La cantante italiana Elodie ha segnalato su Instagram di essere stata oggetto di un tentativo di phishing: qualcuno le ha mandato vari messaggi che sembravano degli avvisi di sicurezza per un suo account contenente foto ma in realtà erano dei falsi generati dal suo aggressore. 

Si è accorta in tempo del tentativo e non è caduta nella trappola. Ha pubblicato i messaggi-truffa, e questo permette di studiare da vicino un caso concreto di tentato furto di credenziali che avrebbe potuto avere conseguenze personali e professionali pesanti.

La prima cosa interessante è il testo degli avvisi, costruito in modo da sembrare realistico, personale e preoccupante: “Ciao Elodie, Nuovo accesso al tuo account nei pressi di Milano(Mi). Autorizza o blocca questo accesso tramite [link]”; “Ciao Elodie, Come da tua richiesta il download della libreria fotografica è iniziato. Verifica i tuoi file su [link]”; “Ciao Elodie, Blocca i tentativi di accesso al tuo account completando il login su [link]”; e così via. Tutti i messaggi sono pensati in modo da indurre la vittima a cliccare sul link, dove troverà una finta pagina di login, gestita in realtà dai truffatori. Se dovesse digitare la propria password in questa pagina falsa, regalerà il controllo del proprio account ai malviventi.

Il link è la seconda cosa interessante: è sempre uguale, ed ha la forma bit [punto] ly/accessoSospetto. Anche il nome del link è scelto in modo da sembrare un riferimento a una pagina di verifica di sicurezza antifrode.

Si tratta di un link abbreviato: la sua versione estesa, e quindi il vero indirizzo web della pagina-trappola, è https://www.iclooud[punto]co/b/VerificaAccesso/. Notate l’iclooud con due O, che è facile scambiare per iCloud di Apple. Secondo Domaintools, Iclooud[punto]co risiedeva in Germania all’indirizzo IP 185.219.221.184 ed è stato creato 87 giorni fa, il primo marzo 2021. Ora non risponde più: meglio così.

Per evitare questo genere di truffa, conviene abituarsi a non cliccare sui link di allerta e conviene attivare l’autenticazione a due fattori. Forse ora che il tentativo di phishing è capitato a una persona così seguita, un po’ di gente starà più attenta. Forse.

 

Fonti: Yahoo Notizie, Fanpage.it.

Ultimo aggiornamento: 2020/08/28 00:15. 

Se vi siete mai chiesti cosa faccio nel mio tempo libero (o perlomeno fra una puntata e l’altra del Disinformatico radiofonico), ora posso levarvi questo cruccio: una delle cose che faccio è la ronda digitale. Niente di sensazionale: è giusto una passeggiata digitale in qualche posto un po’ insolito.

Qualche giorno, durante una tranquilla ronda nei bassifondi di Internet, ho notato la segnalazione del furto e dell’offerta al miglior acquirente di un database di utenti di un sito italiano, Aenigmatica.it, che è uno dei siti della veneratissima Settimana Enigmistica.

L’offerta era credibile e circostanziata, e includeva i nomi utente e le relative password. Mi affretto a dire che io non ho né visto né cercato il database o i suoi contenuti e che non posso pubblicare informazioni precise sull’offerta perché le ho ricevute da fonte giornalisticamente protetta.

Di conseguenza, ho contattato privatamente i responsabili del sito, allertandoli della probabile fuga di dati sensibili.

Il problema non è tanto la rivelazione di chi siano gli utenti di un sito di enigmistica, la cui frequentazione non è certo motivo di scandalo, quanto il fatto che probabilmente molti degli utenti del sito hanno usato anche altrove la password usata per Aenigmatica.it, e quella password adesso è a spasso.

Il database degli utenti di Aenigmatica.it fa gola ai malviventi, insomma, perché potrebbe contenere credenziali di accesso ad altri siti contenenti informazioni ben più delicate: account di mail o di social network, per esempio.

I responsabili del sito hanno accolto la mia segnalazione con molta disponibilità (contrariamente a molti casi precedenti) e hanno quindi pubblicato su Aenigmatica.it questo avviso dopo aver provveduto alle opportune misure sul versante legale:



D’intesa con i responsabili del sito, posso ora segnalare pubblicamente il caso. Se siete utenti di Aenigmatica.it e avete usato altrove la password usata lì, cambiatela. E in futuro evitate di usare la stessa password per più di un sito. Utente avvisato, mezzo salvato.

Avete sentito che qualcuno ha rubato mezzo milione di account e di password di utenti Zoom, li ha messi in vendita e temete problemi? Niente paura. Si tratta di password vecchie, rubate da altri servizi e semplicemente provate dai criminali informatici approfittando della pessima abitudine di molti utenti di usare la stessa password dappertutto.

Il rimedio è semplice: non usate la stessa password dappertutto.

Ben diversa, invece, è la questione delle due falle non ancora corrette che permetterebbero a malintenzionati di prendere il controllo dei computer degli utenti di Zoom (sotto Windows o macOS) e quindi non solo di intercettare le comunicazioni ma anche di rubare dati oppure infettare i computer presi di mira. La falla per Windows sarebbe in vendita nei bassifondi di Internet a ben 500.000 dollari.

Una cifra notevolissima, che difficilmente verrà pagata da una banda criminale ma potrebbe essere accettabile per un governo deciso a spiare un paese rivale, ma che soprattutto fa notizia e ottiene molta visibilità giornalistica. Anche qui, niente panico: si sa già che la falla richiede che l’aggressore stia partecipando a una videoconferenza Zoom con la sua vittima, e questo è uno scenario piuttosto improbabile.

