Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è
impressionante la quantità di organizzazioni che mette su alla bell’e meglio
una pagina Web con i dati personali dei dipendenti, clienti o collaboratori
“perché così è comodo e possiamo consultarli facilmente”.
Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque
altro. A quanto pare non è ancora stata capita diffusamente la lezione
fondamentale che non basta non dire a nessuno dove si trovano i dati e così
nessuno li troverà:
bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori
di ricerca generalisti, come Google, che permettono di trovare le pagine Web
pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i
motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e
catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.
Ieri (30 gennaio) ho
segnalato
il caso di un elenco di clienti assicurativi della zona di Chieti,
allegramente consultabile e modificabile da chiunque da chissà quanto tempo
fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di
soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile
a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di
telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri
dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e
delle patenti di numerosi soccorritori volontari o professionisti.
Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore
a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da
Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono
32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia,
e così via (le date sono visualizzate nel formato statunitense
mese-giorno-anno). Per ciascun utente è indicata anche la situazione
medica che rende necessario il trasporto.
E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma
digitalizzata:
C’è anche un elenco di
“personale che non timbra da più di 3 settimane”:
Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto
sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS).
Non ho trovato il modo di capire chi sia il responsabile di queste pagine e
avvisarlo; nell’HTML non ci sono informazioni di identità e anche un
reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei
commenti.
Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un
problema peggiore: questi dati possono essere un appiglio perfetto per
compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un
esempio, se qualche truffatore o malintenzionato telefonasse alla signora
Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse
che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e
che passerà un incaricato a riscuoterlo, probabilmente la signora ci
crederebbe e aprirebbe la porta di casa all’“incaricato”.
A un livello più sofisticato, un malvivente potrebbe approfittare del fatto
che sa di questa violazione della privacy e contattare i responsabili del sito
chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse
troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe
meno di quello che costerebbe la sanzione del Garante più le spese legali e
quelle per mettere a posto il sito.
Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un
criminale informatico, che sicuramente avrà più inventiva di me.
---
2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza
Urgenza che mi segnala che con le informazioni che ho fornito privatamente
all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne
i responsabili.
---
2023/02/02 11:30. I dati non sono più accessibili via Internet.
Credo che questa chioma batta tutti i record spaziali di capigliatura, o
perlomeno dia del filo da torcere a Marsha Ivins in questa
celebre foto del
2001 (grazie a Paolo Amoroso per la segnalazione). La cosmonauta Anna Kikina è
a bordo della Stazione Spaziale Internazionale. Foto datata 22 gennaio 2023.
Fonte:
NASA su Flickr.
La foto di Ivins è la
S98E5020, che per quel che ne so è disponibile solo a bassa risoluzione su
Archive.org e in risoluzione leggermente migliore
qui.
Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per
tenere conto degli aggiornamenti e per fornire un contesto più ampio.
Quasi sempre i criminali informatici vengono immaginati e rappresentati come
maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando
tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono
affatto necessarie, perché i dati sono stati messi maldestramente a
disposizione del primo che passa e sono accessibili via Internet da chiunque
abbia una minima capacità informatica.
Per esempio, pochi giorni fa mi è arrivata in via confidenziale la
segnalazione di un sito aperto a chiunque che contiene quello che sembra
essere un elenco di dati assicurativi di clienti italiani, probabilmente della
zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle
polizze assicurative, e altro ancora.
Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di
cliente ma è un avviso:
“Buongiorno questo database è accessibile a chiunque via Internet”,
tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è
accorto che è non solo leggibile da chiunque ma è anche modificabile da
chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.
Trovare queste perle non è difficile. Esistono motori di ricerca appositi,
come Shodan, che ho citato tante volte qui
e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta
Internet, e prendono nota dei siti che hanno degli accessi non protetti. È
sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto:
telecamere di sorveglianza accessibili, server leggibili e scrivibili da
chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente
immettere le parole chiave giuste.
E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati
anche da Google, appunto, anche se trovarli in questo modo richiede molta più
fatica. Infatti nel caso che mi è stato segnalato, il sito contenente
l’archivio di dati personali di assicurati italiani è non solo reperibile in
Google ma è anche nella sua cache, ossia nella copia temporanea che
Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno
accessibili, almeno in parte, anche per qualche tempo dopo che il sito
lasciato incautamente aperto sarà stato finalmente messo in sicurezza.
