Questo non è un articolo tecnico: consideratelo semplicemente come un appunto pubblico che magari può essere utile a qualcuno che si trovi nella mia stessa situazione.

Ieri mi sono collegato al mio account Instagram e ho trovato questo avviso.

“Il tuo account è stato bloccato temporaneamente” dice l’avviso sul mio smartphone. “Abbiamo scoperto un’attività sospetta sul tuo account Instagram e lo abbiamo bloccato temporaneamente per precauzione. Il tuo account potrebbe essere stato compromesso perché hai inserito la tua password su un sito web creato per assomigliare a Instagram. Questo tipo di frode è chiamato "phishing"”.

Come avrete intuito, non ho affatto inserito la mia password in un sito di phishing e ho l’autenticazione a due fattori. Ma allora cosa sta succedendo realmente?

L’avviso dice che nei passaggi successivi mi verrà chiesto di verificare la mia identità. Va be’, proviamo. Clicco su Continua.

Mi viene chiesto come voglio ricevere un codice di sicurezza: via mail o tramite SMS al mio telefonino. Scelgo la seconda opzione.

Mi arriva via SMS un codice di sei cifre e lo immetto nella schermata di verifica di Instagram.

L’app mi chiede poi di modificare la mia password. Eseguo.

Ta-da! Account sbloccato. Mistero totale sulle cause del blocco. Colgo l’occasione per ricordare che è indispensabile attivare sempre l’autenticazione a due fattori, per proteggersi da tentativi di phishing, e che con un “supporto tecnico” criptico del genere non è mai una buona cosa far dipendere una propria attività economica o comunicativa essenziale da un singolo account social, in ossequio alla Clausola del Gatto Sitwoy.

Quando si insegnano le basi della sicurezza informatica e in particolare come difendersi dai ladri di password, una delle regole più importanti, ripetute fino alla noia, è che prima di digitare la propria password bisogna sempre verificare di essere nel sito vero e non in una sua imitazione fabbricata dai truffatori.

Per fare questa verifica in modo facile e usabile anche da persone non esperte, si consiglia di ignorare l’eventuale contenuto grafico della pagina che sta chiedendo le credenziali di accesso e di guardare con attenzione il nome del sito, ossia l’URL (quello indicato in alto nella schermata).

Per esempio, se voglio verificare di essere davvero nella schermata di login di Google e non in quella imitata da un truffatore, dovrò controllare che in alto ci sia scritto accounts.google.com e non pincopallino.com oppure googIe.com.

Come ulteriore verifica, cercherò anche l’icona di un lucchetto chiuso accanto al nome del sito: se non c’è, saprò per certo che mi trovo nel sito di un truffatore e quindi non digiterò la mia password. Se c’è, invece, non mi potrò fidare, perché i truffatori più abili possono fare in modo che il lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.

Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il lucchetto) che si imparano facilmente e diventano automatiche come guardare a sinistra e a destra prima di attraversare la strada.

Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che sovverte queste regole di sicurezza, perché è in grado di imitare quasi perfettamente sia il nome del sito, sia la presenza del lucchetto.

Questa tecnica si chiama Browser in the Browser, abbreviato in BITB, ed è stata annunciata da un ricercatore di sicurezza che si fa chiamare semplicemente mr.d0x.

Funziona così: avete presente quelle finestre di dialogo che compaiono spesso quando si accede la prima volta a un sito? Quelle che per evitarvi di dover creare un account e una password appositamente vi dicono “login con Facebook”, “login con Microsoft”, “continua con Apple”, “collegati usando Google” o cose simili e vi propongono appunto di usare un vostro account esistente per il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un esperto, creare una versione fraudolenta di queste finestre di dialogo e farla apparire sullo schermo della vittima.

Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla finestra di dialogo un bordo superiore che imita la testata di un browser.

La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra del browser, e quando va a controllare il nome del sito e la presenza del lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito mostrato nella finta testata del browser, che è sotto il controllo del truffatore.

Il ladro di password, infatti, può far comparire in questa testata un nome di sito a suo piacimento, per cui se vuole per esempio rubare una password di un account Google metterà in questa falsa testata accounts.google.com. E per di più potrà anche inserire l’icona del lucchetto, fintamente rassicurante.

Un video pubblicato su YouTube illustra in dettaglio il procedimento necessario per creare un sito rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di sicurezza.

Anzi, è già stata usata almeno una volta, nel 2020, per rubare password del servizio di distribuzione di videogiochi Steam.

A questo punto occorre insomma aggiornare le regole di sicurezza: non basta più controllare il nome del sito e l’eventuale assenza del lucchetto. Gli esperti notano che c’è un modo abbastanza semplice per distinguere un sito fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste nel provare a spostare la finestra di dialogo: se è vera, sarà possibile spostarla in modo che si sovrapponga alla vera testata del browser; se è falsa, questo spostamento la farà finire sotto la vera testata. Ma l’utente medio si ricorderà di fare ogni volta tutti questi controlli?

È improbabile, per cui si consiglia di usare un approccio differente, di prevenzione: attivare l’autenticazione a due fattori su ogni account, usando le istruzioni apposite facilmente reperibili in Google. In questo modo, se si sbaglia e si digita la propria password in un sito che la ruba, i ladri non potranno comunque prendere il controllo dell’account e si dovrà semplicemente cambiare la password.

Come sempre, anche in informatica, prevenire è meglio che curare.

Ultimo aggiornamento: 2022/03/03 8:15. Questo articolo è disponibile anche in versione podcast audio.

Poche ore fa mi è arrivato su Twitter questo messaggio diretto:

L’account di nome Feedback Team, autenticato con tanto di bollino blu, mi ha segnalato una mia violazione del copyright e mi ha detto che il mio account sarebbe stato rimosso entro 48 ore se non avessi dato spiegazioni usando il link appositamente fornito.

Per qualche secondo mi sono allarmato, perché in effetti era possibile che io avessi commesso una violazione di copyright in qualche immagine che avevo postato, e l’account dal quale proveniva la segnalazione era davvero autenticato: cliccando sul suo bollino, infatti, compariva la normale informativa di Twitter sui motivi dell’autenticazione, che diceva che l’account dal quale mi era arrivata la segnalazione era “verificato poiché è considerato degno di nota nella categoria delle istituzioni, dell’attualità, dello spettacolo o di un altro settore specifico.”

 

Ma si trattava di una trappola ben costruita. Non era affatto un account tecnico di Twitter, nonostante fosse autenticato.

