Per un attimo, confesso, ci sono cascato. Oggi sono stato oggetto di un phishing mirato, congegnato piuttosto bene. Credo che l’obiettivo dei truffatori fosse il mio conto PayPal, passando per una strada piuttosto originale: il mio principale fornitore di nomi di dominio.

Mi è arrivata infatti una mail che mi diceva che non era stato ricevuto correttamente il pagamento di uno dei nomi di dominio che gestisco. Il sospeso era piccolo: solo cinque euro.

La mail era decisamente credibile, con molti elementi personalizzati:

• era in francese, lingua del provider Gandi.net attraverso il quale gestisco i miei nomi di dominio;
• citava un nome di dominio che effettivamente gestisco (complottilunari.info);
• aveva un header strutturato in modo uguale a quello abituale del provider, con il nome del provider fra parentesi quadre, tutto in maiuscolo, all’inizio del testo;
• è arrivata sulla casella di mail che uso per la gestione dei miei nomi di dominio;
• è arrivata in un periodo nel quale erano effettivamente in scadenza i rinnovi di alcuni dei miei nomi di dominio.

Ne mostro qui sotto uno screenshot:


Il primo istinto è stato quello di pensare “accidenti, uno dei pagamenti che stavo facendo è andato storto” e di cliccare sul link. Ma ho esitato un istante, per fortuna, e ho provato a lasciare il mouse sopra il link per vedere dove mi avrebbe portato: lo vedete in basso a sinistra nello screenshot qui sotto.


http :// Barraplaza (punto) com (slash) complottilunari (punto) info decisamente non è il sito di pagamento usato da Gandi.net. L’URL, fra l’altro, è solo un redirect, che mi porta poi a una pagina di pagamento regolare su Aruba.it:

https://pagamenti.aruba.it/Home/Default.aspx


Non avendo una login Aruba o un numero d’ordine, non avrei potuto proseguire neanche se avessi voluto. E a questo punto non volevo assolutamente proseguire, ovviamente.

Sono andato a mano alle pagine di amministrazione dominii di Gandi.net, ho fatto login (protetto, ovviamente, da una password unica e dall’autenticazione a due fattori) e ho verificato che non c’era nessun pagamento andato male. Complottilunari.info è coperto fino al 2020.

Questo è l’header della mail truffaldina, se lo volete studiare: ho cambiato le parentesi angolari in sergenti («»). Ho capito male io, o la mail effettivamente proviene da un server di Gandi.net?