Qualche giorno fa ho contattato via mail quella che credo sia la ditta
responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e
documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato
che l’archivio non risultava più pubblicamente accessibile via Internet, anche
se la copia cache è tuttora presente in Google. Probabilmente l’avviso
lasciato in bella vista ha attirato positivamente l’attenzione dei
responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.
Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.
È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
Sono stato gentile, paziente e disponibile, e tutto quello che ne ho ricavato
è una perdita di tempo. Per cui adesso lascio perdere le inutili cortesie ed
espongo i fatti.
Come avevo
accennato, il 21 dicembre scorso un avvocato mi ha scritto chiedendomi di rimuovere
“prontamente” un mio intero articolo risalente al 2008 per ottemperare
al diritto all’oblio dei suoi assistiti. O almeno così sembra, visto che chi
mi ha scritto ha mandato una semplice mail (non una PEC, non una raccomandata,
ma una normalissima mail) a paolo.attivissimo@gmail.com. La mail del
mittente corrisponde a quella di un avvocato del Nord-Est italiano, ma essendo
una normale mail non offre alcuna garanzia di autenticità.
Ma anche supponendo che la mail provenga davvero da un avvocato, resta il
problema che l’articolo non contiene
nessun riferimento ai suoi assistiti. L’unico riferimento agli
assistiti in questione è in un commento all’articolo. E quel commento
segnala la circolazione di una catena di Sant’Antonio che li riguarda.
Chiedermi di rimuovere l’articolo è quindi privo di senso.
Ho risposto prontamente (il 23 dicembre scorso) all’avvocato, dalla
casella di mail alla quale mi era arrivato il messaggio iniziale
(paolo.attivissimo@gmail.com) e inviando la risposta alla casella
indicata come mittente in quel messaggio iniziale, dicendo semplicemente
quanto segue, perché ovviamente non discuto i dettagli di una questione legale
tramite mail ordinaria:
Oggetto: Re: Sig.ri Cremonini esercizio diritto all'oblio
Buongiorno Avvocato,
la prego di contattarmi formalmente tramite PEC:
paolo.attivissimo@pec.net
Cordiali saluti
Paolo Attivissimo
Il giorno successivo (24 dicembre) ho inviato alla casella di mail
dell’avvocato (quella dalla quale sembrava avermi scritto) una PEC con lo
stesso contenuto:
Oggetto: Sua mail a me del 21/12/2022 (Cremonini)
Buongiorno Avvocato, la prego di contattarmi formalmente tramite
PEC: paolo.attivissimo@pec.net
Cordiali saluti Paolo
Attivissimo
Questa PEC risulta accettata e inoltrata dal sistema PEC, con ricevuta datata
24/12/2022 alle ore 09:38:25. Da allora, silenzio totale.
Dallo stile e da altri indizi, ritengo molto probabile che la mail iniziale
sia davvero stata inviata dall’avvocato in questione e da qui in poi, per
chiarezza di racconto, presumo che sia così.
Sembra che l’avvocato che mi chiedeva di “procedere prontamente” e di
informarlo “una volta avvenuta tale cancellazione” non abbia trovato il
tempo, in tutto un mese, per rispondermi in merito alla sua richiesta
che dalle sue parole appariva così urgente.
E quindi quel commento che pareva essere così importante da cancellare
“prontamente” è rimasto dov’è, e l’articolo pure.
Non solo: può benissimo darsi che gli assistiti dell’avvocato abbiano diritto
di chiedere l’oblio per quella vicenda di quattordici anni fa, ma ora
questa vicenda diventa una notizia nuova che li riguarda.
Sì, perché se la mail proviene realmente dal loro avvocato, è decisamente
notiziabile il fatto che i signori Luigi Cremonini, Vincenzo Cremonini,
Claudia Cremonini, Serafino Cremonini e Augusto Cremonini chiedano tramite un
avvocato, in maniera tecnicamente inetta e vessatoria, di rimuovere
“prontamente” un intero articolo che nemmeno li riguarda.
Oltretutto dalla mail dell’avvocato si ha l’impressione che si tratti di una
richiesta fatta distrattamente e con il copiaincolla, dato che parla di
“articoli” e di
“eliminazione delle url sopra indicate” (plurale) ma in realtà cita un
singolo URL e un solo articolo. È un esempio, interessante per
l’opinione pubblica, della maniera grossolana e un tanto al chilo in cui
lavora chi è chiamato a un compito importante e delicato come far valere il
diritto all’oblio e per questo, presumo, riceve una parcella.