Il primo ingrediente di questa trappola era la psicologia. Il testo del messaggio era fatto su misura per creare ansia nel destinatario, tramite la minaccia di chiusura dell’account.

E confesso che ha funzionato. Nonostante io non sia -- come dire -- di primo pelo in fatto di sicurezza informatica, la mia mente non ha nemmeno fatto caso alle motivazioni dell’autenticazione: ha semplicemente registrato il fatto che l’account era autenticato. Non mi sono accorto che un account di supporto tecnico di Twitter non c’entrava nulla con “istituzioni”, “attualità” o “spettacolo”. Voi ci avete fatto caso? Ecco un esempio perfetto dei corti circuiti mentali che si instaurano quando si è agitati. I truffatori li conoscono benissimo e li sfruttano senza pietà. 

L’unico elemento che mi ha insospettito è stato il link a Google. Perché mai Twitter avrebbe dovuto appoggiarsi a Google per ospitare le pagine di richiesta di giustificazione?

Così mi sono fermato un momento a pensare e ho provato a controllare il nome dell’account del presunto Feedback Team di Twitter: non quello indicato da Twitter, ma quello presente nel link associato al messaggio: era https://twitter.com/reazlepuff. 

Decisamente non era un nome plausibile per un account tecnico di Twitter. Però era autenticato. Come era possibile che un truffatore avesse un account autenticato? 

Lo spavento che avevo preso, e la consapevolezza che la trappola ben congegnata avrebbe causato danni a tanti, mi ha fatto inviperire e quindi ho lasciato al truffatore un messaggio di risposta decisamente colorito ("F*** you, phishing ***hole", ma senza gli asterischi). 

Me ne sarei pentito poche ore dopo.

Lo scopo della trappola era il phishing, ossia il tentativo di rubare login e password. Me ne sono accordo quando ho visitato con molta cautela (cioè con un browser di una macchina virtuale) il link a Google indicato nel tweet del truffatore, ossia sites.google . com/view/case-02506828635-tw/ (copia permanente). Sullo schermo compariva quella che sembrava essere una pagina di login di Twitter, con tutta la grafica giusta e le diciture corrette, ma era in realtà gestita dal truffatore.

Chiunque avesse immesso il proprio nome utente e la propria password in questa pagina avrebbe inviato questi dati al ladro, dandogli tutto il necessario per prendere il controllo dell’account (salvo che avesse attivato l’autenticazione a due fattori, cosa che purtroppo molti utenti ancora non fanno).

Così ho segnalato subito a Twitter e a Google l’account truffaldino, rispettivamente tramite l’account @TwitterSafety e la pagina Safebrowsing.google.com.

@TwitterSafety The account @reazlepuff has been hacked and is now sending DMs that link to a phishing page on Google. Please fix this. pic.twitter.com/MIOWaKJBdy

— Paolo Attivissimo (@disinformatico) February 27, 2022

Restava il mistero di come avesse fatto il truffatore ad avere un account autenticato. 

Una possibile spiegazione era che si trattasse di un account che era stato rubato a una persona reale, che in precedenza si era fatta autenticare da Twitter, in modo da avere il bollino blu di garanzia. In questo caso non sarebbe stato il ladro a ingannare i servizi di autenticazione di Twitter: più semplicemente, il truffatore avrebbe ereditato l’autenticazione fatta regolarmente dalla sua vittima. Questa sarebbe stata tutto sommato una buona notizia, perché avrebbe significato che il sistema di autenticazione non era stato compromesso.

Ma se le cose erano andate così, chi era la vittima autenticata? L’autenticazione su Twitter non è facile da avere, per cui doveva trattarsi di una persona o di un ente di una certa fama. Il nome reazlepuff non sembrava fornire indizi. Mi ci è voluta una ricerca approfondita nel motore di ricerca interno di Twitter (twitter.com/search) per trovare non tanto i suoi tweet, perché il truffatore li aveva nascosti, ma i tweet delle persone che le avevano scritto prima del furto dell’account (con la query https://twitter.com/search?lang=it&q=(to%3Areazlepuff)&src=typed_query). Questa ricerca indiretta mi ha permesso di scoprire di chi si trattava. 

Ed è lì che è partito il mio imbarazzato pentimento.

Infatti la vittima del furto di account, la persona il cui account autenticato veniva adesso usato per trarre in inganno altri utenti di Twitter e rubare i loro account, era Reality Winner, ex specialista di intelligence statunitense, condannata nel 2018 a cinque anni di carcere in una vicenda di whistleblowing molto clamorosa e controversa, finita in prima pagina su molti giornali statunitensi, per aver fornito alla stampa senza autorizzazione dei documenti governativi segreti sulle interferenze russe nelle elezioni americane del 2016: materiale di importanza cruciale per l’opinione pubblica.

In difesa di Reality Winner si erano schierate associazioni come la Electronic Frontier Foundation e la Freedom of the Press Foundation. La sua storia è raccontata qui da USA Today.

Sono riuscito a contattarla privatamente via Instagram, dove mi ha confermato di essere lei la titolare dell’account Twitter rubato e che stava cercando di riprenderne il controllo. L’autenticazione a due fattori non era stata violata.

È stato a quel punto che mi sono ricordato che avevo lasciato quel messaggio di insulti destinato al ladro, e mi sono reso conto che Reality Winner, una volta ripreso il controllo del proprio account, l’avrebbe letto e avrebbe pensato che fosse stato rivolto a lei. 

Insomma, le mie prime parole su Twitter a una nota whistleblower finita in prima pagina, a una persona che si era appena fatta cinque anni di carcere per difendere la libertà di stampa e fornire al pubblico informazioni politicamente vitali e che si stava da poco riaffacciando a Internet oltre che alla vita normale dopo cinque anni di sostanziale isolamento digitale, sarebbero state “F*** you".

Mi sono precipitato a tentare di cancellarle, ma Twitter non consente di eliminare i messaggi diretti. Così ho riscritto di corsa a Reality Winner via Instagram, scusandomi profondamente e avvisandola che ero io il colpevole della pessima accoglienza verbale che avrebbe trovato.

Per fortuna l’ha presa molto sportivamente e mi ha perdonato con garbo quando il suo account è stato ripristinato (e la pagina del truffatore ora viene segnalata molto vistosamente come pericolosa da Google, come mostrato qui sotto). Ma la mia figuraccia resta. Mi raccomando: non fidatevi dei messaggi di avviso, neanche se arrivano da account autenticati, e soprattutto imparate dalle mie gaffe.