Delivered-To: paolo.attivissimo@gmail.com
Received: by 2002:a4f:d1ed:0:0:0:0:0 with SMTP id q100csp2714862ivj;
Thu, 23 May 2019 17:36:07 -0700 (PDT)
X-Received: by 2002:a17:906:491b:: with SMTP id b27mr12311028ejq.234.1558657927569;
Thu, 23 May 2019 17:32:07 -0700 (PDT)
X-Google-Smtp-Source: APXvYqwImXBRLVQd/VN+zf217wxkjMHQ4zduFJh6OpkZSc37MM+rgAOxRsivKebJkXvITd0UAabc
X-Received: by 2002:a17:906:491b:: with SMTP id b27mr12310948ejq.234.1558657926397;
Thu, 23 May 2019 17:32:06 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1558657926; cv=none;
d=google.com; s=arc-20160816;
b=Y0+zWKdq9vgJpHoY84HXTWotgIvg5J5VcOVOPR94yhEbP2vuNewkGOBoym+pSogex1
r5TOTjsC+Ycai5hzb4jz2m3n13KNAyiPxiz7his8v7peaLvPuDVnyHM9vNgwCHv3qikU
JbbwG0+nKTxoizObfFLvFuJjhmbznbSZrLqC3LpmtXZaeWCNuQSUV7wRVFKRryX8Y/09
vzvSl1KsLvwYmzYT5j03CnQTnnkEMVGIeyHat0reUOm3zS/hMsXvxszU4orkqQ5YP4lU
7N5xZxkbFybab1Supm0rvTRRhJFKSAm+FMlGQ+l/NuwN80lXpQSdmfRMyWyZQLbRsFVh
KraA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-transfer-encoding:message-id:mime-version:date:subject:to
:from;
bh=wNC/rDhKdKfLGnOAd2aLJ3NypzwP8TYTjVadXPF8m0g=;
b=E+pamaibTnC0zoXhEJMthuBV8vFbfWltFah3a5DOqEqRxf48+cS0F0caXuh7pIf3ad
aHXsNxbmMw94q8kxWzvehf9UquTFDX9XHmcpwahE5cRiB2EiNSzYMccENqP/7wvBfrYP
5yi8AQ2j/Ei3xSU/bMEB8SGOiHuUZA2uY3RqowOFoqmb8oRuyX5pUG3TSWZPc9+3OHHU
Q6PtT0mp6HSTVZNbQkVdZDgkPlCcpVv5jzAFdjdA1Wpw1OLaTpFZdbXG0ZbTDrI/S1wg
k99gd5PM/SJIZOc9padh9byy/VCK7D+vCWFLkkThRzBoCyBuk/cQANVnpneuk+EAKe6g
Jh8Q==
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) smtp.mailfrom=support@mail.gandi.net
Return-Path: «support@mail.gandi.net»
Received: from relay2-d.mail.gandi.net (relay2-d.mail.gandi.net. [217.70.183.194])
by mx.google.com with ESMTPS id y55si637037edc.231.2019.05.23.17.32.06
for «paolo.attivissimo@gmail.com»
(version=TLS1_2 cipher=ECDHE-RSA-CHACHA20-POLY1305 bits=256/256);
Thu, 23 May 2019 17:32:06 -0700 (PDT)
Received-SPF: pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) client-ip=217.70.183.194;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) smtp.mailfrom=support@mail.gandi.net
Received: from spool.mail.gandi.net (spool5.mail.gandi.net [217.70.178.214])
by relay2-d.mail.gandi.net (Postfix) with ESMTP id 06B6D40008
for «paolo.attivissimo@gmail.com»; Fri, 24 May 2019 00:32:05 +0000 (UTC)
Received: from centos12.localdomain (unknown [194.182.67.236])
by spool.mail.gandi.net (Postfix) with ESMTP id 3F175D80057
for «contatti@complottilunari.info»; Fri, 24 May 2019 00:32:05 +0000 (UTC)
Received: from RDPPP.local (localhost [IPv6:::1])
by centos12.localdomain (Postfix) with ESMTP id 4DDDAA9B
for «contatti@complottilunari.info»; Thu, 23 May 2019 20:32:04 -0400 (EDT)
From: support@mail.gandi.net
To: contatti@complottilunari.info
Subject: [GANDI] Non renouvellement du site complottilunari.info.
Date: Fri, 24 May 2019 02:32:04 +0200
MIME-Version: 1.0
Message-ID: «155865747914702bd2e17604b7310d956a029eb7b4_2397@mail.gandi.net»
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Spam-Flag: yes
X-Spam-Level: ********************
X-GND-Spam-Score: 300
X-GND-Status: SPAM

Non mi è successo nulla, insomma, ma è stata un’occasione per provare in prima persona cosa passa per la mente di chi è vittima di un attacco di phishing mirato. Nonostante la mia discreta esperienza e paranoica diffidenza, sono stato fortemente tentato di cliccare automaticamente sul link, che era in una mail che stava in mezzo ad altre mail autentiche del provider. Non mi sono accorto dell’errore di ortografia (“sous 48 Heure” con la H maiuscola) e dei toni troppo perentori (“En cas de non règlement sous 48 Heure, votre compte pourrait être définitivement effacé”), tipici di un phishing.

C’è mancato un po’ troppo poco, per i miei gusti. Siate prudenti.

2019/05/26 10:15

Dai commenti mi arriva la segnalazione di quest’allerta generale tweetato da Gandi.net. Sembra confermare che non si tratti di un phishing rivolto esclusivamente a me.

Alerte #phishing ! Vous êtes nombreux à recevoir des mails exigeant un règlement de 5€ avant 48h sous peine de voir votre domaine supprimé. Simple hameçonnage. Nos équipes sont sur le coup. Ne cliquez pas sur le lien et reprenez normalement vos activités ;) #GandiCares

— gandi.net (@gandi_net) May 24, 2019

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Un paio di settimane fa ho raccontato di come un errore di una società di sondaggi ha mandato via mail a mia moglie i dati di soggiorno di un’altra persona. L’errore viola le promesse di privacy della società (Medallia), che dicono che “i clienti possono stare sicuri che i dati personali o le PII [informazioni personalmente identificabili] possono essere visti solo dal personale o dai mercati che hanno necessità di conoscerli”.