È anche un esempio di come vengono trattati i giornalisti: si manda una
semplice mail, oltretutto sbagliata, si pretende che il giornalista agisca
subito e “prontamente”, ma non ci si degna neppure di rispondergli per
chiarire i dettagli o trovare una soluzione corretta.
L’articolo in questione, quello che mi è stato chiesto di rimuovere
integralmente addirittura eliminandone l’URL, è questo:
Come si capisce già dall’URL, l’articolo non ha minimamente a che fare
con la famiglia Cremonini (parla di un allarme-bufala per il presunto piombo
nei rossetti). Il commento che li riguarda è
questo. E sono disposto a rimuoverlo se ne ricevo richiesta formale. È sufficiente
una PEC. Ma il mio articolo, che non c’entra nulla, non si tocca. Oltretutto,
a questo punto, visto che l’avvocato ha lasciato passare tranquillamente un
mese senza mandarmi neanche una riga di risposta, diventa difficile
argomentare che l’eventuale danno alla famiglia derivante dal commento in
questione sia grave.
Per maggiore scrupolo, il 27 gennaio 2023 ho
cercato
la casella PEC dell’avvocato e le ho mandato una mia PEC:
Buongiorno Avvocato,
sono Paolo Attivissimo, giornalista
informatico. A dicembre 2022 ho ricevuto sulla mia casella
paolo.attivissimo@gmail.com una mail, apparentemente inviata da
"[omissis]", che parlava di miei "articoli" (plurale) e mi richiedeva
di "procedere prontamente all'eliminazione delle url sopra indicate e di
informarmi una volta avvenuta tale cancellazione."
Le URL in
questione, anzi l’unico URL (e quindi l'unico articolo), era
https://attivissimo.blogspot.com/2008/07/antibufala-allarme-per-il-piombo-nei.html
La richiesta era materialmente errata, perché il mio articolo non
contiene alcun riferimento ai signori Cremonini.
Ho risposto
prontamente, sia via Gmail sia tramite PEC, chiedendo una presa di contatto.
Ormai è trascorso più di un mese, ma non ho avuto da lei nessun riscontro.
Distinti
saluti Paolo Attivissimo
La mia PEC risulta accettata e consegnata. Se anche questa comunicazione verrà
ignorata, considererò chiusa la questione.
In sintesi: se l’avvocato avesse avuto semplicemente la cortesia di
rispondere, i suoi assistiti avrebbero evitato un perfetto Effetto Streisand.
Spero che siano contenti del servizio che ricevono.
---
2023/01/27 17:20. Oggi intorno alle 13 l’avvocato ha risposto via PEC alla mia PEC, scusandosi per il ritardo nel rispondere e ha chiesto cortesemente di eliminare i commenti privi di fondamento contenenti il nome dei suoi assistiti. Ho provveduto, lasciando una nota nel flusso di commenti dell’articolo per spiegare l’accaduto. L’articolo rimane al suo posto. Considero chiusa la questione.
C’è un tipo di spam particolare che sta diventando più frequente: i
video fraudolenti su YouTube. Video che vengono addirittura consigliati da
YouTube ai suoi utenti.
Si tratta di video che sembrano pubblicati da aziende molto conosciute ma sono
in realtà creati da truffatori che prendono immagini, nomi e marchi di queste
aziende e riconfezionano il tutto in modo che lo spettatore creda di assistere
a una nuova comunicazione aziendale, per esempio l’annuncio di un nuovo
prodotto, mentre in realtà gli viene proposto del materiale video vecchio al
quale viene aggiunto un link che porta alla truffa vera e propria.
La cosa assurda, appunto, è che questi video finiscono fra quelli consigliati
allo spettatore da YouTube perché rispecchiano i suoi interessi.
Per esempio, nei video che mi vengono consigliati da YouTube mi è comparso
l’avviso di un video in diretta il cui titolo parlava di SpaceX, la società
spaziale di Elon Musk, e annunciava un aggiornamento da parte di Musk stesso
sul lancio del razzo gigante Falcon Heavy, un argomento che effettivamente mi interessa. L’account che presentava il video
aveva il marchio di Tesla, altra azienda di Musk, e si faceva chiamare
Tesla Academy.