Questo è il testo, con link, della seconda parte del mio podcast di questa settimana. Il testo della prima parte è invece qui.

Ho un aggiornamento sulla vicenda del ladro informatico che tenta di rubare i conti correnti alle vittime di cui vi ho parlato nella puntata precedente di questo podcast [e qui]. Riassunto veloce: qualcuno sta mandando moltissimi SMS a persone a caso, facendo sembrare che si tratti di messaggi provenienti da una banca. I messaggi contengono un link e un invito a cliccarvi su per verificare la propria situazione sul conto. Il link porta a un sito, gestito dal truffatore, che ha lo stesso aspetto del sito della banca presa di mira. Se la vittima cade nella trappola e vi immette i dati, regala le proprie credenziali al criminale.

Sembrava una vicenda classica di phishing, ma poi è emerso che il truffatore stava commettendo un errore tecnico madornale: il file nel quale registrava le login, le password e i dati delle carte di credito delle vittime era pubblicamente accessibile via Internet e quindi chiunque poteva leggerlo semplicemente conoscendone il nome (che è un nome assolutamente banale che si usa spessissimo in questi casi).

Questo mi ha permesso di contattare le vittime, molte delle quali immettevano nel sito del truffatore anche il proprio numero di telefonino, e così le ho allertate evitando il danno o perlomeno riducendo la portata del furto di credenziali.

Ma la vicenda non è finita: prima di tutto l’ufficio stampa della banca mi ha contattato per ringraziare delle segnalazioni e per avvisare che gli uffici interni della banca stessa sono stati allertati in modo che possano prendere le contromisure necessarie e fare le segnalazioni opportune. Questo proteggerà meglio i clienti e conferma che segnalare questi tentativi di furto non è inutile ma è anzi apprezzato.

In secondo luogo, è emerso che questo errore grossolano non è successo una sola volta, ma fa parte di una serie.

Non è chiaro se si tratti dello stesso ladro pasticcione che ripete l’errore in tutti i siti che crea o se si tratti di un kit standard per creare frodi bancarie che contiene questo difetto. Ma di fatto ci sono numerosissimi siti-truffa che hanno lo stesso schema colabrodo. Questo è bene, perché così è possibile avvisare le vittime.

In attesa che i ladri imbranati vengano assicurati alla giustizia o perlomeno neutralizzati, ognuno di noi può dare una mano a contrastarli. Ecco come.

La prima cosa da fare è, ovviamente, non abboccare a questi falsi allarmi e avvisare parenti, colleghi e amici di questo tipo di trappola. Non bisogna mai, mai, mai cliccare sui link presenti in questi messaggi.

La seconda cosa da fare è segnalarli a Google, presso Safebrowsing.google.com, cliccando su Report phish. In Svizzera si può inviare una segnalazione anche ad Antiphishing.ch per allertare il Centro nazionale per la cibersicurezza della Confederazione. In Italia si può inviare una segnalazione allo sportello online della Polizia Postale e delle Comunicazioni. Più in generale, si può segnalare il sito-trappola ad Antiphishing.org. Inoltre molti antivirus per telefonini avvisano l’utente se tenta di visitare un sito che finge di essere una banca e in molti casi bloccano direttamente l’accesso al sito in questione.

Se siete utenti più esperti, potete poi usare il comando whois in una finestra di terminale per sapere chi è il responsabile tecnico del server di hosting che ospita il sito dei truffatori e mandargli una mail di segnalazione, preferibilmente in inglese [qualcosa del tipo “Please note that you're hosting a phishing site that is stealing credentials from victims”, seguito dal link del sito]. Molti di questi responsabili non sono al corrente di tutto quello che succede sui loro server: non sono complici ma vittime, per cui ricevono volentieri segnalazioni che evitino un loro coinvolgimento in frodi bancarie. 

[Per esempio, ho trovato il sito di phishing mostrato qui sopra in hosting su Tripulante.mx. Così ho fatto un whois per scoprire che indirizzo di mail hanno i responsabili tecnici, amministrativi e di abuse di Tripulante.mx: il record whois punta (stranamente) direttamente a tech-iana chiocciola nic.mx, adm-iana chiocciola nic.mx e abuse chiocciola nic.mx. Ho mandato loro una mail con la segnalazione dell’URL di phishing e ho ricevuto conferma dell’apertura di un ticket al quale verrà data risposta entro 24 ore. Al momento in cui scrivo, però, l’URL è ancora attivo, anche se si sta riempiendo di credenziali farlocche immesse da utenti consapevoli del raggiro.

Meraviglioso.]

[Un’altra mia segnalazione, invece, è andata a buon fine. Il sito isp-info-intesa-com.preview-domain punto com ospitava una pagina di phishing che simulava Banca Intesa San Paolo:

Anche in questo caso ho usato whois per trovare la mail dell’abuse (abuse chiocciola hostinger punto com) e ho mandato una mail di segnalazione. Lo stesso è successo anche per un altro sito di phishing, aggiornadati2022 punto com.]

Se tutto questo vi sembra troppo complicato, per voi o per qualcuno che conoscete, ricordate soltanto la regola fondamentale: nessuna banca seria vi manderà mai un messaggino di allarme chiedendovi di cliccare su un link per avere maggiori informazioni. Quindi qualunque messaggio che faccia queste cose va semplicemente cestinato. E se è troppo tardi e avete immesso i vostri dati confidenziali nel sito dei truffatori, non perdete tempo e bloccate immediatamente il vostro conto corrente e la relativa carta di credito, chiamando direttamente la vostra banca o andandoci di persona. Non usate Internet.

Io, intanto, proseguo in buona compagnia il pedinamento dei ladri pasticcioni.

Questo articolo è disponibile anche in versione podcast. Ultimo aggiornamento: 2022/02/18 13:25.

All’inizio sembra la classica storia di phishing bancario: un truffatore crea un sito Web che somiglia a quello di una banca, manda una raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella banca e contengono un link al sito del truffatore, e poi aspetta che le vittime che hanno ricevuto quell’SMS e sono per pura coincidenza correntiste di quella banca cadano nella trappola, cliccando sul link, visitando il sito e immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_ ) mi ha mandato un tweet avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il mittente apparente era CartaBCC) e conteneva un messaggio di allarme: “Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax”.