In ogni caso, scaricate gli aggiornamenti delle vostre applicazioni di videoconferenza e controllate chi partecipa alle vostre sessioni.

In realtà gli “attacchi” più frequenti dai quali può capitare di doversi difendere sono di tutt’altro genere: per esempio, gli studenti hanno scoperto che possono sostituire alla propria immagine in diretta un fermo immagine nel quale guardano la telecamera con espressione molto attenta e poi fare tutt’altro mentre ascoltano la lezione. Tanto l’immagine statica si perde fra le tante degli altri studenti. Se siete docenti, quindi, date un’occhiata ogni tanto per vedere se i vostri studenti si muovono o sono insolitamente rigidi.

Da fine marzo gira in Rete un allarme rimasto finora privo di qualunque conferma: secondo alcuni utenti Houseparty, l’app per le videochiamate di gruppo offerta da Epic Games (quella di Fortnite), sarebbe pericolosa.

Sui social network si sono diffusi messaggi secondo i quali Houseparty permetterebbe ai criminali di rubare le password di altri servizi, come per esempio Spotify o Netflix, o ruberebbe essa stessa queste password.

La diceria si è diffusa in maniera così esplosiva, grazie anche ad articoli su The Sun e sul Mirror (due tabloid sensazionalisti britannici), che Epic Games ha annunciato che darà un milione di dollari alla prima persona che porterà prove di quella che chiama “campagna diffamatoria commerciale pagata”.

Di fatto, finora nessuno è riuscito a dimostrare che Houseparty faccia quello di cui è accusata. Le testimonianze raccolte fin qui, per esempio dalla BBC, puntano tutte nella stessa direzione: un utente di Houseparty riceve un messaggio che lo avverte del presunto allarme, poco dopo gli viene rubato in altro modo un account di qualche altro servizio, e mette erroneamente in relazione le due cose.

Non c’è motivo di temere furti di password da parte di Houseparty, che è stata esaminata dagli esperti e proviene da un’azienda di buona reputazione. Usatela pure, ma è importante tenere presente che nessuno regala niente, per cui Houseparty va tenuta d’occhio perché raccoglie dati personali, come per esempio la geolocalizzazione. Tuttavia è possibile disabilitare la geolocalizzazione, usare uno pseudonimo, scollegare Houseparty dalle altre app social e usare una modalità “privata” per impedire a estranei di unirsi a una conversazione, come segnala Techcrunch.


Fonti aggiuntive: Graham Cluley.

Ultimo aggiornamento: 2019/04/06 12:05.

Ci risiamo. Ancora una volta i dati di centinaia di milioni di utenti Facebook sono stati trovati online, accessibili a chiunque abbia un minimo di competenza: nomi, commenti, tipi di interessi e like, nonché in alcuni casi password di app, stavano su un server di Amazon, come racconta Wired.

Li hanno scoperti i ricercatori della società di sicurezza informatica UpGuard. I dati erano stati messi su Amazon non da Facebook, ma da due sviluppatori di app per Facebook. Il social network, insomma, continua a non avere alcun controllo sulla circolazione dei dati personali degli utenti.

I dati erano ospitati sul cloud di Amazon da parte di una società messicana, Cultura Colectiva, che aveva accumulato 146 gigabyte, che includevano 540 milioni di record. Questi dati sono rimasti pubblicamente accessibili per mesi: i ricercatori hanno infatti allertato già a gennaio Cultura Colectiva, ma i dati sono stati tolti da Internet solo pochi giorni fa, guarda caso dopo che Bloomberg ne ha parlato pubblicamente e ha allertato Facebook.

Altri dati appartenevano a un’app denominata At the Pool e contenevano le password di 22.000 utenti (non le password Facebook di questi utenti, ma le password dei loro account su At the Pool). Si tratta di dati risalenti a prima del 2014, visto che At the Pool risulta inattiva da allora.

Questo ennesimo incidente sottolinea l’importanza di diversificare le password dei propri account, perché non si può mai sapere quando uno dei fornitori di questi account, o un suo associato, sarà così maldestro da mettere online l’intero archivio di password dei suoi utenti. Chi usa la stessa password dappertutto si trova così completamente vulnerabile; chi usa password differenziate no.

Password a parte, incidenti come questo mostrano chiaramente che un dato pubblicato su un social network è difficile da eliminare: anche se gli utenti interessati hanno cancellato i propri post o addirittura eliminato i propri account, i loro dati continueranno a circolare. Vale quindi la pena di riflettere attentamente prima di mettere online qualunque cosa.

Molti utenti si sono preoccupati per la notizia di un nuovo grande archivio di password rubate, denominato Collection #1-5, contenente “almeno 78 conti di parlamentari federali”, quelli di migliaia di impiegati della Confederazione e dei Cantoni, e circa 3 milioni di altri account svizzeri.

Ricevo da Michela una domanda: di recente ha controllato se i suoi indirizzi di mail sono su Haveibeenpwned.com e Breachalarm.com, siti che consentono di sapere se un indirizzo è stato incluso in uno di questi archivi e quindi potrebbe essere stato violato. Quanto sono attendibili questi siti?

I siti in sé sono attendibili e gestiti responsabilmente: ma si basano su dati prodotti da criminali informatici, che non hanno necessariamente una grande attendibilità. Questi criminali, infatti, mirano a far soldi vendendo archivi di milioni di indirizzi, per cui riempiono questi archivi con dati non sempre esatti.

Il fatto che fra gli account trovati in questi archivi ci siano quelli di parlamentari federali o di membri dell'esercito non vuol dire che queste persone si siano fatte rubare i dati o le credenziali di accesso. Vuol dire semplicemente che il loro indirizzo di mail è negli archivi.

