.

Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button "Play" auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.

Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $300 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 14dEvzyftZjrTjXaX5XXHo65C1rdsqCw1s
Sie haben 2 Tage nach dem Lesen dieses Briefes.

Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!

Und von nun an, seien Sie vorsichtiger!
Bitte besuchen Sie nur sichere Webseiten!
Tschüss!

2018/09/17 17:25

Un‘altra versione in tedesco del messaggio:

Titolo: Entfernen Sie diesen Brief nach dem Lesen!

Testo: Hallo!

Wie Sie sich schon vorstellen können, wurde Ihr Benutzerkonto ([omissis]) gehackt, da ich Ihnen diesen Brief von aggesandt habe. :(

Ich bin der Vertreter einer bedeutenden übernationalen Gruppe von Info-Piraten
Im Zeitraum vom 23.07.2018 bis zum 16.09.2018 wurden Sie mit dem von uns erstellten Virus auf der Webseite für Erwachsene die Sie besucht haben angesteckt.
Zu dieser Zeit haben wir Zugriff auf alle Ihre Korrespondenz, soziale Netzwerke und Messengerdienste.
Mehr als das, haben wir vollständige Speicherauszüge von diesen Daten.

Wir sind im Bilde aller Ihrer Geheimnisse, o, ja... Sie haben das ganze heimliche Leben.
Wir haben gesehen und aufgenommen, wie Sie sich auf die Porno-Seiten unterhalten hatten. Lieber Himmel, was für Geschmack und Leidenshaften haben Sie... :)

Aber das Interessanteste ist, dass wir Sie in regelmäßigen Zeitabständen auf der Web-Kamera Ihres Gerät aufgenommen haben. Die Webcam wurde mit dem synchronisiert, was Sie gerade sich angesehen haben!
Ich bin der Meinung, dass Sie nicht wollen, dass Ihre Kameraden und Verwandten alle Ihre Heimlichkeiten sehen, und bestimmt die Person, die Ihnen am nächsten ist.

Schicken Sie $300 zu unserer Kryptowährung Bitcoin Wallet: 16yJ7MQWTFNjsSvAJJMkjPpnJbAsGLYhW7
Ich garantiere, dass wir dann alle Ihre Geheimnisse entfernen werden!

Ab dem Zeitpunkt, in dem diese Nachricht gelesen ist, funktioniert der Timer!
Sie haben 48 Stunden, um diese Summe einzuzuahlen.

Sobald das Geld auf unserem Konto ist, werden Ihre Daten sofort vernichtet!
Wenn Geld nicht da ist, werden alle Ihre Korrespondenz und das von uns aufgenommene Video automatisch an alle Kontakte gesendet, die in der Zeit der Infektion in Ihrem System erreichbar waren!
Leider, Sie sollen über ihre Sicherheit denken!
Wir hoffen, dass diese Geschichte lehrt Ihnen, Ihre Geheimnisse korrekt zu bewahren.
Passen Sie auf sich auf!

2018/09/18 23:40

Una versione francese:

Bonjour!

Comme vous pouvez l'imaginer, votre compte [omissis] a été piraté, depuis que j'ai écrit ce message de sa part. :(

Je représente un groupe international de pirates informatiques bien connu.
Du 23.07.2018 au 15.09.2018, vous avez été infecté par un virus que nous avons créé via le site Web pour adultes que vous avez visité.
Pour le moment, nous avons accès à tous vos correspondance, réseaux sociaux et services de messagerie.
De plus, nous avons des décharges complètes de ces informations.

Nous sommes conscients de vos « petits et grands secrets », oui, oui... Vous avez toute une vie secrète.
Nous avons vu et enregistré comment vous vous êtes amusé sur des sites Web pour adultes. Dieu, quel goût et quelle souffrance avez-vous ... :)

Mais la chose la plus intéressante est que nous vous avons inclus régulièrement sur la webcam de votre appareil. La webcam a été synchronisée avec ce que vous venez de voir!
Je pense que vous ne voulez pas que vos amis et votre famille voient tous vos secrets et, bien sûr, la personne la plus proche de vous.