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in modo da ingannare, con quel mittente falsificato, e creare ansia all’idea del blocco del conto corrente, il link contenuto nell’SMS era chiaramente sospetto per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non sembra proprio un nome da sito bancario.

“Che faccio? Compilo?” mi ha chiesto ironicamente Giulio. 

Visitando il link con le opportune precauzioni ho visto che il falso sito bancario era ancora attivo e conteneva la schermata di richiesta credenziali di una nota banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le credenziali bancarie dei malcapitati correntisti che non si accorgevano dell’inganno. Avrei dovuto quindi allertare la banca in questione e le autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del truffatore e ne aveva esaminato la struttura, che era pubblicamente accessibile. Aveva notato per esempio il contenuto del file robots.txt, che rivelava che si trattava di un sito che era stato creato con il popolare software WordPress e in realtà apparteneva a un servizio legittimo, nel quale il truffatore si era inserito abusivamente aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un nome di file usato molto frequentemente, che non cito qui per prudenza, e di aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili: questo genio del male aveva commesso l’errore fondamentale di lasciare pubblicamente accessibile il file nel quale stava man mano registrando le credenziali delle proprie vittime: indirizzo IP, login, nome, password, numero e CVV della carta bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne l’URL per leggerlo tranquillamente con un normale browser: https://pay-stub.com/relax/[nomefile].txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in fondo al file *.txt è comparsa una riga nuova contenente il mio indirizzo IP e i miei dati.

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non erano al corrente della situazione e sono state giustamente sospettose nel ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho chiesto dati personali ma li ho comunicati io a loro, ossia il contrario di quello che fa un truffatore: ho detto cose del tipo “Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali ed è correntista presso la Banca Cosìecosà e la sua password inizia con queste lettere, tenga presente che la sua password è stata rubata e rinvenuta in un archivio di password trafugante e le conviene cambiarla immediatamente”.

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e quando le si raggiunge è molto difficile spiegare tutta la situazione. Del resto, se vi telefonasse uno sconosciuto dicendovi le vostre password bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi pomeriggio, insomma) e quindi i dati rubati non sono più reperibili pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori la beffa: a un certo punto molte vittime si sono accorte che si trattava di un tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo praticamente inutilizzabile la raccolta di credenziali iniziata dal truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente plausibili insieme a dei nomi utente o password decisamente scurrili, che non posso riferire qui, per far capire al ladro che non si erano fatte ingannare. Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni molto colorite delle attività personali di sua madre e numerosi suggerimenti pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all’inizio del file che conteneva le credenziali c’erano anche i dati delle prove fatte dal ladro, che includevano anche il suo indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare Vodafone. Ho comunicato questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere tutto il necessario per identificare l’aspirante ladro. 

----

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine come riconoscere i tentativi di inganno.

• Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché possono essere falsificati facilmente. 
• Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si tratta di messaggi di allarme che riguardano conti bancari o spedizioni postali o vincite inaspettate.
• Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti tramite dei messaggini contenenti dei link o chiederà telefonicamente di confermare codici di accesso.

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è usare Browserling.com, che vi offre tre minuti di tempo su un computer remoto sacrificabile), potreste provare a visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste a proteggere le vittime nascondendo le loro credenziali vere in una selva di credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti potete segnalarlo a Google presso Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se lo visitano.

La cantante italiana Elodie ha segnalato su Instagram di essere stata oggetto di un tentativo di phishing: qualcuno le ha mandato vari messaggi che sembravano degli avvisi di sicurezza per un suo account contenente foto ma in realtà erano dei falsi generati dal suo aggressore. 

Si è accorta in tempo del tentativo e non è caduta nella trappola. Ha pubblicato i messaggi-truffa, e questo permette di studiare da vicino un caso concreto di tentato furto di credenziali che avrebbe potuto avere conseguenze personali e professionali pesanti.

La prima cosa interessante è il testo degli avvisi, costruito in modo da sembrare realistico, personale e preoccupante: “Ciao Elodie, Nuovo accesso al tuo account nei pressi di Milano(Mi). Autorizza o blocca questo accesso tramite [link]”; “Ciao Elodie, Come da tua richiesta il download della libreria fotografica è iniziato. Verifica i tuoi file su [link]”; “Ciao Elodie, Blocca i tentativi di accesso al tuo account completando il login su [link]”; e così via. Tutti i messaggi sono pensati in modo da indurre la vittima a cliccare sul link, dove troverà una finta pagina di login, gestita in realtà dai truffatori. Se dovesse digitare la propria password in questa pagina falsa, regalerà il controllo del proprio account ai malviventi.

Il link è la seconda cosa interessante: è sempre uguale, ed ha la forma bit [punto] ly/accessoSospetto. Anche il nome del link è scelto in modo da sembrare un riferimento a una pagina di verifica di sicurezza antifrode.

Si tratta di un link abbreviato: la sua versione estesa, e quindi il vero indirizzo web della pagina-trappola, è https://www.iclooud[punto]co/b/VerificaAccesso/. Notate l’iclooud con due O, che è facile scambiare per iCloud di Apple. Secondo Domaintools, Iclooud[punto]co risiedeva in Germania all’indirizzo IP 185.219.221.184 ed è stato creato 87 giorni fa, il primo marzo 2021. Ora non risponde più: meglio così.

Per evitare questo genere di truffa, conviene abituarsi a non cliccare sui link di allerta e conviene attivare l’autenticazione a due fattori. Forse ora che il tentativo di phishing è capitato a una persona così seguita, un po’ di gente starà più attenta. Forse.

 

Fonti: Yahoo Notizie, Fanpage.it.

Credit: Cosive.

Rispondo pubblicamente alla domanda di un lettore, Gabriele, che è ricorrente e credo sia di interesse generale:

All'ennesimo tentativo di phishing via email, per tentare di carpire le credenziali del mio conto BancoPosta (che, come molti altri bersagli di queste email, non ho), mi è venuta una curiosità: ma, se invece di ignorarli, faccio finta di cascarci e metto delle credenziali totalmente fasulle, secondo te posso creargli almeno qualche fastidio? Che so, magari a seguito dei tentativi errati viene bloccato l'indirizzo IP...
A tua conoscenza, esistono apposite credenziali da immettere a questo scopo, almeno su qualcuno dei classici bersagli?