Ma per i criminali è facile raccattare gli indirizzi di mail di funzionari pubblici, visto che sono pubblicati sui rispettivi siti istituzionali, e poi abbinarli a qualcosa che somigli a una password ma che non è affatto la vera password dell’account, per gonfiare il numero di credenziali presenti nell’archivio da vendere. Lo so perché un “furto” di password analogo l’ho subito anch’io, e la password che era abbinata al mio account non era mia e non lo era mai stata.

Vale tuttavia la pena di cogliere l’occasione per ripassare e magari migliorare le proprie regole di sicurezza informatica:

• usando password lunghe
• usando password differenti per ogni servizio
• attivando l’autenticazione a due fattori
• usando un password manager di buona reputazione per gestire tutte queste password
  

Ultimo aggiornamento: 2019/01/17 23:30.

Il ricercatore di sicurezza Troy Hunt, noto per il suo servizio di allerta Have I Been Pwned, ha segnalato l’esistenza di un archivio, circolante in Rete, di circa 773 milioni di indirizzi di mail con relative password. Se volete sapere se il vostro indirizzo è in questo archivio, digitatelo (l’indirizzo, non la password) nella casella apposita di HIBP.

Attenzione: se il vostro indirizzo di mail risulta nell’archivio, non vuol dire necessariamente che è stato violato il vostro account di mail: vuol dire che è stato compromesso uno dei servizi ai quali vi siete iscritti usando quell’indirizzo.

La questione mi tocca personalmente, perché ho ricevuto anch’io un avviso da HIBP (screenshot qui accanto), visto che sono iscritto al suo servizio di allerta.

Il problema è che per quel che ho capito leggendo lo spiegone di Troy Hunt, HIBP non mi dice quale dei miei tanti account per servizi online che ho associato a quell’indirizzo di mail è stato violato.

Ho password differenti e molto robuste per ogni servizio, e ho l’autenticazione a due fattori dappertutto; può darsi che sia un falso allarme e l’archivio contenga dati vecchi (come è successo anche a Troy Hunt) o farlocchi per farne aumentare il volume e quindi l’apparente valore. Però mi piacerebbe togliermi il dubbio prima di cambiare tutte le mie password. Avete idee?

In ogni caso, vi consiglio di verificare se siete anche voi nell’archivio di credenziali rubate. Se poi avete dubbi su qualche password, c’è anche questa verifica per sapere se la password che usate è presente (anche se non associata a un vostro account) negli archivi di password di HIBP.

2019/01/17 16:30

Grazie a un lettore, G.V., ho avuto modo di sapere qual è la password associata al mio account di mail nell’archivio: è una sequenza di quindici cifre che non ho mai usato come password da nessuna parte. O è un hash bizzarro, oppure nel mio caso i dati contenuti nell’archivio non sono reali.

2019/01/17 23:30

L’esperto di sicurezza Brian Krebs è entrato in contatto via Telegram con il venditore di questa collezione di dati personali, che gli ha spiegato che la vende a prezzo stracciato (45 dollari) perché contiene dati di almeno due o tre anni fa. Le raccomandazioni di Krebs, che condivido, sono queste:

• niente panico, nonostante i titoli sensazionali che trovate in giro;
• che ci sia o meno il vostro indirizzo di mail in questa collezione, cambiare password non fa mai male, ma non usate password che avete già usato e non usate la stessa password dappertutto;
• le password più preziose sono quelle che proteggono le nostre caselle di mail, perché se qualcuno prende il controllo di queste caselle può mandare una richiesta di reset delle password di qualunque servizio o account legato all’indirizzo e prendere così il controllo di tutto, perché il link di reset arriva via mail;
• non usate password, ma usate passphrase: sequenze di parole che vi ricordate facilmente, come bicchiereGiovanniArancione (se il sito ve lo consente);
• usate un buon password manager;
• attivate l’autenticazione a due fattori (o verifica in due passaggi): presso Twofactorauth.org potete sapere quali servizi la offrono. Così se vi ruberanno le password non potranno comunque entrare nei vostri account.

Fonte aggiuntiva: Ars Technica.

D3LabIT mi segnala questo tentativo di phishing ai danni degli utenti della SUPSI, la Scuola universitaria professionale della Svizzera italiana. La falsa pagina di login, mostrata qui sopra, si trova in realtà presso https://fusioncya punto com/sup/. Gli altri link nella pagina portano alle pagine corrispondenti del vero sito SUPSI.

I truffatori probabilmente portano le vittime su questa pagina mandando loro dei messaggi (mail o altri canali di messaggistica) contenenti un link che apparentemente porta al sito della SUPSI ma in realtà porta al sito dei truffatori. È sempre pericoloso cliccare su link contenuti in messaggi; diffidate di quelli che vi portano a pagine di login.

Notate il lucchetto, che può dare un falso senso di sicurezza: indica soltanto che la comunicazione è cifrata, ma non autentica il sito che lo presenta. Il certificato digitale che fa mostrare al browser questo lucchetto è fornito in questo caso gratuitamente da Let’s Encrypt.

Dopo aver cliccato su Login nella pagina dei ladri di password si viene portati alla vera pagina di login della SUPSI (https://webmail.ti-edu.ch/). Questo fa credere all’utente che ci sia stato semplicemente un banale errore di immissione, perfezionando l’inganno.

La falsa pagina di login.

La vera pagina di login.