Transférez $300 vers notre monnaie crypto Bitcoin Wallet: 16acVRG2RdMDSmdVuve1N1bYBFu8Rr3iii
Je vous garantis que nous effacerons alors tous vos secrets!

A partir du moment où cette lettre est lue, la minuterie fonctionne!
Vous avez 48 heures pour payer le montant susmentionné.

Une fois que l'argent est dans notre compte, vos données seront immédiatement détruites!
Si l'argent n'arrive pas, toute votre correspondance et vidéo que nous recevons seront automatiquement envoyées à tous les contacts disponibles sur votre appareil au moment de l'infection!

Malheureusement, vous devez penser à votre sécurité!
Nous espérons que cette histoire vous apprendra à garder vos secrets corrects!
Prenez soin de vous!

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Come mai sembra che Twitter ce l’abbia con Elon Musk, il boss di Tesla e SpaceX? The Verge segnala che da qualche giorno chiunque cambi il proprio screen name (l’identificativo accanto al nome del profilo) in “Elon Musk” viene bloccato automaticamente.

Una decisione drastica e curiosa, che però ha una spiegazione molto seria: si stanno infatti moltiplicando i truffatori che creano account Twitter i cui screen name sono uguali o molto simili a quelli di personaggi molto famosi. Elon Musk (@elonmusk), con i suoi circa 22 milioni di follower, è particolarmente preso di mira, e i disattenti ci vanno di mezzo.

La truffa funziona così: il vero Elon Musk pubblica un tweet. Subito dopo un truffatore gli risponde usando un account che usa lo screen name di Musk e la sua icona, come mostrato qui sotto: il primo tweet è autentico, mentre quelli nel riquadro sono scritti dall’impostore.


Il truffatore, fingendo di essere Musk, annuncia una svendita di bitcoin o criptovalute, dicendo che chi gli manda delle criptovalute le riceverà moltiplicate per dieci. Gli utenti che seguono Musk e non notano la sostituzione di persona pensano che l’offerta arrivi dal miliardario: così non si pongono domande sul motivo per cui Elon Musk dovrebbe regalare soldi e cascano nella trappola. Chi invia criptovalute agli impostori non rivedrà mai più i propri averi.

Prevengo gli increduli che dubitano che qualcuno possa abboccare all’inganno: su milioni di follower c’è sempre l’ingenuo o il vulnerabile che ci casca. Capita che ci caschino anche i giornalisti disattenti.

Questa forma di protezione verrà probabilmente estesa anche ad altri nomi celebri. Nel frattempo, fate attenzione agli impostori.


Fonte aggiuntiva: Hot for Security.

Gli sciacalli della Rete non sanno trattenersi di fronte a nulla: hanno saputo approfittare persino del dramma del gruppo di ragazzi rimasti intrappolati in una caverna in Thailandia che ha tenuto l’attenzione del mondo nei giorni scorsi.

Quando Elon Musk ha offerto una possibile soluzione tecnica (pagata di tasca propria) per portarli in salvo, dei truffatori hanno creato dei falsi account Twitter con la stessa icona e con nomi molto simili a quello di Musk e si sono inseriti nella conversazione online spacciandosi per lui e annunciando una svendita speciale di criptovalute: bastava mandargli da 0,1 a 5 bitcoin per avere in cambio, rispettivamente, da 1 a 50 bitcoin.

Altri truffatori hanno creato dei falsi tweet apparentemente inviati da Elon Musk nei quali offrivano un’auto elettrica Tesla a chiunque mandasse 3 bitcoin o 30 Ethereum.

Si tratta, naturalmente, di raggiri: nessuno regala niente per niente, e chi manda criptovalute in risposta a questi annunci li sta in realtà mandando direttamente nei portafogli digitali dei truffatori. Ma nella massa dei milioni di seguaci di una celebrità ci sono sempre persone ingenue o vulnerabili che non si accorgono che i tweet sono falsi e credono ciecamente a qualunque dichiarazione apparentemente fatta dai propri personaggi preferiti, come racconta l’esperto di sicurezza Graham Cluley, che ne mostra altri esempi.