Avevo scritto alla società per avvisarla dell’errore e del fatto che ha eccome fatto vedere informazioni personalmente identificabili (il nome della persona che è stata a Dubai, l’albergo che ha frequentato e la data di conclusione del suo soggiorno mi paiono dati abbastanza “personalmente identificabili”). Ho anche chiarito che si trattava di una possibile violazione del GDPR e che ne avrei parlato alla RSI.

Hello,

I'm a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for [omissis]. The wrong person is my wife, [omissis].

This appears to be a violation of GDPR and of your privacy policies.

I will be discussing this event tomorrow morning (Friday 26th) during my weekly radio show about IT security. Your comment would be most welcome.

You may want to disregard any results of that survey entry.

Sincerely,

Paolo Attivissimo

Nessuna risposta da parte della società di sondaggi. Così ho provato a compilare il sondaggio dando il peggior punteggio possibile, nella speranza di ottenere una reazione di qualche genere. È arrivata:

Dear Mrs. [omissis],
Thank you for choosing to stay at the Sheraton Grand Hotel, Dubai and providing your honest feedback on the Guest Satisfaction Survey.
Providing the highest level of hospitality is our number one priority and we sincerely apologise for falling short of meeting your expectations.
Needless to say that I am sad and disappointed to read, that there was clearly things we could have done better to make your stay as memorable as possible.

As we very much use our guests feedback to continuously improve our products and services we would love to share your feedback with the appropriate hotel team to ensure the necessary guidelines are in place to prevent shortcomings from occurring in the future. If not too much troubles to ask, please help me to understand what went wrong during your stay to further learn, coach and amend. We are very much looking forward hearing from you and get to know how to serve better.

Once again, thank you for your valued feedback and we hope to welcome you again whenever your travels bring you back to Dubai.

Best regards to Madrid and a renewing weekend ahead,
Matthias.


Matthias [omissis]
Front Office Manager
Sheraton Grand Hotel, Dubai
[indirizzo di mail presso Medallia.com e numero di telefono]

Lasciando da parte le scuse, notate che il Front Office Manager si è lasciato scappare la città dalla quale proviene la loro cliente: “Best regards to Madrid”. La commedia degli equivoci sta diventando una seminagione di dati personali.

Con i dati fornitimi dalla società di sondaggi ho fatto una rapida ricerca in Google e nei social network: si tratta di una donna che dirige un’importante azienda di Madrid e partecipa al Women Economic Forum. Non è un caso di omonimia: l’indirizzo di mail è inequivocabile ed ha solo una lettera di differenza rispetto a quello di mia moglie. 

Riassumendo, fin qui ho:

• il nome e cognome di una cliente dello Sheraton Grand Hotel di Dubai
• il suo indirizzo di mail (facilmente deducibile dai dati personali che non pubblico qui)
• la data del suo ultimo soggiorno in quell’albergo (23 ottobre scorso)
• la città nella quale abita (Madrid)
• il nome dell’azienda per la quale lavora
• una sua foto

Sono dati sufficienti per una campagna di spear phishing, ossia per un attacco mirato a una persona chiaramente facoltosa e/o altolocata (va a un Grand Hotel) e quindi potenzialmente molto interessante.

Giusto per fare un esempio, se io fossi un criminale potrei spacciarmi per un dipendente dell’albergo e contattare la cliente dicendo “Buongiorno signora, sono dello Sheraton dove lei è stata fino al 23 ottobre, vedo dal suo questionario che il soggiorno non è stato per nulla di suo gradimento, vorremmo scusarci con un rimborso totale. Ci può confermare che i dati della sua carta di credito sono ancora validi?”. Anche se non dovesse abboccare alla trappola e darmi le coordinate della sua carta di credito, potrei approfittarne per acquisire altri dati personali.

Potrei anche rispondere al signor Matthias fingendo di essere la cliente insoddisfatta e reclamare un rimborso o creare altri equivoci, ma mi trattengo. Non ho molta fantasia, ma un esperto di spear phishing o di burle online potrebbe avere idee più creative delle mie.

Ho appena scritto a Matthias per avvisare del problema:

Hello Mr [omissis],

I'm a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for Mrs [omissis], who was at your hotel up to the 23rd of October. The wrong person is my wife, to whose email address ([omissis]) you have sent your survey.