Ovviamente non bisogna mai immettere password in pagine come questa. Se l’avete fatto, cambiate immediatamente la vostra password visitando il sito vero. Per essere sicuri di visitare il sito vero, digitatene a mano il nome nel vostro browser.

@supsi_ch vi segnaliamo una campagna di phishing a danno dei vostri utenti. Target la posta elettronica. Pagine clone su https[:]//fusioncya[.]com/sup/@PoliziaTI @disinformatico pic.twitter.com/7NNXmS3wel

— D3LabIT (@D3LabIT) December 13, 2018

Può avere senso visitare in massa la pagina dei ladri di password e immettere dati fasulli, in modo da inquinare e rendere inservibile l’archivio di login e password che stanno accumulando? È probabile. In ogni caso, prudenza.

2018/12/14 10:30. Firefox ora segnala il sito truffaldino come pericoloso, grazie a Google Safe Browsing.

Ultimo aggiornamento: 2018/12/08 23:30.

Ah, che gioia iniziare la giornata con una mail che ti avvisa che uno dei tuoi account online è stato violato, non per colpa tua ma per inettitudine di chi dovrebbe custodire i tuoi dati.

È successo anche a me con Quora, un sito nel quale si pubblicano domande e si chiedono le risposte degli esperti e che si è fatto fregare i dati di cento milioni di utenti, come riferisce Naked Security.

Visto che vi ho contribuito con qualche risposta, mi è arrivata infatti questa simpatica comunicazione da parte di Quora:

Dear Paolo Attivissimo,

We are writing to let you know that we recently discovered that some user data was compromised as a result of unauthorized access to our systems by a malicious third party. We are very sorry for any concern or inconvenience this may cause. We are working rapidly to investigate the situation further and take the appropriate steps to prevent such incidents in the future.

What Happened

On Friday we discovered that some user data was compromised by a third party who gained unauthorized access to our systems. We're still investigating the precise causes and in addition to the work being conducted by our internal security teams, we have retained a leading digital forensics and security firm to assist us. We have also notified law enforcement officials.

While the investigation is still ongoing, we have already taken steps to contain the incident, and our efforts to protect our users and prevent this type of incident from happening in the future are our top priority as a company.

What information was involved

The following information of yours may have been compromised:

Account and user information, e.g. name, email, IP, user ID, encrypted password, user account settings, personalization data

Public actions and content including drafts, e.g. questions, answers, comments, blog posts, upvotes

Data imported from linked networks when authorized by you, e.g. contacts, demographic information, interests, access tokens (now invalidated)

Questions and answers that were written anonymously are not affected by this breach as we do not store the identities of people who post anonymous content.

What we are doing

While our investigation continues, we're taking additional steps to improve our security:

We’re in the process of notifying users whose data has been compromised.
Out of an abundance of caution, we are logging out all Quora users who may have been affected, and, if they use a password as their authentication method, we are invalidating their passwords.
We believe we’ve identified the root cause and taken steps to address the issue, although our investigation is ongoing and we’ll continue to make security improvements.

We will continue to work both internally and with our outside experts to gain a full understanding of what happened and take any further action as needed.

What you can do

We’ve included more detailed information about more specific questions you may have in our help center, which you can find here.

While the passwords were encrypted (hashed with a salt that varies for each user), it is generally a best practice not to reuse the same password across multiple services, and we recommend that people change their passwords if they are doing so.

Conclusion

It is our responsibility to make sure things like this don’t happen, and we failed to meet that responsibility. We recognize that in order to maintain user trust, we need to work very hard to make sure this does not happen again. There’s little hope of sharing and growing the world’s knowledge if those doing so cannot feel safe and secure, and cannot trust that their information will remain private. We are continuing to work very hard to remedy the situation, and we hope over time to prove that we are worthy of your trust.

The Quora Team

Quello che si scrive su Quora è normalmente pubblico, per cui il problema principale qui è sapere qual è la sorte delle password trafugate. Chi ha usato su Quora la stessa password che ha usato altrove dovrebbe considerarla compromessa e quindi cambiarla. Quora dice che le password erano protette da cifratura, ma non specifica quale. Alcune cifrature sono particolarmente facili da decifrare.

Chi invece, come me, si è loggato su Quora usando la login di Google o Facebook farebbe bene a impostare in Quora una password apposita andando qui e cliccando su Change password: riceverà una mail con le istruzioni da seguire. In pratica dovrà creare una password apposita per Quora (ovviamente differente da quelle usate altrove) e scollegare il proprio profilo Quora da quello Google (sempre nelle impostazioni).

Come segnalato nei commenti, è opportuno inoltre andare a myaccount.google.com/permissions e cliccare su Rimuovi accesso per Quora.

L’app Fotocamera di iOS, dalla versione 11 del sistema operativo, è in grado di decodificare i codici QR: basta inquadrarli e compare il testo equivalente.

È una funzione molto comoda, per esempio per indicare un link complicato a un sito, ma ha un difettuccio: è possibile ingannare questa decodifica e farle visualizzare il nome di un sito innocuo mentre in realtà il link porta a un sito ostile.

Lo ha scoperto il ricercatore di sicurezza informatica Roman Mueller di Infosec. Ha creato un codice QR contenente questo URL:

https://xxx\@facebook.com:443@infosec.rm-it.de/

e lo ha mostrato alla Fotocamera di iOS, che lo ha decodificato e gli ha chiesto se voleva “aprire ‘facebook.com’ in Safari”.