Un’altra forma di sciacallaggio riguarda la ricerca di visibilità sui social network. Il collega debunker David Puente segnala una pagina Facebook che ha pubblicato un falso video delle operazioni di soccorso dei ragazzi intrappolati e ha ottenuto “in appena 5 ore oltre 100 mila visualizzazioni e quasi 4 mila condivisioni”. In realtà il video si riferisce a un’esercitazione avvvenuta nel 2010 in Francia. A quanto pare i quattromila utenti che hanno condiviso il video non si sono chiesti come mai in Thailandia si parlassero tutti in francese.

Consiglio pratico: non usate le funzioni dei social network per condividere questi annunci e questi video, neanche per segnalarli con indignazione ad amici o colleghi, perché fate il gioco di questi sciacalli. Se volete mettere in guardia contro queste truffe, usate uno screenshot o descrivetele senza linkarle o incorporarle, in modo da non regalare loro maggiore visibilità e importanza nelle statistiche dei social network.

Credit: Coindesk.

Se qualcuno vi chiedesse di spedirgli una banconota da cento euro e vi promettesse di mandarvene in cambio ben quattro dello stesso valore, gli credereste? Immagino di no. Eppure questo è esattamente quello che sta succedendo in questo momento su Internet, in particolare su Twitter.

Da qualche tempo si è scatenata una nuova febbre dell’oro intorno alle cosiddette criptovalute, ossia le monete virtuali come i Bitcoin, usabili per fare acquisti e ricevere pagamenti in molti siti Internet e in alcuni punti di vendita tradizionali. Molti utenti sperano di poter guadagnare grandi cifre comprando criptovalute nella speranza che aumentino ancora di valore, e in effetti questo è successo nei mesi scorsi. Chi ha comprato Bitcoin a febbraio del 2017 e li ha rivenduti a dicembre dello stesso anno, ha incassato circa venti volte il proprio investimento iniziale in pochi mesi, secondo i dati di Coindesk. Ma non c’è nessuna garanzia che questi andamenti proseguano: anzi, da dicembre 2017 a oggi il valore dei bitcoin si è dimezzato.

Questa frenesia sta producendo livelli di ingenuità davvero preoccupanti, di cui i truffatori si stanno puntualmente approfittando. La moda del momento fra questi criminali è creare un account Twitter il cui nome somiglia a quello di qualche imprenditore molto ricco, come Elon Musk o John McAfee, ma ha una grafia leggermente differente e non ha il bollino di autenticazione; da questi account annunciano che i primi che manderanno una certa somma in criptovalute riceveranno in cambio una somma raddoppiata o addirittura decuplicata.

Per rendere vagamente più plausibile questa promessa assolutamente incredibile, questi truffatori creano delle pagine Web nelle quali si possono vedere quelle che sembrano essere le somme restituite agli investitori, ma è tutto finto: infatti non tutti sanno che tutte le transazioni fatte in criptovalute sono pubblicate in un registro liberamente accessibile e verificabile, e in questo registro non c’è traccia di queste restituzioni.

Spesso questi annunci truffaldini vengono pubblicati su Twitter in una conversazione fatta dal legittimo titolare dell’account originale, che è seguitissimo, e quindi vengono visti da milioni di persone. E fra questi milioni c’è sempre qualcuno che abbocca. Lorenzo Franceschi-Bicchierai, su Motherboard, segnala il caso di uno di questi truffatori che è riuscito a farsi mandare l’equivalente di circa 35.000 dollari dagli ingenui in cerca di facili guadagni. Lo sappiamo, appunto, perché il registro delle transazioni è pubblico e quindi i movimenti sul conto virtuale del truffatore sono visibili a chiunque.

Twitter sta correndo ai ripari rimuovendo questi annunci e bloccando gli account che li pubblicano, ma i truffatori stanno reagendo a questo filtraggio con vari trucchi, come l’uso dell’alfabeto cirillico per comporre frasi in inglese. Se vedete un annuncio di questo genere, non abboccate e segnalatelo a Twitter. E se avete amici appassionati di criptovalute, avvisateli di questa nuova frontiera del raggiro.

In tutta questa vicenda resta un mistero di fondo, ossia il motivo per cui una cosa che non faremmo mai nella vita reale diventa credibile su Internet. E come in ogni febbre dell’oro reale o virtuale, c’è sempre qualcuno che guadagna sicuramente: i truffatori e i venditori di picconi.