La tecnica di immettere credenziali fasulle in un sito di truffatori si chiama well poisoning (“avvelenamento del pozzo”) o credential poisoning (“avvelenamento delle credenziali”) e in sé funziona, ma sconsiglio di usarla a livello personale e di lasciarla ai professionisti.

La ragione è che un non professionista riesce a fare troppo poco. Oggi i criminali informatici sono molto ben attrezzati, e quindi sono in grado di verificare molto rapidamente un gran numero di credenziali e accorgersi in poco tempo di quelle false (per esempio perché provengono tutte da uno stesso indirizzo IP o dalla stessa versione dello stesso browser nella medesima lingua o hanno la stessa struttura indirizzo1, indirizzo2, indirizzo3...).

Generare credenziali credibili, infatti, è piuttosto complicato: se viene chiesto un numero di carta di credito, per esempio, non basta immettere sedici cifre a caso. Devono essere coerenti tra loro, ed è invece banale per il criminale verificare se il numero è valido.

Per mettere seriamente in crisi dei truffatori è necessario immettere un numero molto elevato di credenziali in poco tempo e queste credenziali devono essere coerenti e credibili (provenienti da browser e indirizzi IP differenti): i professionisti sanno come generarle sul momento, ma i singoli utenti raramente hanno le risorse necessarie.

Per dare un’idea di cosa si intende per “poco tempo”, una ricerca interna di IBM del 2017 ha indicato che già all’epoca il 70% delle credenziali veniva raccolto dai truffatori nella prima ora di attività della loro campagna di phishing, e che comunque un sito di phishing aveva una vita media di una decina di ore. Di conseguenza non esistono, che io sappia, appositi elenchi di credenziali già pronte.

Un’altra tecnica di “avvelenamento del pozzo” molto interessante è l’uso delle cosiddette canary credentials (letteralmente “credenziali canarino”, con riferimento all’uso dei canarini nelle miniere per rilevare gas tossici o altrimenti pericolosi nell’aria) da parte dei siti per proteggere la propria sicurezza: si tratta di credenziali (nome utente e password) che non appartengono a nessun utente reale e quindi normalmente non verranno mai usate da nessuno. Se qualcuno tenta di accedere al sito usandole, scatta automaticamente l’allarme, perché è chiaro che c’è stata una violazione della sicurezza.


Fonti aggiuntive: Cosive, Allure Security.

D3LabIT mi segnala questo tentativo di phishing ai danni degli utenti della SUPSI, la Scuola universitaria professionale della Svizzera italiana. La falsa pagina di login, mostrata qui sopra, si trova in realtà presso https://fusioncya punto com/sup/. Gli altri link nella pagina portano alle pagine corrispondenti del vero sito SUPSI.

I truffatori probabilmente portano le vittime su questa pagina mandando loro dei messaggi (mail o altri canali di messaggistica) contenenti un link che apparentemente porta al sito della SUPSI ma in realtà porta al sito dei truffatori. È sempre pericoloso cliccare su link contenuti in messaggi; diffidate di quelli che vi portano a pagine di login.

Notate il lucchetto, che può dare un falso senso di sicurezza: indica soltanto che la comunicazione è cifrata, ma non autentica il sito che lo presenta. Il certificato digitale che fa mostrare al browser questo lucchetto è fornito in questo caso gratuitamente da Let’s Encrypt.

Dopo aver cliccato su Login nella pagina dei ladri di password si viene portati alla vera pagina di login della SUPSI (https://webmail.ti-edu.ch/). Questo fa credere all’utente che ci sia stato semplicemente un banale errore di immissione, perfezionando l’inganno.

La falsa pagina di login.

La vera pagina di login.

Ovviamente non bisogna mai immettere password in pagine come questa. Se l’avete fatto, cambiate immediatamente la vostra password visitando il sito vero. Per essere sicuri di visitare il sito vero, digitatene a mano il nome nel vostro browser.

@supsi_ch vi segnaliamo una campagna di phishing a danno dei vostri utenti. Target la posta elettronica. Pagine clone su https[:]//fusioncya[.]com/sup/@PoliziaTI @disinformatico pic.twitter.com/7NNXmS3wel

— D3LabIT (@D3LabIT) December 13, 2018

Può avere senso visitare in massa la pagina dei ladri di password e immettere dati fasulli, in modo da inquinare e rendere inservibile l’archivio di login e password che stanno accumulando? È probabile. In ogni caso, prudenza.

2018/12/14 10:30. Firefox ora segnala il sito truffaldino come pericoloso, grazie a Google Safe Browsing.

Se ricevete messaggi o mail che sembrano provenire da FlySwiss, fate molta attenzione, perché si può trattare di tentativi di infettare il vostro computer con un trojan bancario denominato Retefe. Lo ha tweetato pochi giorni fa @Govcert_ch, l’account Twitter della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Svizzera MELANI.

Attention: Miscreants are currently sending out fake emails pretending to come from @FlySWISS, trying to infect Swiss citizens with eBanking Trojan "Retefe".

Help us and report suspect emails to https://t.co/EQYuk9dEOW pic.twitter.com/yfRg9CShIK

— GovCERT.ch (@GovCERT_CH) 27 febbraio 2018

Lo schema della truffa è abbastanza classico, ma non manca mai di fare vittime: il messaggio-trappola parla di una prenotazione di un volo con la Swiss International Air Lines e include un allegato Word che a prima vista sembra la documentazione della prenotazione ma in realtà è infettante.




Il documento, infatti, contiene una dicitura che dice che per visualizzare il testo bisogna abilitare le macro e fornisce le istruzioni per farlo. Non è vero: abilitando l’esecuzione delle macro si attiva l’installazione del malware. Cestinate il messaggio senza aprire l’allegato e senza abilitare le macro e sarete a posto.

Retefe (documentato qui da Govcert.ch) circola almeno dal 2013 e si evolve man mano. Esiste anche in versione per Mac e Android, e usa una complessa serie di trucchi informatici per modificare la configurazione del computer e intercettare i dati delle transazioni bancarie.

Se ricevete questo genere di trappola, segnalatelo presso Antiphishing.ch.

Ieri mi è arrivata la segnalazione di una mail che sembrava l‘avviso di sicurezza di una banca. La persona che me l’ha mandata non era correntista di quella banca, per cui ha capito subito che si trattava di un inganno, ma a quel punto è sorta la domanda: adesso che si fa?

