giovedì 17 marzo 2016

“Non cliccate su quel link”, i consigli per evitare di farsi svaligiare conti e carte di credito

Era stato ribattezzato il Celebgate, il Watergate delle celebrità e delle loro foto più intime. Quasi due anni fa, nell’estate 2014, erano apparse online, su vari siti e forum, centinaia di immagini rubate ad attrici e modelle americane. Gli scatti più personali, e spesso svestiti, di decine e decine di star e starlette - a partire da Jennifer Lawrence, Kate Upton, Kim Kardashian, Rihanna - erano finiti in Rete. Molti di questi erano stati prelevati dagli account iCloud delle vittime. Ma in che modo? La Apple all’epoca aveva smentito che la causa potesse essere una falla del proprio servizio di backup online, ma i dettagli di come avessero agito i ladri di foto erano rimasti oscuri.
Ora invece abbiamo almeno due notizie. La prima è che è stato arrestato - e a quanto pare reo confesso - il responsabile del furto. Si tratta di Ryan Collins, 36 anni, di Lancaster (Pennsylvania). L’uomo avrebbe sottratto le foto dagli account ma ancora non è stato chiarito se a diffonderle online sia stato sempre lui o altri.
La seconda notizia riguarda invece le modalità con cui Collins si sarebbe impadronito delle immagini. Ovvero con un attacco di phishing mirato alle celebrità di Hollywood, come riporta la testata Fusion.
In pratica Collins avrebbe violato gli account personali delle oltre cento vittime inviando loro delle email fraudolente. Le mail sembravano provenire da Apple o da Google e arrivavano da indirizzi come e-mail.protection318@icloud.com, secure.helpdesk0019@gmail.com e così via. Collins chiedeva alle vittime di reinserire le loro credenziali Gmail o iCloud con una scusa e queste evidentemente hanno abboccato in massa, credendo che la mail arrivasse dal loro legittimo fornitore di posta o da Apple. In questo modo, facendo incetta di credenziali, Collins sarebbe entrato in 50 account iCloud e 72 account Gmail, quasi tutti appartenenti a Vip. Non solo: in alcuni casi l’uomo è riuscito a scaricare l’intero backup delle vittime, usando probabilmente uno dei programmi - come Elcomsoft Phone Password Breaker - impiegati anche dalle forze dell’ordine per acquisire prove dai telefoni.
NON SOLO APPLE E VIP: MA BANCHE, SUPERMERCATI, TELEFONIA
Ma il phishing non colpisce solo le celebrità di Hollywood. È una tecnica versatile usata contro molti target diversi. A cominciare da utenti e consumatori, che non sono presi di mira in genere per le loro foto ma per i loro conti bancari e le carte di credito. “Il phishing nei confronti di utenti Apple si è molto diffuso negli ultimi due anni anche in Italia”, spiega a La Stampa Denis Frati, che dal 2009 esamina campagne di email fraudolente e relativi siti posticci, e che con la sua azienda D3Lab lavora con le imprese colpite da tali attacchi. La Stampa ha visitato due siti di phishing italiani mirati a clienti Apple. Le varie schermate di accesso e la grafica sono riprodotte bene. Anche se ovviamente l’indirizzo del sito è diverso da quello originale.
In genere funziona così: i cybercriminali mandano finte email di Apple, in cui dicono che ci sono dei problemi sull’account del cliente, o che questo è stato bloccato e vanno reinseriti i dati per sbloccarlo; mettono un link che manda a un sito clone della casa di Cupertino con una finta pagina di login; e si rubano sia l’accesso a iCloud sia i dati della carta di credito.
A finire oggetto di questi attacchi, sempre di più anche in Italia, non sono ovviamente solo utenti Apple (o di altre aziende tech come WhatsApp). Ma anche i clienti di operatori telefonici, supermercati e perfino distributori di carburante, oltre alle banche. Con le banche, come vedremo, anche chi utilizza dei token, le chiavette con cui si generano codici al volo per entrare nei propri account, non è più al sicuro.
OCCHIO ALL’OFFERTA VIA SMS