Questo articolo è basato sul testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 27 febbraio 2018.

Ne avevo parlato la settimana scorsa nel Disinformatico radiofonico, ma c’è una novità: se avete notato che il vostro computer, tablet o telefonino rallenta, diventa molto caldo o fa partire le proprie ventole quando visitate un sito, fate molta attenzione, perché forse state facendo diventare ricco qualche criminale informatico. E può succedere anche visitando siti di ottima reputazione, come Youtube e persino alcuni siti governativi.

La moda del momento in campo criminale, infatti, è il cosiddetto cryptomining o cryptojacking, ossia l’inserimento, nelle pagine dei siti Web, di istruzioni che prendono il controllo del dispositivo del visitatore e gli fanno eseguire i complessi calcoli matematici che generano le criptovalute, come per esempio i Bitcoin, e depositano questo denaro virtuale nei conti dei truffatori. In pratica i criminali usano i nostri dispositivi per fare soldi per loro.

A prima vista può sembrare che per noi utenti questo sia un raggiro innocuo che non ci costa nulla, ma in realtà il surriscaldamento di smartphone e tablet li fa invecchiare precocemente e può anche danneggiarli, mentre lo sforzo di calcolo aggiuntivo imposto ai computer aumenta il loro consumo di energia elettrica e quindi pesa sulla nostra bolletta.

La novità è che pochi giorni fa è stato messo a segno un attacco di cryptojacking particolarmente audace e diffuso: alcune migliaia di siti governativi, principalmente in lingua inglese, sono stati manipolati dagli aggressori informatici per fare in modo che contenessero istruzioni che facevano generare criptovalute (Monero) ai visitatori. Fra i siti colpiti spiccano quello della sanità britannica, quello ufficiale dei tribunali statunitensi (UScourts.gov) e, ironicamente, quello dell’autorità per la protezione dei dati del Regno Unito (Information Commissioner's Office (ICO)).

Invece di attaccare questi siti uno per uno, gli ignoti aggressori hanno attaccato uno dei loro fornitori, Browsealoud, i cui servizi informatici (i cosiddetti script) vengono inseriti direttamente nei siti in questione e vengono eseguiti quando un utente visita anche solo la pagina iniziale di uno di questi siti; poi hanno modificato le istruzioni di questi script in modo da aggiungere la generazione delle criptovalute, e hanno aspettato che gli utenti visitassero i siti colpiti. In sostanza, infettando un fornitore sono riusciti a infettare automaticamente tutti i siti clienti di quel fornitore.

Per fortuna la reazione degli esperti d’informatica è stata molto rapida e il fornitore infetto è stato isolato ed escluso, ma il successo di quest’incursione ispirerà sicuramente molti emuli, che potranno colpire per esempio attraverso un altro tipo di fornitore molto diffuso: gli inserzionisti pubblicitari.

Difendersi da questo abuso è per fortuna abbastanza semplice: un buon antivirus riconosce questo genere di attacco e lo blocca, sia sugli smartphone e tablet sia sui computer. Inoltre lo sfruttamento illecito dei nostri dispositivi termina quando smettiamo di visitare un sito infetto e chiudiamo il programma di navigazione, non lascia sui dispositivi virus o altri elementi informatici pericolosi e non ruba dati personali. Ma è comunque un furto, se non altro di energia elettrica, che arricchisce qualcuno alle nostre spalle e incoraggia i criminali a violare i siti per infettarli. Conviene quindi fare prevenzione, intanto che gli esperti predispongono soluzioni.

Ma intanto è già partita la moda successiva: la rivista online Salon.com ha deciso che chi la visita usando un adblocker per bloccare le pubblicità potrà accedere ai suoi articoli solo se acconsente all’uso del suo computer, tablet o telefonino per generare criptovalute.

Credit: Ars Technica.

Ultimo aggiornamento: 2018/02/02 14:40. 

Il cryptomining o cryptojacking, ossia la generazione di criptovalute usando i computer altrui (consensuale nel primo caso, illecita nel secondo), è la nuova moda negli attacchi informatici, e i criminali si stanno attrezzando con varie tecniche di infezione. Una delle più insidiose, segnalata dall’esperto di sicurezza informatica Graham Cluley, sfrutta le pubblicità di Youtube.