I emailed [indirizzo di Medallia.com] to warn about this error, but received no reply. I entered bad ratings in your survey form to attract your attention. This appears to have worked. You may want to disregard any results of that survey entry.

You have leaked personally identifiable information. This appears to be a violation of GDPR and of your privacy policies. You might want to consider the appropriate legal steps for GDPR violations.

I will be discussing this event this morning (Friday 16th November) during my weekly radio show about IT security. Your comment would be most welcome.

Sincerely,

Paolo Attivissimo

Vediamo cosa rispondono: vi terrò aggiornati.

2018/11/16 17:35

Ho scritto alla cliente dello Sheraton involontariamente coinvolta in questo pasticcio:

Dear Ms [omissis],

I am a Swiss-Italian IT journalist, working with Swiss National Radio (rsi.ch). I would like to inform you that my wife, [omissis], has received by mistake your travel information. This is probably due to the fact that your email address is only one letter different from my wife's ([omissis]@gmail.com).

For example, they have written to my wife about your recent trip to Dubai, which ended on October 23, and told me that you live in Madrid.

I have tried to warn them about their mistake, but they have ignored me repeatedly.

This may be a privacy violation according to the European GDPR.

I have discussed your case anonymously during my radio show (in Italian) for RSI.ch and written about it here as an example of how personal data can be leaked by companies:

https://attivissimo.blogspot.com/2018/11/un-paio-di-settimane-fa-ho-raccontato.html

If you need further details or any information, please do not hesitate to email me.

Sincerely,

Paolo Attivissimo
Lugano, Switzerland

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi (Paypal/ricarica Vodafone/wishlist Amazon) per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/12 10:45.

Ieri c’è stato un delirio collettivo di titoli di testate giornalistiche che dichiaravano senza alcun dubbio che gli account di mail di Draghi, Renzi e Monti erano stati violati da Giulio e Maria Francesca Occhionero, colpiti da ordinanza di custodia cautelare nell’ambito del caso denominato EyePyramid. Ma queste dichiarazioni sono (almeno per ora) basate sul nulla: o meglio, sul fatto che nella versione circolante ieri dell’ordinanza di custodia cautelare per gli Occhionero mancava una pagina.

La pagina in questione era la 14, come segnalavo ieri, ed è una pagina cruciale: senza di essa, infatti, l’ordinanza sembra includere degli account di Matteo Renzi e di Mario Draghi fra quelli violati (“674 account, 29 dei quali corredati dalla relativa password”):


Stamattina ho scritto che la mancanza di quella pagina poteva trarre in inganno, e poco dopo Agi.it ha pubblicato una descrizione della pagina mancante, che spiega che l’elenco di pagina 15 (quello con i nomi di Renzi e Draghi) riguarda “account presenti nel database, benché privi di password” (sottolineatura presente nell’originale). L’ordinanza completa (inclusa la pagina 14) è stata pubblicata oggi qui su Agi.it grazie al lavoro di Matteo Flora.

Senza password, i nomi degli account non valgono nulla e la mancanza della password sembrerebbe indicare che questi account non sono stati affatto violati. Il Fatto Quotidiano scrive oggi che “Nei confronti degli ex presidenti del Consiglio Matteo Renzi e Mario Monti, nonché del presidente della Bce Mario Draghi c’è stato solo un tentativo, ma non l’accesso, alle caselle di posta elettronica.” Dello stesso tenore è anche questo articolo di Agi.it.

Finora non sono emersi altri documenti d’indagine che dichiarino che gli account di Draghi, Renzi e Monti siano stati violati, per cui i titoli giornalistici che li descrivono come “spiati” sembrano decisamente infondati, prematuri ed eccessivi. Altre cariche dello Stato, comunque, sembrano effettivamente essere state violate e il tentativo di attaccare l’ENAV c’è stato, sempre stando all’ordinanza di custodia cautelare, per cui gli Occhionero sono in ogni caso accusati di reati informatici molto gravi.

La notizia, insomma, c’è ma si sgonfia notevolmente. Molte testate giornalistiche hanno dato l’impressione che queste tre personalità di spicco fossero state attaccate con successo e spiate per anni: ora tutto indica che non è affatto così.