Chiaramente questo errore di interpretazione sarebbe usabilissimo per un attacco informatico, per esempio per un furto di password: basta creare un codice QR che visualizzi il nome di un sito nel quale l’utente è abituato a immettere una password (per esempio Google o Instagram o, appunto, Facebook) ma che porti in realtà a un sito-clone, gestito dal ladro di password, che ha la stessa grafica del sito autentico. L’utente si fida di quello che gli ha mostrato iOS (il nome del sito autentico), non fa ulteriori controlli e così immette la propria password nel sito del truffatore, che se la porta via.

Un altro esempio ancora più semplice è un codice QR che porta a un sito che visualizza il famoso carattere in lingua telugu che blocca gli iPhone non pienamente aggiornati.

La falla dei codici QR è in circolazione da qualche mese, ma c’è una buona notizia: Apple l’ha finalmente corretta il 24 aprile scorso con la versione 11.3.1 di iOS (e anche con la versione 10.13.4 di macOS). Conviene quindi installare questo aggiornamento con la procedura consueta (dopo aver fatto una copia di backup dei propri dati, per sicurezza): Impostazioni - Generali - Aggiornamento software.


Fonte aggiuntiva: Intego.

Gmail è usato da un miliardo di utenti, ma meno del 10% di questi usa la verifica in due passaggi per proteggersi contro i furti di password, secondo i dati resi pubblici recentemente da Google, nonostante siano ormai sette anni che questa funzione è disponibile su base volontaria.

Come mai sono così pochi, e perché Google non la rende obbligatoria? La spiegazione, a quanto pare, è che per molti utenti le varie opzioni di verifica in due passaggi sono troppo numerose e complicate: se gli utenti fossero obbligati, dice Google, finirebbero per non usare Gmail.

Il metodo più semplice per attivare questa verifica in due passaggi è andare a myaccount.google.com e scegliere Controllo sicurezza e poi Verifica in due passaggi: lì troverete le istruzioni dettagliate. Fatelo: è un antifurto molto efficace e non oneroso.

We Live Security ha pubblicato una classifica delle password più comuni, basata sulle password saccheggiate nel corso del 2017, che è stato un anno spettacolare da questo punto di vista.

Le presento senza commento perché sono desolanti. Anni di raccomandazioni buttati al vento.

1. 123456
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou
11. admin
12. welcome
13. monkey
14. login
15. abc123
16. starwars
17. 123123
18. dragon
19. passw0rd
20. master
21. hello
22. freedom
23. whatever
24. qazwsx
25. trustno1
26. 654321
27. jordan23
28. harley
29. password1
30. 1234

Tenete presente che queste password sono nel repertorio di qualunque criminale o aspirante criminale informatico. Non usatele e assicuratevi che non le usi nessuno. E già che ci siete, attivate l’autenticazione a due fattori, se potete.

Uno degli errori più comuni nella sicurezza informatica è usare la stessa password dappertutto, nella convinzione che se è sufficientemente complicata non verrà indovinata da nessuno.

Il difetto fatale di questo approccio è che se viene violato uno qualsiasi dei siti nei quali abbiamo usato quella password, i criminali informatici hanno in mano le chiavi di tutti i siti e servizi che usiamo: social network, mail, negozi online, account nelle reti di gioco, eccetera.

Usare la stessa password dappertutto, insomma, è come dare una copia delle proprie chiavi di casa a tutti i negozianti che incontriamo e sperare che tutti, dal primo all’ultimo, le custodiscano con cura perfetta e nessuno se le faccia rubare da un malintenzionato.

Purtroppo non tutti i negozianti custodiscono in modo assolutamente sicuro le password dei clienti. Un caso concreto viene segnalato dalla Centrale d’annuncio e d‘analisi per la sicurezza dell’informazione svizzera (MELANI), che pochi giorni fa ha annunciato che sono stati trafugati i dati d’accesso di circa 70.000 utenti di un noto sito svizzero di vendita di DVD. Secondo HaveIbeenPwned, le password erano custodite in chiaro: l’equivalente informatico di lasciare le chiavi di casa sotto lo zerbino.

Chiunque abbia usato altrove la password che ha usato su quel sito deve presumere che la sua password non sia più un segreto e farebbe quindi bene a cambiarla dappertutto. MELANI ha messo a disposizione un minisito, Checktool.ch, nel quale si può immettere il proprio indirizzo di mail (non la password!) per sapere se si è coinvolti in questo furto di massa.

È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare.

E già che siete in ballo a cambiare le password, attivate la verifica in due passaggi o l’autenticazione a due fattori presente in quasi tutti i siti importanti: fa da ulteriore protezione contro i furti.

Ultimo aggiornamento: 2017/12/15 10:35. 

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.


Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/08/08 23:45.

Non mi dilungo sui dettagli tecnici della questione Rousseau che è divampata nei media generalisti: li ha già raccontati egregiamente David Puente in una serie di articoli. Segnalo solo alcuni fatti che forse sono stati poco evidenziati o volutamente confusi.

- Il primo “attacco” non è stato un attacco, ma ha segnalato responsabilmente in privato a Rousseau alcune sue vulnerabilità e le ha pubblicate online solo dopo che erano state corrette. Vulnerabilità, fra l’altro, equivalenti a mettere una serratura di cioccolato sulla porta di casa: limite massimo di 8 caratteri per le password e un banalissimo SQL injection, talmente classico che c’è persino la vignetta di Xkcd apposita (spiegone).


- Non è vero che le informazioni pubblicate su queste vulnerabilità sono state rimosse perché Rousseau o altri hanno preso delle “contromisure”. Beppegrillo.it scrive che “il suo sito [quello del segnalatore] è già scomparso così come i suoi account social, segno che le contromisure contro questi reati funzionano e siamo lieti che siano state così tempestive”. No. La riservatezza professionale mi impedisce di dire altro, ma la chiusura degli account del primo segnalatore non è merito di alcuna “contromisura”. Tant’è vero che gli account sono tornati online. Bullarsi di quello che non si è fatto è boriosamente stupido, per non dir di peggio.