In pratica, gli aggressori sono riusciti a inserire nel sistema pubblicitario DoubleClick di Google, proprietaria di Youtube, delle pubblicità che contengono JavaScript che genera criptovaluta Monero a favore dei malfattori. In questo modo gli utenti che guardano i video su Youtube fanno guadagnare i truffatori, senza dover fare o installare nulla. I principali paesi presi di mira sono Giappone, Francia, Taiwan, Italia e Spagna.

Questo attacco consuma l’80% delle risorse della CPU dell’utente, rallentando il funzionamento del computer in maniera esasperante.

Per fortuna c’è una soluzione semplice: installare un adblocker, come per esempio uBlock oppure uBlock Origin (due prodotti distinti nonostante il nome molto simile).

Questa forma di attacco informatico è solo uno dei sintomi di un sistema di gestione della pubblicità online che è profondamente marcio. Come nota Cluley, conviene usare un adblocker

“non solo perché le pubblicità sono invariabilmente brutte e rovinano l’esperienza dell’utente. Non solo perché non volete che le pubblicità traccino i vostri comportamenti online. Non solo perché le pubblicità rallentano la vostra esperienza online e divorano la vostra larghezza di banda. Non solo perché le pubblicità possono infettare il vostro computer con il malware o succhiarne di nascosto le risorse generando criptovalute. Ma perché persino Google, una delle più grandi aziende pubblicitarie del mondo (con una notevole competenza di sicurezza), sembra incapace di garantire un flusso di pubblicità sicure. Se non ce la fa Google, che speranza hanno le altre reti pubblicitarie?”

Google è intervenuta bloccando rapidamente le pubblicità ostili, ma solo dopo che è stata avvisata della loro presenza da esperti esterni, invece di vietare direttamente la presenza di JavaScript nelle pubblicità. Forse è il caso di cambiare modo di fare spot in Rete.

Esistono le mode anche nel crimine informatico: negli anni scorsi i creatori di malware si sono concentrati sulla produzione e disseminazione di ransomware, che bloccava l’accesso ai dati dei computer delle vittime e chiedeva a queste vittime di pagare un riscatto per togliere questo blocco.

Questa strategia purtroppo ha funzionato molto bene, visto che molti privati e moltissime aziende grandi e piccole non avevano copie di sicurezza dei propri dati, non avevano difese informatiche adeguate e non avevano investito nella formazione del personale per prepararlo a riconoscere i tentativi di attacco ransomware. Ma a furia di prendere batoste, gli utenti hanno iniziato a reagire e il ransomware sta iniziando a scemare.

Ma non è tutto merito degli utenti: come nota Tripwire, i criminali hanno capito che obbligare le vittime a fare pagamenti di riscatti in bitcoin o altre criptovalute era scomodo e poco efficace (molti decidevano di non pagare oppure non sapevano come fare), e così è arrivato un nuovo tipo di malware: il cryptomining. In pratica, i computer delle vittime vengono infettati silenziosamente per usarli per generare criptovalute che vengono recapitate automaticamente agli aggressori, senza alcun intervento delle vittime, che neanche si accorgono di essere infettate e che i loro computer stanno lavorando per i criminali.

Tripwire segnala, a questo proposito, una rete di circa 520.000 computer Windows infetti, denominata Smomirnu, che da maggio dell’anno scorso usa questi computer per effettuare i calcoli matematici necessari per produrre criptovalute (specificamente Monero). Si stima che questo attacco silenzioso abbia generato alcuni milioni di dollari per i criminali che l’hanno lanciato. E non è l’unico del suo genere, nota Talos Intelligence.

Difendersi richiede le stesse attenzioni già usate per il ransomware: il malware di cryptomining si annida in documenti Word apparentemente innocui inviati come allegati via mail (curricula, fatture e simili) e colpisce i computer non aggiornati.