Segnalo, per chiudere, il sunto della situazione realizzato da Stefano Zanero.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/11 22:20.

I media italiani si sono forse lasciati un po’ prendere la mano sulla notizia dell’arresto di due persone, Giulio Occhionero e Francesca Maria Occhionero, con l’accusa di spiare “politici e istituzioni, anche Renzi, Draghi e Monti” (RaiNews). Sarebbero “circa 20mila le vittime accertate sinora” dalla Polizia postale (RaiNews; Askanews/Cyber Affairs). Secondo AGI, il malware usato dagli accusati “controllava migliaia di politici italiani”.

RaiNews dice che fra gli “account ‘hackerati’... figurano anche quelli di Matteo Renzi, di Mario Monti, dell'ex governatore della Banca d'Italia Fabrizio Saccomanni; di Piero Fassino, Ignazio La Russa Mario Canzio e dell'ex comandante della Guardia di Finanza Saverio Capolupo. Spiati anche Vincenzo Scotti, Walter Ferrara, Alfonso Papa, Paolo Bonaiuti, l'ex ministro Maria Vittoria Brambilla, Luca Sbardella, Fabrizio Cicchitto, Daniele Capezzone, Vincenzo Fortunato, il ministro Paolo Poletti. L'ex presidente della Regione Campania Stefano Caldoro e il senatore Domenico Gramazio.”


Ho letto le 46 pagine dell’ordinanza di custodia cautelare pubblicata da AGI (con un lodevole atto di trasparenza e buon giornalismo digitale) per andare il più possibile alla fonte diretta e diradare la cortina fumogena del passaparola giornalistico. Dalla versione pubblicata manca, stando alla numerazione, la pagina 14 [2017/01/11 18:15: ho verificato che la pagina manca effettivamente e non si tratta di un errore di numerazione].

La pagina mancante (o altri atti che al momento non ho potuto esaminare) potrebbe cambiare molto le mie considerazioni, ma sulla base di quello che è stato pubblicato fin qui segnalo alcuni punti significativi e una correzione a una notizia errata pubblicata dall’Huffington Post.


20.000 vittime? Dipende cosa si intende per “vittime”. L’ordinanza, a pagina 12, parla di “un elenco di 18327 username univoche” di cui però solo 1793 sono “corredate da password”, e parla di “tentativi di infezione, più o meno riusciti”. Sottolineo il “tentativi”. Mi viene il dubbio che alcuni giornalisti abbiano considerato come vittime anche gli account che hanno soltanto subìto un tentativo di intrusione. Se uno username viene citato in questo elenco senza la rispettiva password, è probabile che l’intrusione in quell’account non sia riuscita. Conteggiare anche i tentativi falliti sarebbe ingannevole: con questo criterio, io dovrei considerarmi “vittima” e “hackerato” ogni volta che ricevo una mail con un malware allegato.

Fra l’altro, anche la conoscenza della password non sarebbe garanzia di intrusione riuscita. Se una vittima ha attivato l’autenticazione a due fattori (2FA o “verifica in due passaggi”), la sua password può essere trafugata ma non sarà utilizzabile da un aggressore (con la 2FA possono accedere all’account solo i dispositivi autorizzati dall’utente; gli altri, tipo quelli usati dall’aggressore, vengono bloccati e l’utente viene allertato). Spero e prego che i vari politici citati nelle notizie si siano dotati di 2FA sugli account. Lo so, sono un inguaribile ottimista.

Per contro, la tecnica d’intrusione descritta nell’ordinanza (invio di mail con un allegato contenente  un malware già conosciuto, denominato Eyepyramid, nulla di particolarmente sofisticato ma un semplice strumento di amministrazione remota o RAT) permetterebbe di monitorare da remoto il computer della vittima, se la vittima esegue il malware senza protezioni, e quindi di leggere o esportare la mail anche senza conoscerne la password.