Adesso sapete quali sono i miei interessi, almeno quelli che YouTube crede che siano i miei interessi.
Facendo scorrere il video, però, mi sono accorto che non era affatto una diretta, ma era una replica di una presentazione fatta da Elon Musk tempo fa, ed è comparso in sovrimpressione un codice QR insieme all’immagine di un tweet di Elon Musk che diceva “La tua vita cambierà entro pochi minuti se scansionerai il codice QR. Non è uno scherzo.”
Inoltre nei commenti erano stati fissati alcuni messaggi che parlavano di un grande giveaway, ossia di una distribuzione di regali da parte di Musk. Addirittura veniva proposto di raddoppiare le proprie criptovalute nel giro di “3-5 minuti” se si scansionava il codice QR mostrato nel video o si seguiva un link, citato nei commenti, per partecipare a questa elargizione.
Cliccando sul link o seguendo il codice QR si veniva portati a un sito contenente un annuncio, con tanto di logo di SpaceX e ritratto di Elon Musk, che spiegava i dettagli della partecipazione. Per raddoppiare le proprie criptovalute era sufficiente inviarle al sito.
Ovviamente si trattava di una trappola: se avessi abboccato, avrei mandato dei soldi non a SpaceX o a Elon Musk ma a degli sconosciuti, che sicuramente avrebbero fatto qualunque cosa tranne rimandarmene il doppio. Ho quindi segnalato a YouTube che si trattava di spam, usando l’apposita funzione e scegliendo la sezione “Spam o ingannevole” e poi “Truffe o frodi”, e infine ho descritto le ragioni della segnalazione.
YouTube ha rimosso il video poco dopo, a dimostrazione che segnalare questi truffatori funziona, ma resta un problema di fondo: YouTube non ha fatto prevenzione e ha accettato che venisse creato un utente il cui nome era un marchio registrato e la cui icona era anch’essa un marchio registrato, e ha inserito questo video truffaldino fra i consigliati, dandogli evidenza e visibilità, senza controllare se provenisse davvero dall’account dell’azienda titolare dei marchi.
Questa promozione da parte di YouTube di un video di truffatori è quindi molto pericolosa, perché conferisce credibilità al tentativo di frode. Se incontrate altri video di questo genere, segnalateli a YouTube, e avvisate i vostri conoscenti di questo fenomeno: non ci si può fidare ciecamente dei video consigliati da YouTube.
Mi sono arrivate segnalazioni di strane mail, provenienti da
Bsacompliancesolutions.org, che dichiarano di rappresentare la Business
Software Alliance e chiedono una presa di contatto telefonica per una
“revisione sulle licenze Adobe come previsto dai termini di utilizzo dei
software”.
Le mail hanno un aspetto simile al seguente:
BSA | The Software Alliance è un'associazione di punta che rappresenta gli
interessi del settore mondiale del software. BSA promuove l’uso e l’adozione
dei processi di garanzia della qualità dei software attraverso un sistema di
gestione delle licenze e programmi di formazione in tutto il mondo.
BSA la contatta per conto del proprio membro Adobe (bsa.org/membership)
nell’ambito dello speciale programma condotto per aiutare le aziende a
verificare e a gestire i software utilizzati, a ridurre i rischi legati
all’utilizzo di programmi non supportati e a fornire preziose informazioni
relative ai prodotti software.
La preghiamo di comunicare la propria disponibilità a parlare di questa
verifica entro 15 giorni.
Al fine di identificare il tempo e la data per questa chiamata, Le chiediamo
gentilmente di verificare le opzioni disponibili nel sito
https://calendly.com/[omissis]
Salve,
ho provato a contattarla telefonicamente ma senza successo.
Possiamo sentirci quando e’ disponibile?
Le comunico che il nostro contatto non e' una proposta commerciale, ma una
revisione sulle licenze Adobe come previsto dai termini di utilizzo dei
software.
Rimango in attesa di un suo riscontro.
Grazie
Ci sono ottime ragioni per essere dubbiosi di un messaggio del genere:
la persona che ha inviato la mail dichiara di agire per conto della
Business Software Alliance, che è una nota associazione internazionale che da tempo promuove il software
proprietario dei propri membri anche perseguendo la violazione del copyright
sui software da parte delle aziende. Ma il dominio Internet della Business
Software Alliance è BSA.org, mentre la mail arriva da un dominio
completamente differente, ossia BSAcompliancesolutions.org: uno
schema tipico delle truffe online.