La sua principale differenza rispetto al ransomware è che un attacco di cryptomining non blocca il lavoro in modo evidente, ma si limita a rallentare i computer della vittima e ad aumentare i loro consumi di energia, causando aumenti delle bollette elettriche. Se notate che il vostro computer è diventato lento e che la sua ventola gira molto più del solito, potrebbe essere colpa di un attacco di cryptomining. In pratica, voi pagate per generare soldi per i criminali.

La settimana scorsa ho segnalato l’esistenza di siti che usano la potenza di calcolo dei dispositivi dei visitatori per generare criptovalute. È uno degli effetti della “febbre da bitcoin” (termine efficace ma improprio, visto che i bitcoin non c’entrano nulla ma sono coinvolte altre criptovalute). Questa stessa febbre ha generato un’altra forma di sfruttamento dei dispositivi altrui talmente grave da poterli distruggere.

I ricercatori di Kaspersky hanno infatti trovato un trojan per dispositivi Android, denominato Loapi, che è capace di obbligare un telefonino o un tablet Android a fare calcoli complessi per generare la criptovaluta Monero. Lo sfruttamento è così estremo che dopo alcuni giorni le batterie degli smartphone-cavia dei ricercatori si sono gonfiate deformando la custodia del telefonino.

Il malware Loapi si annida nei siti che offrono contenuti pornografici o falsi antivirus. Fra le altre cose, è anche capace di bombardare la vittima con pubblicità assillanti e tenta di rimuovere eventuali antivirus presenti.

Difendersi è principalmente questione di buon senso: non scaricate app da siti di dubbia reputazione, specialmente se promettono accesso a, uhm, servizi speciali, e installate un vero antivirus sul vostro dispositivo Android.

Credit: AdGuard.

Ultimo aggiornamento: 2017/12/18 23:30. 

Se visitate un sito e vi accorgete che la ventola del vostro computer inizia a girare follemente e il computer si scalda parecchio, non è detto che sia colpa del sito progettato maldestramente: potrebbe essere assolutamente intenzionale. Alcuni siti, anche molto famosi, hanno infatti cominciato a sfruttare i computer dei visitatori per generare criptovalute (non bitcoin ma altre criptovalute analoghe).

Le criptovalute, infatti, si basano sul mining, ossia sulla generazione di unità di valuta tramite la risoluzione di complesse equazioni; chi le risolve si tiene le unità di valuta corrispondenti. Il problema è che questi calcoli consumano molta energia e quindi hanno un costo elevato, che i disonesti tentano di far pagare a qualcun altro. Così qualcuno ha pensato di far fare i calcoli ai computer dei visitatori dei siti Web.

Il vertiginoso aumento del tasso di cambio dei bitcoin rispetto alle valute tradizionali ha creato una febbre intorno alle criptovalute e ha incoraggiato questa nuova forma di abuso informatico, prontamente battezzato cryptojacking o stealth mining. In pratica, le pagine di un sito contengono del codice che viene eseguito dai computer dei visitatori ed effettua le complesse operazioni matematiche necessarie per generare una criptovaluta a favore del titolare del sito. In pratica, questi siti si arricchiscono facendo lavorare i computer dei loro frequentatori.

Lo ha fatto, per esempio, il popolare sito di download The Pirate Bay, che a settembre ha aggiunto sperimentalmente alle proprie pagine uno script che usava la potenza di calcolo dei dispositivi dei visitatori per generare la criptovaluta Monero e intascarsela. L’intento era trovare un modo per pagare le spese di gestione del sito senza ricorrere alla pubblicità.

Il sistema usato da The Pirate Bay si chiama Coinhive e dopo questo uso sperimentale è iniziato l’abuso: invece di avvisare gli utenti della situazione, come sarebbe corretto fare, un numero crescente di siti molto popolari ha inserito il codice di Coinhive nelle proprie pagine di nascosto. Lo hanno fatto per esempio alcuni siti di streaming video, come Openload, Streamango, Rapidvideo e OnlineVideoConverter, e una filiale di Starbucks è stata colta a usare Coinhive per sfruttare i computer dei clienti che si collegavano al suo Wi-Fi.

I siti di streaming in questione hanno totalizzato quasi un miliardo di visitatori in un mese, per cui si stima che abbiano incassato circa 326.000 dollari in Monero.