-- L’incursione non ha richiesto talento speciale. Non stiamo parlando di forzare chissà quali ostacoli. Questo era un castello costruito col fango che non ha retto all’uso di un innaffiatoio; è l’equivalente di lasciare la porta di casa socchiusa e i gioielli in bella vista sul tavolino all’ingresso.

-- Lo stesso post su Beppegrillo.it dichiarava che “Sono già state messe in atto tutte le azioni necessarie per impedire il ripetersi di intrusioni informatiche come questa.” Beh, mica tanto e di certo non tutte, dato che qualcun altro è riuscito comunque a entrare subito dopo.

-- Il successivo furto di dati vero e proprio (quello rivendicato da r0gue_0) ha rivelato che Rousseau non ha preso neppure le misure di sicurezza più basilari. Per l’amor del cielo, le password degli utenti erano conservate in chiaro in un database. Lo sanno anche i muri che le password si custodiscono in modo crittografato tale che neanche il gestore del sistema possa decifrarle (hashing e salting), proprio per evitare i danni di massa causati da attacchi come questo. In questo modo, se vengono rubati i dati, perlomeno non sono leggibili (o è enormemente oneroso leggerli).

-- Chi minimizza dicendo che tanto non erano in corso “votazioni” non ha capito la gravità degli eventi oppure sta volutamente mettendo la testa nella sabbia. Evidentemente non ha considerato che comunque l’affiliazione politica è un dato delicato e personale e che inevitabilmente molti utenti di Rousseau avranno usato la stessa password altrove e quindi ora sono esposti al rischio di furto di account e rivelazione di altre informazioni personali. E non ha considerato che la fiducia degli utenti è stata tradita: non stiamo parlando del sito di un circolo di cucito, ma della piattaforma di gestione di uno dei movimenti politici più significativi di un paese. Se questo è il modo in cui si pensa di gestire la democrazia digitale, è meglio lasciar perdere e trovare qualcuno che ci capisca.

-- Chiamare Rousseau “sistema operativo” (come fa Beppegrillo.it a firma di “Associazione Rousseau”) significa dichiarare di essere capre in informatica. Un sistema operativo è del software che dialoga con l’hardware e fa da interprete e servitore per le applicazioni. Windows, Android, MacOS, iOS, Linux sono esempi di sistemi operativi: Rousseau no. È un sito, un portale, una piattaforma gestionale, ma non un sistema operativo. Chiamarlo sistema operativo è come vedere un cavallo e chiamarlo automobile.


Se volete altre opinioni sulla sicurezza di Rousseau, date un’occhiata a questo articolo su Formiche.net e a questo su Il Post.


2017/08/08 16:20. Rousseau protegge le password con un sistema preistorico che si supera in dodici secondi, secondo questa analisi.

2017/08/08 23:45. Ho aggiornato per chiarire il concetto di crittografia dei dati.

Ultimo aggiornamento: 2019/08/03 23:55.

Ricordate il caso di Igor, un lettore del Disinformatico al quale avevano rubato l’account Instagram? Dopo averlo recuperato, gli è successo di nuovo. L’immagine qui accanto mostra una parte di quello che si è ritrovato come contenuto del proprio profilo e suggerisce le motivazioni del furto di account: nulla di personale, ma un semplice attacco a caso per sfruttare l’account come fonte di spam.

Colgo l’occasione per descrivere come attivare una misura di sicurezza supplementare sugli account Instagram: l’autenticazione a due fattori, introdotta sperimentalmente da Instagram a gennaio 2016 ma non ancora disponibile a tutti: se l’avete, vi consiglio di attivarla.

Parto dal presupposto che usiate password separate per l’account Instagram e quello Facebook (se ne avete uno) e che non usiate l’accesso a Facebook per autenticarvi su Instagram. Le istruzioni che seguono valgono per qualunque smartphone iOS o Android.

Alcuni lettori mi segnalano che l’autenticazione a due fattori non è disponibile nelle loro installazioni. Al momento non so quale sia la ragione di questa mancanza: nei tre account che ho testato, legati a numeri svizzeri e italiani su Android (screenshot qui accanto) e iOS, l’opzione c’è.

1. Aprite l’app di Instagram e cliccate sull’icona dell’omino in basso a destra.
2. Cliccate sull'icona in alto a destra (ingranaggio su iOS, tre puntini su Android).
3. Cliccate sulla voce Autenticazione a due fattori.
4. Attivate la voce Richiedi codice di sicurezza.
5. Vi viene chiesto di dare il numero di telefonino, se non l’avete già dato. Cliccate su Aggiungi numero e immettetelo.
6. Ricevete un codice di conferma: immettetelo.
7. Vi viene proposto di fare uno screenshot dei codici di backup. Cliccate su OK e lo screenshot viene effettuato automaticamente.
8. Ricevete una mail di conferma sull’indirizzo di mail che avete associato all’account Instagram.

Da questo momento in poi potrete accedere al vostro account Instagram dal vostro smartphone (quello di cui avete dato il numero) senza problemi e senza dare codici supplementari. Se invece tentate di accedere all’account da un altro dispositivo (e soprattutto se tenta di farlo qualcuno che vi ha rubato la password), Instagram invierà un codice temporaneo di sei cifre allo smartphone di cui avete dato il numero: l’accesso all’account verrà autorizzato soltanto digitando quelle sei cifre.