La richiesta è in italiano, ma il numero di telefono è britannico (prefisso
+44, zona di Londra): come mai questa richiesta arriva dal Regno Unito? Eppure
la BSA dichiara di essere
operativa “in oltre 30 paesi”. E il suo quartier generale per
l’Europa è a
Bruxelles, non nel
Regno Unito.
Una ricerca nel sito della BSA non trova nessuna citazione di
bsacompliancesolutions.org.
Il sito
Bsacompliancesolutions.org
mostra abbondantemente i loghi della BSA, ma anche i siti dei truffatori
mostrano i marchi delle aziende che tentano di imitare, per cui questa
presenza non dimostra nulla.
Se si fa una ricerca in Internet si trovano
pareri
molto contrastanti su Bsacompliancesolutions.org: alcuni dicono che è reale ed è
una emanazione di Adobe o di BSA; altri dicono che è una truffa. Il sito
antitruffa
Scamadviser
segnala di aver ricevuto oltre 1100 richieste di informazioni su
Bsacompliancesolutions.org e lo considera quasi sicuramente legittimo.
Aggiunge che il nome di dominio è un redirect da
www.bsassi.org, bsassi.org e bsaenforcement.org.
In altre parole, per un utente comune questa mail è impossibile da verificare
e ha molti elementi sospetti. L’unico modo per sapere se è autentica o no è
contattare la BSA e chiederglielo.
L’ho fatto io per voi, passando dal suo
apposito indirizzo mail di contatto
(media@bsa.org) e
via Twitter
(@BSANews) e telefonando al numero
indicato nella mail sospetta, e la versione breve di questa storia è che
sì, Bsacompliancesolutions.org agisce per conto della BSA: me lo ha
confermato un portavoce della BSA.
Ma la BSA non può garantire che una specifica mail ricevuta provenga
effettivamente da Bsacompliancesolutions.org, e in ogni caso prima di rispondere
a messaggi di questo genere è opportuna un po’ di prudenza.
(La versione lunga è che quando ho inviato la mail dalla mia casella di lavoro
presso la RSI, ho ottenuto la risposta
“Il messaggio è stato rifiutato dal server di posta elettronica del
destinatario”, ma a quanto pare in realtà la mia mail è stata ricevuta nonostante il
messaggio d’errore. Fra l’altro, l’indirizzo media@bsa.org viene
rediretto su bsa@allisonpr.com, e a sua volta Allisonpr.com porta
all’agenzia di marketing e comunicazione britannica Allison+Partners (allisonpr.co.uk). Alla mia telefonata, invece, ha risposto una segreteria telefonica; ho
lasciato un messaggio ma non ho avuto risposta)
---
Infatti anche se BSAcompliancesolutions.org è effettivamente una emanazione della BSA,
resta la questione delle “revisioni” (o audit) delle licenze software
che vengono effettivamente chieste dalla BSA o da organizzazioni legate alla
BSA. Un articolo del 2010 di
Redmondmag
racconta vari casi di queste richieste che sono state respinte nettamente dai
responsabili software e dagli uffici legali delle aziende contattate dalla BSA o da suoi incaricati
perché erano prive di basi giuridiche. La BSA è un’associazione privata, e
come tale non ha il diritto di perquisire o ispezionare nulla.
Anche il portavoce della BSA mi ha confermato via mail che le revisioni sono
“su base completamente volontaria”: quindi non sentitevi obbligati a
rispondere o a collaborare.
La dichiarazione completa del portavoce della BSA:
BSA | The Software Alliance is a trade association based in Washington, DC
that focuses on policy advocacy. We advocate on behalf of makers of
enterprise software in the United States, before the European Union through
our office in Brussels, and in a number of capitals worldwide. Our advocacy
focuses on advancing privacy, cybersecurity, artificial intelligence, and
digital trade policies that help to support digital transformation across
every industry.
Like many other trade associations, BSA also
operates programs, collectively under the umbrella of its
Compliance Solutions
division, that help to promote the overall marketplace for enterprise
software. One of these programs involves outreach to end-users of certain
BSA members’ products to educate them on the benefits of using fully
licensed software and the cybersecurity and other risks of unlicensed
software.