In teoria il sistema Coinhive dovrebbe smettere di sfruttare i computer dei visitatori quando lasciano il sito, ma ovviamente c’è chi ha pensato bene di abusare di questo sistema usando un JavaScript che crea nel browser dell’utente una piccola finestra nascosta, nella quale lo sfruttamento continua anche dopo che l’utente crede di aver lasciato il sito.

Starbucks è intervenuta bloccando l’abuso, ma resta il problema degli altri siti, circa 2500 secondo una stima, che continuano lo sfruttamento dei visitatori. Ci sono anche app che sfruttano i dispositivi degli utenti per generare criptovalute che finiscono nelle tasche dei creatori delle app stesse: alcune di queste app sono state offerte in Google Play e scaricate in tutto circa 15 milioni di volte prima di essere scoperte.

Difendersi da questi abusi non è facile, ma si possono usare alcuni adblocker o plug-in per Google Chrome, per esempio seguendo queste istruzioni.

Satoshi Nakamoto è lo pseudonimo dietro il quale si nasconde l’inventore dei bitcoin. La sua reale identità non è pubblica, ma scoprirla fa gola a molti, sia per semplice curiosità, sia perché Nakamoto sarebbe ricchissimo, dato che ha generato sui propri computer i primi bitcoin, che oggi hanno un valore enorme, stimabile in centinaia di milioni di dollari.

Nel 2011 il New Yorker diceva di aver identificato chi si riparava dietro il nome di fantasia: era Vili Lehdonvirta, un economista finlandese, oppure Michael Clear, uno studente di crittografia al Trinity College di Dublino. Poco tempo dopo, altri investigatori avevano invece indicato altre persone, e nel 2013 Nakamoto era stato “identificato” nel matematico Shinichi Mochizuki. Poi era stato il turno di un fisico, Dorian Nakamoto (il cui nome completo è Dorian Prentice Satoshi Nakamoto), e del crittologo Hal Finney. Tutti avevano negato.

Stavolta la nuova identità di Satoshi Nakamoto non è emersa dalle indagini giornalistiche, ma si è fatta avanti spontaneamente. Pochi giorni fa l’imprenditore australiano Craig Wright ha infatti dichiarato di essere Nakamoto, facendosi intervistare dalla BBC e dando apparenti dimostrazioni tecniche della propria identità.

In realtà il nome di Wright era già emerso a fine 2015 grazie alle indagini di Wired e Gizmodo, ma le prove della sua identità erano sembrate subito inattendibili agli esperti nonostante il fatto che due membri della Bitcoin Foundation (Gavin Andresen e Jon Matonis) avessero dichiarato di essere convinti della veridicità delle affermazioni di Wright.

L’annuncio di Craig Wright ha generato un’impennata nel valore dei bitcoin, ma gli esperti hanno invitato alla calma, parlando apertamente di frode e demolendo in poche ore le “prove” presentate dall’imprenditore, che ha risposto dichiarando che avrebbe dato a breve la dimostrazione definitiva che lui è Nakamoto.

Ma la dimostrazione inoppugnabile, gli hanno fatto notare gli addetti ai lavori, è davvero semplice e non ha bisogno di ricorrere agli arzigogoli usati da Wright fin qui: chi dice di essere Nakamoto non deve fare altro che apporre a un messaggio nuovo la firma digitale di Nakamoto, che è nota e può essere prodotta soltanto dal vero Nakamoto, che è l’unica persona che ha la chiave privata di crittografia necessaria. La chiave per verificare questa firma è invece pubblica e quindi chiunque può controllare se Wright dice il vero. In alternativa, Wright potrebbe spendere anche soltanto una piccolissima parte dei primissimi bitcoin intestati a Nakamoto, che sono registrati pubblicamente sin dal 2009.

Il 5 maggio è arrivato il colpo di scena: Craig Wright ha detto che non fornirà altre prove e ha cancellato il proprio sito, lasciando soltanto un messaggio conclusivo nel quale si atteggia a vittima di false accuse. Un copione purtroppo già visto tante volte nel mondo dei ciarlatani: quando ti chiedono le prove di quello che dici, invece di fornirle, attacca chi te le chiede.



Fonti aggiuntive: Ars Technica, BoingBoing.