Renzi, Draghi, Monti sono stati violati o no? L’ordinanza è ambigua al riguardo: non dice chiaramente che gli account di questi tre esponenti delle istituzioni sono stati violati come sostengono le fonti giornalistiche. Indica soltanto le date dei tentativi di violazione di questi account, mentre per altri, legati a domini sensibili delle istituzioni come Interno.it, Camera.it, Senato.it, Esteri.it e Giustizia.it “o riconducibili ad importanti esponenti politici” precisa che sono “comprensivi di password”. Manca però la pagina 14, che potrebbe forse fare chiarezza [2017/01/11 18:15 Ho visionato la pagina mancante e, come confermato da AGI, non contiene alcuna indicazione che gli account di Renzi, Draghi o Monti siano stati violati e anzi sembra escluderlo. Attaccati? Sì. Violati? No. Scrive AGI: “la pagina 14 rivela che quell’elenco era sì di persone inserite nel database, ma senza che gli hacker fossero riusciti a violarne gli account”].

Non ho trovato nessuna dichiarazione diretta della Polizia Postale che dica che gli account di Renzi, Monti e Draghi sono stati effettivamente violati, ma solo affermazioni giornalistiche in questo senso: se avete dichiarazioni dirette degli inquirenti che mi sono sfuggite e confermano la violazione specifica, segnalatemele.

L’ordinanza, per contro, specifica chiaramente (a pagina 2) che alcuni dei tentativi di intrusione sono andati a segno e hanno permesso di acquisire “notizie che, nell’interesse politico interno o della sicurezza pubblica devono rimanere riservate”. Vengono citati, a pagina 13, “674 account, 29 dei quali corredati dalla relativa password”, riferibili a politici o imprenditori. Ventinove, non ventimila. Non voglio insomma sminuire la gravità dei reati commessi, ma precisarne l’effettiva entità e portata.


No, l’ENAV non è stata violata. Huffington Post scrive che gli Occhionero “hanno penetrato il 28 aprile 2016, ma già sotto controllo dall’inizio di gennaio - attraverso i computer dell’avvocato Francesco Di Maio, responsabile della sicurezza dell’Enav - l’intero sistema informatico dell’aviazione civile italiana, comprese tutte le comunicazioni relative”. Questa affermazione è stata smentita seccamente da Giovanni Mellini, che lavora nella sicurezza informatica dell’ENAV, in una mail che mi ha inviato e che cito testalmente con il suo permesso: “ENAV ed il suo SOC hanno segnalato al CNAIPIC in maniera responsabile e con evidenze uno 0day assimilabile ad un APT per le azioni istituzionali del caso e non c'è stata alcuna compromissione della nostra rete e nello specifico dell'account di Francesco Di Maio, il mio responsabile.”

Questo corrisponde a quanto dichiarato nell’ordinanza (pagine 1, 2 e 4): gli Occhionero sono indagati specificamente per aver tentato un’intrusione nei sistemi informatici di Francesco Di Maio (responsabile della sicurezza di ENAV) mandandogli il 26 gennaio 2016 “un messaggio di posta elettronica contenente un allegato malevolo (virus informatico EyePyramid), che una volta auto-installato nel sistema informatici [sic] dell’ENAV S.p.A., avrebbe permesso di accedere abusivamente al relativo sistema informatico”. Notate il condizionale “avrebbe”, che indica che l’auto-installazione non è avvenuta. Infatti l’ordinanza chiarisce poi che Di Maio “anziché visualizzarla e scaricarne l’allegato, provvedeva opportunamente ad inviarlo per l’analisi tecnica” a una società di sicurezza informatica.

La questione ENAV è particolarmente importante perché stando alle dichiarazioni del direttore della Polizia Postale e delle Comunicazioni, Roberto Di Legami [2017/01/11 10:55: ora rimosso dall’incarico], e riportate da Askanews/Cyber Affairs, è stata proprio la segnalazione del tentativo di intrusione ai danni dell’ENAV che ha portato alla scoperta delle attività degli Occhionero.

C’è ancora sicuramente molto da scoprire su questa vicenda, visto che i dati rubati erano custoditi negli Stati Uniti e quindi è coinvolta anche l’FBI. Staremo a vedere: nel frattempo, questa vicenda è di certo un monito per chiunque ricopra una carica importante a ricordare che la sicurezza informatica è una cosa seria e che pensare “ma chi vuoi che se la prenda con me” è un errore sul quale i criminali informatici contano quotidianamente.

[2017/01/11 22:20. Questo argomento prosegue in questo articolo]


Fonti aggiuntive: Corriere del Ticino, AGI, Formiche.net, Rainews, Sole 24 Ore, AGI, Il Fatto Quotidiano, Federico Maggi, The  Guardian.