Our ultimate goal in engaging these end users is to
work with IT decisionmakers, on a completely voluntary basis, to assess
their organization’s software requirements and usage, identify gaps, and
explore solutions. Because of the nature of those assessments, and so as to
not prejudge any circumstances, we do not comment on our interactions or
engagement with any specific organization.
Gli esperti
raccomandano
a chi riceve mail con richieste di revisione delle licenze software di non
rispondere subito ma di esaminare prima di tutto i contratti di licenza dei
propri software, specificamente le loro clausole sui controlli e sulle
conformità (auditing e compliance), e di non offrire a terzi
pieno accesso ai propri sistemi informatici, anche perché questo potrebbe
comportare problemi di sicurezza e di conformità alle leggi sulla protezione
dei dati.
Come regola generale, inoltre, è opportuno chiedere che qualunque richiesta di
questo tipo venga inviata per iscritto o con e-mail certificata; una semplice
mail normale non è sufficiente.
E infine, se vi state chiedendo come mai la BSA o i suoi affiliati hanno
deciso di contattare proprio voi, ci possono essere due ragioni: la prima è
che molti software commerciali sono in grado di segnalare alle case
produttrici, via Internet, quando e dove una loro copia viene usata senza licenza, e
la seconda è che la BSA offre ricompense fino a 10.000 euro per chi fa
segnalazioni
di presunte piraterie software.
L’intento della BSA, ossia far pagare le licenze software a tutti e
contrastare la pirateria, è insomma lodevole, ma i metodi che usa o che
vengono usati dai suoi rappresentanti sono poco chiari e possono causare
facilmente fraintendimenti. Siate prudenti.
Il video della mia recente conferenza sul metaverso per ciechi e ipovedenti (ma in generale per tutti) è ora disponibile: l’ho aggiunto all’articolo originale.
Ogni tanto mi arriva una mail di qualche lettore che chiede se per caso ho interrotto la “newsletter” di questo blog che riceveva fino a qualche mese prima o se ci sono problemi di invio o ricezione.
Non ho nessuna newsletter: quella che gestivo tramite Peacelink, denominata IxT o Internet per tutti, l’ho chiusa nel 2009, dopo anni di stillicidio di disservizi, perché i filtri antispam e altri problemi di distribuzione la rendevano impraticabile, come ho raccontato per esempio in questo articolo.
Però esistono, o esistevano, alcuni servizi non gestiti da me che inviano via mail i miei post su questo blog: per esempio Feedburner/Feedproxy di Google. Se ricevete i miei articoli via mail, non ve li sto mandando io, ma forse uno di questi servizi: se incontrate problemi, rivolgetevi a loro, perché io non posso farci assolutamente nulla.
Per seguire questo blog consiglio di usare i feed RSS.
Diversi amici e lettori mi hanno segnalato di aver ricevuto una
mail in latino
che li ha sorpresi moltissimo:
Bonus dies, mi amice, quid agis?
Longissimum tempus. Gaudeo te certiorem facere de meis rebus in accipiendis
pecunia illa hereditatis sub cooperatione novi e patria tua translata.
Mox in INDIA sum incepta pro obsidione cum mea portione totius summae.
Interim non oblitus sum praeteritorum laborum et conatum adiuvandi me in
transferendis illis pecuniarum hereditatibus, quamvis aliquo modo nobis
defecerit.
Nunc secretarium meum in LOME Togo Africae occidentalis contactum, nomen
eius MRS JESSE ROBERT in inscriptionem electronicam
(jessyrobert1991@gmail.com) pete ut tibi summam totalis ($1,500,000.00) tibi
mitteret, cuius ego decies centena millia quingenti milia civitatum
unitarum. pro recompensatione tua conservata pro omnibus praeteritis
laboribus et conatibus me in re gerenda adiuvandum.
Tuam operam per id tempus valde probabam. Libenter igitur senties et
contactum secretarii mei MRS JESSE ROBERTI et eam instrue ubi ad te mitteret
ATM CARD summae totalis ($1,500,000.00). Fac ut sciam statim a te accipias
ut post omnem passionem tunc gaudeam participare possimus. In momento, hic
valde occupatus sum propter incepta collocanda, quae cum novo socio meo in
manibus habeo, tandem meminerim me mandavisse pro te mandasse secretario meo
ut ATM CARD exciperet (1,500,000.00) sic sentire. cum ea libere attingas,
quantum tibi sine ulla dilatione mittet.