Instagram resta insomma utilizzabile senza problemi anche da più di un dispositivo nonostante l’attivazione dell’autenticazione a due fattori: l’ho verificato attivandola sul mio account (disinformatico) sul mio smartphone abituale e poi su un altro mio smartphone. Quando sono entrato nel mio account sul mio computer principale digitando la password dell’account, Instagram ha inviato al mio smartphone un codice temporaneo di accesso che ho dovuto immettere per poter accedere all’account.

Un altro metodo per avere l’autenticazione a due fattori su più dispositivi è descritto qui nella guida di Instagram.

Una volta autorizzato un dispositivo, su quel dispositivo non vi verrà più chiesto il codice di sicurezza; tuttavia il codice verrà chiesto nuovamente se modificate la password.

Consiglio a tutti di attivare questa autenticazione; già che ci siete, date anche un’occhiata a quali applicazioni avete autorizzato nel vostro account.

Ultimo aggiornamento: 2023/08/14 18:00.

Rispondo pubblicamente a Igor, che mi segnala il furto del suo account Instagram e chiede aiuto, perché il problema è frequente e quindi la soluzione (anche se parziale) potrebbe interessare a molti:

“Dopo quasi 1 giorno in cui non controllavo il telefono, sono entrato come di mio solito nel mio account Instagram, con enorme sopresa mi chiede di effettuare l'accesso, cosa che non mi è mai stata chiesta. Io ci provo, ma dice che la password è errata. Ho poi provato a ripristinare, ma niente. Mi diceva che il mio nome utente e la mia email non erano collegati a nessun account Instagram, cosa alquanto sospetta. Tra l'altro il mio account Instagram era collegato a quello Facebook. Ho poi scoperto che il mio account è scomparso da Instagram. Qualcuno, un hacker probabilmente, me l'ha rubato, oppure ha cercato di rubarlo e Instagram me l'ha cancellato, chiaramente non lo so perché non ho notizie dal supporto Instagram. Così per caso sono entrato nella mia casella di posta elettronica e ho trovato delle mail alquanto sospette, che appena ho visto, con ritardo di quasi 1 giorno ho subito cestinato. Ho contattato più e più volte l'assistenza ma nessuna risposta. Mi potresti aiutare? Ti allego gli screenshots delle mail, che ho subito cestinato, anche gli orari sono particolari, la prima era delle 20 47 e le successive più di 2 ore dopo. Grazie e scusa per il disturbo. Saluti”

Ciao Igor,

Il tuo caso è particolarmente significativo, perché stando agli screenshot che mi hai inviato avevi attivato la verifica in due passaggi (autenticazione a due fattori), per cui quando l’intruso ha tentato di entrare nel tuo account Instagram ti ha mandato un codice di sicurezza, che in teoria l’intruso avrebbe dovuto digitare per prendere il controllo del tuo account.

Ti consiglio di consultare la pagina di aiuto apposita di Instagram, che porta a una serie di consigli e a una pagina di segnalazione di furto di account (https://help.instagram.com/149494825257596?helpref=hc_fnav); Chimeraevo ti ricorda inoltre quali dati serviranno a Instagram per ridarti il controllo del tuo account all’utente: una foto, l’indirizzo di mail usato per iscriversi, le date dei cambi di password legittimi (se ce ne sono stati) ed informazioni su contenuti che hai eliminato in passato.

Comunque vada il tentativo di recuperare l’account Instagram, ti consiglio di cambiare anche le password degli altri servizi online che usi, specialmente se hai usato per quei servizi la stessa password che ha usato per Instagram, altrimenti c’è il rischio che l’intruso ti rubi anche il controllo di questi altri servizi. Ti consiglio inoltre di dissociare l’account Instagram da quello Facebook, cioè di non accedere a Instagram usando il tuo profilo Facebook: tienili separati.

Infine, cerca un modo per informare i tuoi contatti Instagram del fatto che ti è stato rubato il profilo: telefono, mail, post su un altro social. Questo ti aiuta a riprendere i rapporti con loro e permette di avvisarli di stare in guardia, perché il ladro del tuo profilo probabilmente cercherà di ingannare i tuoi contatti, e rubare anche i loro profili, facendo finta di essere te e usando il fatto che i tuoi contatti si fidano di te.

Secondo me vale la pena, inoltre, che ripassi i consigli di prevenzione di Instagram:

• usa una password robusta (almeno sei caratteri) e differente dalle altre che usi altrove;
• modifica periodicamente la password;
• non condividerla mai con nessuno, ma specialmente con sconosciuti;
• verifica la sicurezza della tua casella di mail;
• esci da Instagram se usi un computer o telefono altrui;
• fai attenzione ad autorizzare applicazioni di terzi.

Per Facebook, i link di aiuto sono i seguenti:

• Recupero dell'account se pensi che il tuo account Facebook sia stato hackerato o se qualcuno lo sta usando senza la tua autorizzazione: https://www.facebook.com/help/203305893040179
• Procedura alternativa: https://www.facebook.com/hacked

Se il tentativo di recupero fallisce

Se vi capita di aver provato tutti i passi descritti qui sopra e non avete riottenuto il vostro account, probabilmente lo avete perso per sempre e vi conviene mettervi il cuore in pace: createvi un account nuovo, proteggetelo bene con una buona password e con l’autenticazione a due fattori, e fatelo conoscere ai vostri contatti e amici.

In teoria c’è ancora una strada percorribile: potreste provare a contattare chi sta usando adesso il vostro account (mandandogli un messaggio all’account che vi ha rubato) e chiedergli se è disposto a ridarvelo se gli pagate qualcosa. Se lo fate, ovviamente non usate carte di credito ma offrite di pagare con Bitcoin o carte prepagate Apple o simili.