Poche ore dopo la diffusione della notizia dell’elezione di Donald Trump a presidente degli Stati Uniti sono partite almeno cinque ondate di attacchi informatici piuttosto sofisticati e mirati che sfruttano l’emozione e l’interesse per l’evento.

Secondo la società di sicurezza informatica Volexity, gli attacchi si basano su mail che contengono allegati pericolosi o link che portano a siti-trappola e prendono di mira specificamente persone che lavorano per governi, università e organizzazioni non governative.

I messaggi sembrano provenire per esempio da un professore di Harvard che apparentemente inoltra una notizia diffusa dalla Clinton Foundation e promette di rivelare “cosa è successo veramente durante le elezioni”. La cosa più preoccupante è che alcuni antivirus non rilevano la trappola, che è un allegato in formato ZIP protetto da una password fornita nel messaggio.

La migliore difesa contro questo tipo di attacco è il buon senso: lo stile del messaggio e il fatto che includa un allegato protetto da password (con la password inclusa nel messaggio) sono indizi sospetti, perché cifrare un documento e includerne la password è un assurdo dal punto di vista della sicurezza. In realtà questa cifratura serve solo a impedire che gli antivirus possano analizzare l’allegato e scoprire che è infetto.

Credit: The Smoking Gun

Pochi giorni fa ho raccontato l’epic fail informatico di John Podesta, capo della campagna presidenziale di Hillary Clinton, che si è fatto fregare gli account iCloud e Twitter perché non erano protetti dalla verifica in due passaggi nonostante fosse chiaramente sotto attacco, visto che le sue mail riservate di lavoro erano finite in mano a Wikileaks. Ma come c’erano finite? Ora lo sappiamo, e non è una bella storia.

Secondo l’analisi della società di sicurezza informatica SecureWorks, pubblicata su Motherboard, John Podesta si è fatto soffiare la casella di mail di lavoro (su Gmail) perché il 19 marzo scorso ha cliccato su un link ostile in una finta mail di allerta apparentemente proveniente da Google. Il link portava a una finta pagina di login di Gmail, precompilata con il suo indirizzo, nella quale il malcapitato ha presumibilmente immesso la propria password, regalandola così agli spioni.

La stessa cosa è successa tre giorni dopo a William Rinehart, un membro dello staff della campagna presidenziale Clinton, e a molti altri giornalisti e componenti dello staff di Hillary, in un attacco che secondo gli esperti è di matrice governativa russa.

Chiunque ne sia l’artefice, sembra incredibile che tutte queste persone in posizioni di grandissima responsabilità abbiano abboccato all’esca e non sappiano che non si deve mai, mai, mai cliccare su un link in un messaggio d’allerta, non importa chi ne è il mittente apparente, e specialmente se il link è mascherato tramite un abbreviatore come Bit.ly (per esempio, http://bit.ly/2eppfIw porta al mio articolo precedente sul caso Podesta).

Nel loro resoconto, gli esperti di SecureWorks sottolineano queste raccomandazioni e aggiungono un trucco: per sapere dove porta un link abbreviato basta copiaincollarlo nella casella del browser e aggiungergli un “+” in coda (per esempio http://bit.ly/2eppfIw+): si viene portati in modo sicuro al sito di Bit.ly, che mostra il link di destinazione esteso.


Fonte aggiuntiva: Esquire.

Ultimo aggiornamento: 2016/09/10 16:30.

Molti sottovalutano la determinazione dei truffatori digitali perché non hanno idea di quanto questi criminali possano essere motivati a investire tempo e risorse per fare una ricognizione digitale di un’azienda, compilarne l’organigramma e scandagliarne le difese. Provo a fare un esempio: bastano 40 milioni di euro come motivazione?

È quello che è successo all’azienda tedesca di cablaggi Leoni AG: come raccontano Tripwire e Softpedia, ha dovuto annunciare pubblicamente un danno economico di questo ammontare causato da una truffa informatica.

Secondo le prime ricostruzioni, a metà agosto scorso la giovane direttrice finanziaria della filiale rumena dell’azienda ha ricevuto una mail falsificata che sembrava provenire dai massimi dirigenti tedeschi della Leoni AG e ordinava il trasferimento di 40 milioni di euro. La mail teneva conto delle procedure interne dell’azienda per l’approvazione e il trasferimento di fondi: i criminali avevano quindi studiato bene la propria vittima, scegliendo l’unica delle quattro fabbriche rumene dell’azienda abilitata ad effettuare trasferimenti di denaro e prendendo di mira specificamente la persona che poteva eseguire un trasferimento così ingente.