Gli attacchi di phishing via Sms si sono intensificati in Italia negli ultimi due anni. Come funzionano? Arrivano dei messaggi di testo sui cellulari degli utenti con l’invito ad aderire a una qualche offerta, ad esempio l’acquisto scontato di carburante al costo di un solo euro al litro. A inviarli, apparentemente, una noto fornitore di gas. Nel messaggio c’è il link a un sito web per poter accedere e usufruire dello sconto. Ma quel sito è un falso, è un clone di quello vero, e quando l’utente inserirà i dati della propria carta di credito per acquistare il carburante a buon prezzo, questi andranno in mano ai truffatori. Oppure si tratta di un’offerta imperdibile inviata, apparentemente, da un centro commerciale o un supermercato. Anche qui stesso percorso su sito clone, inserimento dati, furto.
«L’uso degli Sms come veicolo di attacco risulta molto insidioso anche perché rende più complessa l’attività di monitoraggio. L’Sms transita al di fuori dei canali di ascolto delle società impegnate nel controllo di spam e frodi, con la conseguente difficoltà a identificare la truffa e a procedere con la messa offline del sito clone», prosegue Frati. Anche per questo motivo, la reazione migliore di una società colpita da campagne di phishing sarebbe quella «di avvisare i clienti sul web e sui social network, spiegando di essere sotto tiro di cybercriminali, ricevendo in risposta dai visitatori le segnalazioni dei siti cloni contro cui intervenire. Purtroppo non è una reazione così scontata». A volte sono proprio gli stessi utenti a segnalare online per primi la campagna d’attacco.
Tornando al phishing via Sms, come funziona lato criminali? Basta procurarsi un certo numero di schede sim (pagando qualche poveraccio incontrato in stazioni e luoghi simili perché se le intesti), ricaricarle con carte di credito già frodate, metterle in dispositivi con uno script per l’invio di massa di Sms. In alternativa ci sono molti servizi online di invio di messaggini a costi irrisori. «In Italia ci sono diversi siti che non prevedono controlli molto restrittivi sull’identità di chi usa il servizio. Per cui puoi inviare messaggi in cui il nome del mittente sia una certa banca o chi vuoi tu», commenta Frati. «All’estero mi è capitato di trovare analoghi servizi che vogliono invece verificare che tu sia davvero quello che dici di essere negli Sms».
I TOKEN E L’INTERNET BANKING
Nel caso degli attacchi all’online banking, i sistemi che usano token OTP (One Time Password) aggiungono ovviamente uno strato di protezione aggiuntiva, perché per loggarsi nel proprio account l’utente deve inserire, oltre a una password, un codice generato all’istante da una chiavetta fornita dalla stessa banca. Tuttavia negli ultimi anni alcuni truffatori hanno affinato le loro tecniche, sottraendo in tempo reale anche questi codici. «Usano dei pannelli di gestione nel sito clone che permettono di interagire con le azioni della vittima», spiega ancora Frati. «Quando questa inserisce i suoi dati, il criminale viene avvisato da un suono, corre a vedere i dati inseriti e li usa per loggarsi nel profilo della banca, mentre al contempo manda avanti l’utente sul sito finto». È anche possibile mandare messaggi di errore e far reinserire un’altra volta il codice se alla prima non si riesce. Tutto ciò accade molto rapidamente: il criminale procede così sul sito reale usando le credenziali prese all’utente, mentre questo continua a muoversi sul sito fasullo.
Ad ogni modo, le regole per difendersi sono uguali sia per le star di Hollywood che per gli utenti italiani. Gli esperti raccomandano di non cliccare mai su link di email (o di Sms) che sembrano arrivare da servizi su cui abbiamo aperto dei profili; o che promettono offerte speciali chiedendo dei dati personali o peggio quelli della carta di credito. Nel dubbio, meglio andare in modo autonomo sul sito dell’azienda e verificare l’esistenza della promozione. E controllare sempre bene l’indirizzo del sito in questione.

Fonte: www.lastampa.it//“Non cliccate su quel link”, i consigli per evitare di farsi svaligiare conti e carte di credito - La Stampa

Nessun commento:

Posta un commento

Responsabilità professionale medica, stop alle "liti temerarie" contro i medici

 Stop alle "liti temerarie" contro i medici: su 100 cause per responsabilità professionale, nel penale, solo il 5% porta a una con...