Optime respicit, D. Eugenius Albert.
Se vi state chiedendo cosa voglia dire questa strana mail, magari perché
l’avete ricevuta anche voi, non è una prolissa formula magica di Harry Potter o una
comunicazione del Vaticano: è spam, ma uno spam decisamente originale.
Il latino del messaggio contiene errori grossolani: a un certo punto, per
esempio, parla di “civitatum unitarum” dopo aver citato un importo, ma
è una traduzione maccheronica di “dollari statunitensi”, ma il suo
senso è vagamente traducibile lo stesso se sapete il latino o se ne immettete il testo
in un traduttore automatico.
In sintesi, un sedicente “Eugenius Albert” vi ringrazia per averlo aiutato a
trasferire una fantomatica eredità da un paese a un altro e vuole
ricompensarvi dandovi una altrettanto fantomatica tessera Bancomat sulla quale
ci sarebbe un milione e mezzo di dollari di credito. Per riceverla dovete solo
contattare il suo secretarium, che sta a Lome, in Togo, e si chiama
Jesse Robert. Il signor Albert vi chiede di farlo via mail -- pardon,
in inscriptionem electronicam.
È chiaramente un tentativo di truffa, ma resta il mistero del motivo per cui
lo spammer/truffatore ha scelto il latino. Potrebbe trattarsi di un modo
originale per tentare di eludere i filtri antispam, che sembra aver
funzionato, visto che me ne sono arrivate parecchie segnalazioni. Potrebbe
anche essere un modo per incuriosire il destinatario. In tal caso, lo spammer
forse presume che l’uso del latino non sia un ostacolo, visto che chi è
sufficientemente incuriosito probabilmente ha a disposizione un traduttore
online per decifrare il contenuto del messaggio.
Le prime ipotesi arrivate:
“Ho una soluzione: il latino è percepito come "Lingua franca della Chiesa",
no? Semplicemente si passa dal "principe Nigeriano" all'"ammanicato delle
banche Vaticane" come esempio di grande ricchezza”
(Bufale.net su Mastodon)
“temo che qualcuno, nel configurare il bot, abbia invertito il parametro
Latin del set di caratteri al posto del parametro italian inerente la lingua
di output del traduttore automatico.”
(Informapirata su Mastodon)
Sia come sia, ovviamente non è il caso di rispondere.
Haec epistula electronica delenda est.
Illustrazione
proposta
da Lexica.art chiedendo “spammer reading in Latin”.
Le caselle gratuite di Gmail sono capienti già nella versione base gratuita (attualmente offrono circa 15 GB) e aumentarne le
dimensioni pagando non è difficile. Ma se ricevete o mandate tanti allegati,
noterete che riempiono molto spazio. È facile dimenticarsi che un singolo
allegato da 10 MB equivale a circa 10.000 mail, in termini di spazio occupato
(presumendo che una mail di solo testo occupi mediamente 1 KB).
La soluzione semplice è cancellare le mail che contengono allegati pesanti che
non vi servono più: è possibile elencarle andando in Gmail e digitando nella
casella di ricerca
has:attachment larger:[dimensioni]
Per esempio,
has:attachment larger:10M
elenca tutte le mail che hanno un allegato di dimensioni superiori ai 10
MB.
Questo filtro può essere affinato ulteriormente, per esempio specificando un
mittente se avete qualcuno che vi manda tanti allegati che dopo qualche tempo
non vi serve più avere in archivio nella mail. Per esempio,
elenca tutte le mail con allegato grande almeno 1 MB che avete ricevuto da
pippo@pippo-e-pluto.com almeno un anno fa. L’elenco completo degli operatori di Gmail
offre molte altre opzioni.
---
Questo metodo, però, ha il difetto che elimina non solo l’allegato ma anche la
mail associata all’allegato. Se avete bisogno di conservare la mail, che è
leggera, ma non il suo ingombrante allegato, per esempio per tenere traccia di
comunicazioni di lavoro, in Gmail non c’è modo di farlo. Alcuni client, come
per esempio Thunderbird, offrono quest’opzione, da applicare manualmente alle singole mail, ma Gmail no.
Una soluzione è la web app Unattach, che
consente appunto di eliminare gli allegati lasciando però intatte le mail
corrispondenti; l’allegato viene sostituito da una nota, in calce alla mail,
che descrive l’allegato rimosso.