La procedura è semplice, e la riassumo qui come promemoria perché così potete contribuire anche voi a bloccare questo genere di tentativo di furto di credenziali bancarie o phishing:

1. Se ricevete una mail o un messaggio che proviene apparentemente da una banca o da qualunque organizzazione che gestisce soldi e vi invita a cliccare su un link per qualunque motivo, non fatelo.
2. Se siete al computer, potete portare il mouse sopra il link (senza cliccare) e vedere il nome del sito in cui andreste a finire se vi cliccaste sopra.
3. Copiate quel nome (di solito basta un clic col pulsante destro o Ctrl-clic) e mandatelo a Antiphishing.ch, l’apposito sito per le segnalazioni realizzato dalla Centrale d’annuncio e d’analisi per la sicurezza informatica MELANI. Non è richiesta registrazione. L’Italia ha un servizio analogo, ma richiede registrazione.
4. Segnalatelo anche a Netcraft.com.
5. Cestinate il messaggio.

Queste segnalazioni, una volta verificate, permettono alle autorità e alle società di sicurezza informatica di contattare il sito che ospita la pagina di phishing (spesso senza saperlo) e invitare il proprietario a rimuoverla. Inoltre il sito viene messso nelle liste nere dei principali operatori di sicurezza informatica. In questo modo contribuite a proteggere tanti utenti.

Questo genere di segnalazione ha un effetto quasi immediato: ieri il sito-trappola è scomparso dopo pochi minuti dalla mia segnalazione.

La pagina-trappola imitava una nota banca. Notate l’indirizzo.

Ultimo aggiornamento: 2017/12/15 10:35. 

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.


Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.

Tante vittime di furti di password non prendono precauzioni perché pensano “Chi vuoi che mi prenda di mira? Non ho nulla che valga la pena di rubare e non sono nessuno”. Ma in realtà tutti siamo un bersaglio interessante per qualcuno.

Prendete per esempio un docente: a cosa mai potrebbe servire rubargli le password di gestione del suo account scolastico? A qualcosa sicuramente serve, visto che un lettore, Decio, mi segnala questo tentativo di phishing ai danni degli utenti di educanet², che si descrive come “la piattaforma principale per l'insegnamento e l'apprendimento online in Svizzera”, creata nel 2001 su mandato della Confederazione e dei cantoni. “Oggi più del 90% delle scuole svizzere attive su di una piattaforma online lavorano con educanet²”, dice il sito.

Il phishing è stato bloccato nel giro di poche ore, ma era ospitato su educanetserviceaccounts punto weebly punto com: un dominio che avrebbe ingannato sicuramente più di uno dei 478.000 allievi e 153.000 insegnanti, specialmente se distratti dal messaggio d’allarme visualizzato, che diceva che l’account risultava bloccato.

Le motivazioni dietro un attacco del genere possono essere varie: per esempio, uno studente potrebbe procurarsi informazioni utili per gli esami (il periodo di fine anno scolastico potrebbe non essere una scelta casuale); uno spammer potrebbe usare l’account rubato per saccheggiarne la rubrica degli indirizzi e mandare spam che proverrebbe da un indirizzo fidato; un truffatore potrebbe semplicemente catturare gli indirizzi di mail e le password, confidando nel fatto che le persone tendono a usare la stessa password dappertutto e che quindi altri servizi Internet usati dalla vittima (per esempio a pagamento oppure personalmente compromettenti e quindi usabili per ricatti, come gli archivi delle foto personali) saranno accessibili con la stessa coppia indirizzo-password.

Occhi aperti, quindi: come al solito, non lasciatevi ingannare dal logo familiare o dai messaggi d’allarme, ma prima di digitare qualunque password, anche quella del sito o servizio che ritenete più innocuo e insignificante, controllate che la barra di navigazione mostri il lucchetto chiuso di autenticazione e il nome esatto del sito.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla donazione di tondo*. Se vi piace, potete farne una anche voi (con Paypal, regalandomi una ricarica telefonica dati o pescando dalla mia wishlist su Amazon) per incoraggiarmi a scrivere ancora. Pubblicazione iniziale: 2016/11/12. Ultimo aggiornamento: 2017/01/02 23:50.

Finora non mi ero curato granché degli account fasulli che mi seguono su Twitter, ma ho visto che stanno cominciando a essere un problema ed è ora di fare un po’ di pulizia nel mio account @disinformatico. Quindi se mi seguite e avete ancora l’uovo come icona, cambiate icona: sto per purgare i fake e questo sarà uno dei miei criteri. Non sarà l’unico, ma sicuramente uno dei più rilevanti e immediati da rimediare.

Fra l’altro, cambiare icona serve anche per migliorare la vostra credibilità in generale su Twitter.

Perché purgare?

Reputazione. Avere un account con tanti follower fasulli dà l’impressione che io abbia gonfiato i numeri dei miei follower comprandoli. Preferirei passare la giornata a lavare le mutande dei lottatori di sumo, ma chi non mi conosce non lo sa e magari si fa un’idea sbagliata.

Rischio di chiusura dell’account. Se Twitter decide che io sono uno che raccatta fake, potrebbe decidere di eliminarmi, e questo sarebbe un peccato (sì, ho ben presente la Clausola del Gatto Sitwoy). Sto avviando comunque la procedura di autenticazione del mio account [2016/12/19: l’account è stato autenticato].

Rischio di abuso nei confronti dei follower veri. Chi segue un account che ha tanti follower falsi potrebbe vedere nel flusso di tweet anche i commenti di spammer e phisher e cliccarvi sopra incuriosito, finendo in qualche trappola. Esistono vere e proprie reti di account zombi che twittano spam. Se poi un account molto seguito viene rubato da uno spammer o un phisher, la trappola è ancora più letale perché sembra che sia l’utente a postare i tweet che contengono spam o link-trappola (sì, ho attivato l’autenticazione a due fattori; fatelo anche voi).

La mia situazione attuale

Non sono messo bene. Per esempio, secondo Statuspeople.com il 36% dei miei attuali follower su Twitter è fake, il 49% è inattivo e soltanto il 15% è a posto.


I suoi criteri per considerare fake un account sembrano essere il numero di persone seguite dai miei follower (meno di 250 ed è sospetto) e l’assenza di tweet (chi non twitta da 100 giorni è sospetto).