Ultimo aggiornamento: 2017/01/15 11:00.

Mi scrive Kevin con un problema di Playstation:

oggi mi hanno rubato l’account della playstation e hanno cambiato password e data di nascita, quindi non posso recuperarlo, il problema oltre ad aver perso l’account è che i giochi li ho presi tutti in digitale, e non avendo più il mio account principale mi è impossibile usarli, c’è una qualche soluzione a ciò?

Ho chiesto a Luca “Paltrax” Paltrinieri, esperto locale della Rete Tre RSI, che ha spiegato come risolvere il problema: bisogna contattare Sony via mail (l’indirizzo è un po’ nascosto nel sito, ma per la Svizzera è service@ch.playstation.com) e avere pazienza, senza tentare rimedi improvvisati.

Entro un giorno Sony risponde, di solito in lingua italiana, e fornisce anche un numero di telefono per dare istruzioni in diretta se non bastano quelle trasmesse via mail. La console di gioco ha un numero identificativo univoco, stampigliato sul dispositivo, che bisogna comunicare a Sony. Questo consente a Sony di ripristinare tutte le impostazioni originali e restituire il maltolto.

Lo spiegone di Luca, che ha subito un attacco piuttosto simile, è ascoltabile in forma estesa nel podcast della puntata del Disinformatico da 6:50 in poi.

Come misura di prevenzione, per evitare che il furto si ripeta, consiglio l’attivazione della verifica in due passaggi, per cui quando ci si collega alla rete di gioco è necessario digitare anche un PIN che ci arriva sul telefonino.

Per maggiori informazioni segnalo anche questi tre link (in inglese): Playstation Community, Reddit, Digital Trends.

2017/01/15 11:00

Kevin mi ha scritto aggiornandomi sulla situazione:

Alla fine sono riuscito a risolvere bypassando il controllo di sicurezza della Sony e a reimpostare la password, una cosa che consiglio a tutti i gamer è di attivare il controllo in 2 fasi, così da rendere quasi impossibile il furto dell’account

Ultimo aggiornamento: 2016/12/20 15:00.

Circa tre mesi fa Yahoo ha fatto scalpore annunciando che si era fatta rubare le credenziali di circa 500 milioni di account: un record assoluto.

Ora è arrivata la segnalazione di un furto di account ancora più grande, che ha effetto su un miliardo di account. E l’azienda colpita è di nuovo Yahoo. Ho anch’io un vecchio account Yahoo, sul quale ho ricevuto l’avviso di sicurezza riguardante questa nuova scoperta.

Una brutta figura, insomma, peggiorata dal fatto che l’annuncio del furto ammette che i dati sono stati sottratti ad agosto del 2013 ma gli utenti ne vengono avvisati soltanto adesso. In altre parole, i buoi non sono soltanto già scappati dal recinto: nel frattempo hanno fatto famiglia e messo su casa.

La cosa è grave, perché in questo nuovo attacco sono stati trafugati nomi, indirizzi di mail, numeri di telefono, date di nascita e domande di recupero password: tutto il necessario, insomma, per fare attacchi e truffe in massa.

I guai di Yahoo non finiscono qui: una ricerca segnala che i servizi al pubblico dell’azienda avevano una falla talmente grave che un aggressore poteva leggere le mail di qualunque utente Yahoo semplicemente mandando all’utente una mail appositamente confezionata; non aveva bisogno di conoscere password o altro. Se la vittima leggeva la mail-trappola, l’aggressore prendeva il controllo completo dell’account, come spiega We Live Security. Lo scopritore della falla (Jouko Pynnönen, della società di sicurezza informatica finlandese Klikki Oy) ha ricevuto da Yahoo una ricompensa di 10.000 dollari per aver segnalato il problema all’azienda in modo responsabile.

A questo punto molti utenti si staranno chiedendo cosa fare con i propri account Yahoo. Gli esperti di sicurezza informatica, come Graham Cluley, hanno stilato una serie di consigli, utili soprattutto per chi, per qualche ragione, non può evitare di usare Yahoo:

– prima di tutto, cambiate password su Yahoo e usatene una lunga e complessa oltre che diversa da quelle usate altrove;
– se avete usato la stessa password per altri siti, cambiatela subito anche in questi altri siti;
– attivate la verifica in due passaggi, che vi manda sullo smartphone un codice di sicurezza supplementare se qualcuno tenta di entrare nel vostro account da un dispositivo non vostro;
– riducete al minimo indispensabile il vostro uso di Yahoo;
– non usate Yahoo per comunicazioni riservate o confidenziali;
– fate attenzione più che mai, d’ora in poi, a eventuali mail, messaggi o telefonate di soggetti che cercano di autenticarsi dicendo di sapere il vostro nome, cognome, data di nascita e numero di telefono: potrebbero essere truffatori.

Da parte mia aggiungo che è opportuno controllare anche gli eventuali servizi collegati all’account, come per esempio quelli di Flickr, sito dedicato alle fotografie, per il quale è obbligatorio un account Yahoo (ho cambiato di nuovo la password anche se avevo già attivato la verifica in due passaggi, ho tolto tutti i collegamenti di Flickr a Twitter e altri social network e ho cancellato tutte le autorizzazioni Flickr delle applicazioni di terzi).

Se non avete un account Yahoo, non compiacetevi troppo: queste regole valgono infatti per tutti i fornitori di account, e purtroppo l’esperienza insegna che è solo questione di tempo prima che un furto come questo capiti a qualche altro fornitore. Siate prudenti.