I 40 milioni sono stati trasferiti a banche della Repubblica Ceca e da lì si sono volatilizzati. Il caso è ora in mano alle autorità rumene.

L’episodio può essere una buona occasione per riesaminare le procedure aziendali per gli ordini di pagamento: se un singolo dipendente, di qualunque grado, può disporre bonifici per decine di milioni sulla base di una semplice mail, senza alcun controllo incrociato (per esempio una banale telefonata al numero diretto del dirigente che avrebbe inviato la mail), e se i dipendenti non sono al corrente che il mittente di una mail è falsificabile, c’è decisamente qualcosa che non va.

Quanto dev'essere sofisticato un attacco di phishing? Non molto

Giovedì ero in una scuola di Bellinzona per una lezione su Internet e le sue trappole sociali e tecniche. Una delle docenti mi ha mostrato una mail sospetta:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]@yahoo.com>
Data: 16 novembre 2011 20:10:06 GMT+01:00
A: [omissis]
Oggetto: Gentile utente edu.ti.ch ,
Rispondi a: [omissis]@w.cn


Gentile utente edu.ti.ch ,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:
Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l'inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

Grazie per la vostra comprensione.
Supporto tecnico / Team TSR manutenzione.
Posta elettronica scuola TI - @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio - Copyright / IP Policy - Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy - Informazioni confidenziali

Pensavo si trattasse di un tentativo casuale di phishing e le ho consigliato di non rispondere e cestinare il messaggio, ma stamattina ho saputo dalla stampa locale (Tio.ch; Cdt.ch) che la stessa mail è stata ricevuta anche da altri docenti delle scuole ticinesi. E purtroppo qualcuno di loro ha risposto, presumibilmente regalando il proprio nome utente e la propria password ai criminali.

Non paghi del loro successo, stamattina gli spioni hanno insistito:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]>
Data: 19 novembre 2011 03:44:34 GMT+01:00
A: [omissis]
Oggetto: ultimo avvertimento
Rispondi a: [omissis]@w.cn

Cari edu.ti.ch! utente,

 Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

 In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

 Indirizzo e-mail
 password
 Data di nascita:

 In caso contrario, questo sarà immediatamente rendere il tuo account disattivati ​​dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E 'anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

 NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

 Grazie per la vostra comprensione.
 Supporto tecnico / Team TSR manutenzione.

Si pensa sempre che gli “hacker” (termine improprio, ma pazienza) usino stratagemmi ultrasofisticati, ma in realtà molto spesso basta un attacco grossolano per superare le difese dei sistemi sfruttando l'anello debole della catena: l'utente.

In questo caso alcuni docenti avrebbero dato retta a un messaggio-trappola nonostante:

1. fosse scritto in un italiano catastroficamente sgrammaticato
2. provenisse da un indirizzo che per simulare una provenienza autorevole usava soltanto un espediente banalissimo (una descrizione e nulla più, lasciando in chiaro il vero mittente e il reply-to cinese)
3. chiedesse loro dati estremamente sensibili come le password e le date di nascita.

Se questo attacco ha avuto successo, vuol dire che basta davvero poco, persino un messaggio sgangherato come questo, per ingannare gli utenti. Vuol dire anche che i docenti (e con loro molti altri utenti) hanno bisogno urgente di una sensibilizzazione all'uso di Internet e di uno strumento fondamentale come l'e-mail. Sembra proprio che manchino le basi, e questo è preoccupante.

Inoltre, se questo attacco ha colpito esclusivamente docenti, vuol dire che gli aggressori si sono impadroniti in qualche modo della rubrica dei loro indirizzi e che quindi c'è stata una compromissione della sicurezza dei servizi informatici scolastici. In tal caso non si tratterebbe di un tentativo a casaccio che per pura coincidenza ha raggiunto anche dei docenti, ma di un attacco mirato (spear phishing).

Speriamo che l'incidente serva di lezione, non solo in Canton Ticino ma anche altrove. Se qualcuno ne sa di più, mi scriva.


Questo articolo vi arriva grazie alla gentile donazione di “pilla” ed è stato aggiornato dopo la pubblicazione iniziale.