Invece per Twitteraudit, che (pagando 3,99 dollari) prende un campione a caso di 5000 follower e ne valuta l’autenticità in base al numero di tweet, alla data dell’ultimo tweet e al rapporto fra follower e amici, attualmente sono fasulli 140.706 dei miei 321.982 follower: in altre parole, il 56,3% è reale e il 43,7% è fake. Twitteraudit non offre un servizio di rimozione dei fake (dice che “arriverà presto”) e l’estensione per Chrome si limita a visualizzare la percentuale di utenti fake di un account sulla base dell’audit più recente.

 

Twopcharts mi dice, sulla base di 5000 follower scelti a caso, che addirittura l’87% dei miei follower potrebbe essere falso, spammer o semplicemente poco attivo. Non offre un servizio di rimozione fake.



BotOrNot si è rivelato totalmente inaffidabile, segnalando come fake numerosi account famosissimi, compresa persino la BBC:



Followerwonk, un tempo una delle risorse più utili per Twitter, sta per chiudere, per cui non provo neanche a usarlo.

Socialbakers ha strumenti gratuiti, ma non gestiscono un numero di follower elevato come il mio. Le versioni a pagamento sono un po’ care per questo piccolo esperimento (anche se c’è una prova gratuita di 14 giorni, che però non fornisce informazioni sui follower falsi) e comunque non offrono strumenti per la rimozione di follower fasulli (lo strumento Fake Followers Check di Socialbakers, presentato a fine 2012, non esiste più).

Naturalmente dopo aver usato questi strumenti li ho subito de-autorizzati a usare il mio account Twitter.

Se l’approccio dei vari servizi di analisi citati qui sopra vi sembra inadeguato o discutibile, Marco Camisani-Calzolari ha pubblicato una serie più rigorosa di criteri, che trovate citata in questo articolo tecnico come Tabella 2. I criteri includono, per esempio, un nome, un’immagine, un indirizzo fisico, una biografia, almeno 30 follower, l’inclusione in una lista, la pubblicazione di almeno 50 tweet, l’uso di hashtag e altro ancora; il rischio di essere considerati fake aumenta all’aumentare del numero di criteri che non soddisfate.

Date anche un’occhiata allo strumento di analisi descritto in questo articolo di Digital Inspiration; altre info ancora sono qui su FiveThirtyEight.

Qui sotto trovate un perfetto esempio di account fake facilmente riconoscibile: un uovo come icona, un nome contenente numeri a caso, un solo tweet che è puro spam.



La situazione mi scoccia, ma mi consolo, perché sono in buona compagnia: Yahoo ha pubblicato un elenco di account famosi ricolmi di follower fittizi.

Come eliminare i fake?

Esistono vari servizi a pagamento legati ai siti di analisi citati sopra; segnalo anche lo script gratuito “rimuovi-uova” e quello rimuovi-fake di Clayton Lambert, recensiti e validati da IBTimes (non li ho testati e non so se sono diventati obsoleti); Twopcharts ha un “elenca-uova”; e naturalmente si può sempre procedere a mano, se avete molto tempo e un numero non eccessivo di fake (non è il mio caso, purtroppo).

Wikihow mostra come eliminare i fake manualmente usando uno smartphone o un computer: in pratica si blocca l’account e poi lo si sblocca, togliendolo così dai propri follower. Questo metodo ha il vantaggio che i follower veri, accorgendosi di essere stati rimossi, si reiscriveranno, mentre quelli falsi probabilmente no. Basta avvisarli prima con un po’ di tweet (e un post come questo, per esempio), così non pensano di essere stati bloccati perché sgraditi.

Sto facendo un po’ di esperimenti. Vi aggiornerò sui risultati: se intanto avete consigli o idee, i commenti sono a vostra disposizione. Nel frattempo, niente panico: non verrete purgati soltanto perché avete l’uovo come icona. Per essere purgati dovreste soddisfare contemporaneamente vari criteri oltre a questo. Ma se volete rendermi più agevole il lavoro di pulizia, fatemi (e fatevi) il favore di cambiare icona.

2017/01/02: primi filtraggi di prova

Approfittando del periodo relativamente tranquillo di fine anno, ho fatto qualche esperimento: i risultati sono in questo articolo.

Le funzioni di recupero dei telefonini smarriti o rubati sono molto pratiche, ma i criminali informatici le stanno sfruttando per creare trappole davvero notevoli. Joonas Kiminki su Hackernoon ne segnala una che può ingannare molto facilmente perché gioca sulle emozioni.

Joonas era in vacanza a Torino quando gli hanno rubato l’iPhone lasciato in auto. Così ha attivato Trova il mio iPhone, segnando il telefonino come smarrito, in modo da ricevere una mail di avviso se il telefonino tornava online.

Undici giorni dopo ha ricevuto un SMS e una mail di notifica: telefonino trovato. Entusiasta ed emozionato, ha cliccato sul link fornito nella mail, ha raggiunto il sito di Trova il mio iPhone e ha iniziato a digitare le proprie credenziali. Poi, però, si è accorto che si trattava di un sito falso, che imitava quello autentico in tutto e per tutto a parte due elementi importanti ma facili da dimenticare per l’emozione: la sessione non era cifrata (niente lucchetto nella casella dell’indirizzo) e il nome del sito non sembrava uno di quelli solitamente usati da Apple. Joonas si è fermato a un passo dalla trappola.

Il telefonino era bloccato, quindi come hanno fatto i truffatori a trovarne il proprietario? Probabilmente hanno usato la funzione Cartella medica, che consente di accedere ai contatti d’emergenza anche quando il telefonino è bloccato, e hanno cercato il nome su Google, trovando il sito di Joonas Kiminki (aiutati anche dal suo nome piuttosto raro).

Perché l’hanno fatto? Joonas spiega che non è possibile attivare un iPhone se è collegato a un account iCloud, per cui se il ladro vuole attivarlo deve scollegarlo da iCloud, per cui contatta il derubato e si fa dare con un trucco come questo le credenziali di accesso ad iCloud, in modo da scollegarlo e renderlo rivendibile. Ciliegina sulla torta, ruba anche l’identità della vittima.

Morale della storia: non lasciate in auto oggetti di valore, ovviamente, ma soprattutto fate attenzione, in caso di furto del telefonino, ai messaggi che vi avvisano del suo ritrovamento: spesso sono realizzati in modo molto professionale, perché la rivendita di smartphone rubati è un’industria illegale ma remunerativa. Già che ci siete, attivate un backup dei dati che tenete sul dispositivo e mettete una password sulla schermata di accesso.

Se vi capita spesso, come capita quasi a tutti, di ricevere mail sospette che contengono inviti a cliccare su link che promettono di darvi un premio o di risolvere un problema con un vostro account sarete probabilmente abituati a riconoscerli e cestinarli subito senza pensarci più. Ma magari vi piacerebbe sapere esattamente cosa si cela dietro questi link.

Cliccarvi sopra è ovviamente fuori discussione: è quello che vogliono i truffatori che vi hanno mandato la mail. Ma c'è un modo per visitare questi link senza mettersi in pericolo: farli visitare a qualcun altro. In questo caso, il qualcun altro non è un vostro amico da sacrificare, ma è UrlQuery.net: vi immettete il link e lui lo interpreta, mostrandovi la sua vera natura e anche un’immagine del suo aspetto.

Per esempio, provo a prendere una delle tante mail di phishing che ricevo, copio un suo link con un clic destro e lo incollo in UrlQuery.net. Il risultato, dopo una breve attesa, è questo:

La cosa più importante, almeno in termini di curiosità, è in alto: il link esaminato e convertito in modo da mostrare la destinazione finale della mail truffaldina, decodificando tutti gli abbreviatori di link e i redirect che servono ai truffatori per nascondere le proprie tracce.

Accanto al link c’è quello che volevamo: una schermata di quello che troveremmo sul sito dei truffatori se seguissimo il link. In questo caso incontreremmo una pessima imitazione di una pagina di login di TIM, ma non sempre la truffa è così evidente. Dettaglio interessante: quella pagina esiste indisturbata dal 2014.

Magari vi chiedete che senso abbia, per i truffatori, creare un’imitazione così malfatta: per cascarci bisognerebbe essere davvero sprovveduti. E i truffatori vogliono vittime facili e sprovvedute. In altre parole, la pessima qualità del sito fa da filtro per selezionare i candidati più appetibili.

Non tutti i criminali informatici sono dei geni del male: spesso hanno successo semplicemente perché gli utenti e i servizi non prendono nemmeno le precauzioni più basilari. Ma anche i criminali a volte dimenticano le proprie precauzioni, come per esempio non lanciare attacchi che hanno effetto nel paese nel quale risiedono. Per esempio, il malware Mazar per dispositivi Android non si attiva se la vittima ha impostato come lingua il russo.

La ragione principale di questa tecnica è che è molto più facile, per gli inquirenti, rintracciare e arrestare chi commette reati localmente. Se gli attacchi informatici provengono da un altro paese, come capita di solito, i lavori d’indagine e soprattutto gli arresti diventano molto più onerosi da coordinare e le forze dell’ordine sono meno motivate a investire risorse su criminali che non fanno danni locali. Per questo molti reati informatici restano impuniti.

La lezione è stata imparata nel modo più duro di recente in Russia, dove sono state arrestate 50 persone nel corso di 86 perquisizioni in quindici territori russi: si tratterebbe della più grande retata contro il crimine informatico finanziario. La banda è sospettata di aver coordinato il furto di circa 25 milioni di dollari da banche e istituti finanziari russi, operando dal 2011 dapprima colpendo i correntisti usando un trojan denominato Lurk che rubava le credenziali di online banking e poi alzando il tiro con attacchi diretti ai sistemi informatici delle banche stesse.

La tecnica usata era basata sull'invio di mail false accuratamente confezionate che si spacciavano per messaggi della Banca Centrale Russa o dei suoi rappresentanti: chi apriva la mail finiva per infettarsi, aprendo la porta agli intrusi. Un classico, insomma: ma l'errore della banda è stato quello di toccare le banche nazionali, scatenando la reazione degli inquirenti.

Fonte: Sophos.

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/01/22 15:20.

L’allerta diramato a proposito delle finte mail della Polizia Federale svizzera è una buona occasione per ripassare le regole di difesa principali contro questi attacchi molto diffusi, visto che oltretutto è stata segnalata un’ondata internazionale di spam rivolto agli utenti di Facebook e WhatsApp.

– Non sono attacchi personali e i truffatori non sanno niente di voi. Sanno soltanto il vostro indirizzo di e-mail, ma non sanno se avete o no WhatsApp o Facebook: vanno a caso. Molte vittime si fidano del messaggio-truffa perché hanno l’impressione che sia rivolto personalmente a loro e pensano che solo i legittimi gestori di questi servizi possano sapere chi è utente e chi no.

– ll mittente è quasi sempre un indirizzo che non c’entra nulla con quello legittimo del servizio citato dal messaggio. Per esempio, vedere un messaggio che dice di provenire dal servizio clienti di Whatsapp ma ha come mittente un indirizzo di Yahoo è un chiaro segno truffaldino. Tuttavia alcuni truffatori falsificano bene anche il mittente, per cui un indirizzo anomalo è sicuramente un sintomo d’inganno, mentre un indirizzo autentico non è garanzia di nulla.

– Se vedete che da qualche parte nel titolo del messaggio c’è una sequenza di caratteri senza senso, è una trappola. Si tratta solitamente di codici usati dai truffatori per gestire l’ondata di messaggi che inviano.

– Non cliccate sui link presenti nei messaggi inattesi che sembrano provenire dal servizio clienti di nessuna azienda. Spesso questi messaggi contengono link che portano a siti-trappola, dove risiede il malware o c’è una pagina che sembra quella legittima nella quale si immette la propria password per accedere a un servizio ma è in realtà una copia gestita dai truffatori. Se non siete stati voi a chiedere di ricevere una mail dal servizio clienti, per esempio perché avete richiesto un recupero password, cestinate tutto.

– Non aprite nessun allegato a messaggi di questo tipo. Il malware di solito si annida lì. Se cestinate il messaggio senza aprire il suo allegato o cliccare sui suoi link non dovreste correre pericoli.

– Usate applicazioni e sistemi operativi aggiornati e procuratevi un antivirus aggiornato.

– Prevenire è molto più facile che curare. L’attacco che sta bersagliando gli utenti di Facebook, per esempio, convince la vittima ad aprire un allegato. Questo allegato è malware che, spiega Microsoft, scrive nel Registro di Windows in modo da riavviarsi automaticamente ogni volta che viene riacceso il computer, blocca l’accesso ai siti dei produttori di antivirus, così il computer non può scaricare gli aggiornamenti che rivelerebbero l’infezione, e inibisce le notifiche del Centro Sicurezza di Windows. Fatto questo, si mette a rubare dati dal computer infettato.