Per usare Unattach, che è gratuita nella versione limitata a 30 mail/mese e
costa 10 euro/dollari/franchi l’anno nella versione Basic che non ha
questo limite, si va a https://unattach.app e si clicca su
Get Started o su Try with our free plan, poi si clicca su
Sign up with Google (oppure si crea un account con mail e password), si
accetta la richiesta di collegare il proprio account Gmail a Unattach (è un
permesso revocabile), si accettano le condizioni d’uso e l’informativa sulla privacy
e si clicca su Start Unattach.
Fatto questo, si clicca su Sign in to Gmail per dare gli ulteriori
consensi (Unattach deve poter leggere e scrivere nell’account di posta) e si
può cominciare.
Nella scheda Basic search si può fare una ricerca semplice, basata
sulle dimensioni degli allegati: compare un elenco delle mail che soddisfano
il criterio, ordinabile per dimensioni, data, mittente e oggetto.
Nella scheda Advanced search, invece, si possono immettere gli stessi
operatori che si possono usare in Gmail, e quindi per esempio si possono
cercare le mail che hanno allegati e sono state inviate da uno specifico
mittente prima di una certa data.
Si può scegliere di cancellare la mail, scaricare gli allegati, rimuoverli o
ridurne le dimensioni se sono immagini. Fatto questo, si selezionano le mail
che interessano, si clicca su Process Selected Emails, e il gioco è
fatto. Nel mio caso ho 2265 mail con allegati risalenti a più di due anni fa
provenienti da un singolo cliente; ho già salvato in archivio gli allegati e
quindi non mi serve tenerli nella casella di mail. Eliminarli mi libererà
quasi 3 GB di spazio su Gmail, dopo che avrò vuotato il Cestino di Gmail (andando a https://mail.google.com/mail/u/0/#trash).
Le mail alle quali è stato rimosso l’allegato ora hanno in calce un avviso se le apro in Gmail:
Se usate (anche) un client di posta in IMAP, come me, la modifica ci metterà un po’ ad arrivare anche alla copia locale delle mail. E ovviamente l’eliminazione degli allegati riduce anche lo spazio occupato sul disco locale dalla mail.
La spiegazione del metodo usato da Unattach è fornita in questo articolo, che sottolinea che Unattach è una web app che gira localmente nel browser dell’utente e usa le API di Google per accedere alla mail dell’utente; le mail non vengono mandate agli sviluppatori di Unattach o ad altri, come descritto nell’informativa sulla privacy. Questo, però, significa che l’app non è un fulmine: eliminare qualche migliaio di allegati richiede un’oretta abbondante.
Passare alla versione a pagamento è facile: si può pagare con PayPal o con le principali carte di credito.
Il 20 ottobre 2016 Tesla pubblicò un video che mostrava una Tesla Model X
mentre effettuava un tragitto senza alcun intervento del conducente, creando
enorme scalpore mediatico. Ne
scrissi
anch’io all’epoca con entusiasmo. Ma il video è sostanzialmente un falso, confermato da uno dei suoi creatori in una testimonianza in tribunale.
Il video iniziava con la dicitura (in inglese)
“La persona seduta al posto del conducente è presente solo per motivi
legali. Non sta facendo nulla. L’auto guida da sola”
(“The person in the driver’s seat is only there for legal reasons. He is not
doing anything. The car is driving itself”).
Il video era questo, tuttora
presente
sul sito di Tesla con il titolo
“Hardware per guida autonoma completa su tutte le Tesla” (“Full Self-Driving Hardware on All Teslas”):
Nel video, l’auto esce da un box di un’abitazione privata, si immette in
strada, si ferma agli stop e ai semafori, gestisce sorpassi e cambi di corsia,
imbocca l’uscita autostradale e conclude il proprio viaggio nel parcheggio
della sede centrale di Tesla (al
3500 di Deer Creek Road, a Palo Alto, in California), scaricando il conducente e girando da sola per
il parcheggio fino a trovare autonomamente un posto libero, fermandosi per
lasciar passare un pedone e infine facendo manovra per posteggiare.
Ma nel corso di un processo attualmente in corso in California per la morte di Walter Huang, avvenuta nel 2018 a bordo di una Tesla schiantatasi durante l’uso del
software di assistenza alla guida, la
testimonianza
di Ashok Elluswamy (PDF, 183 pagine), direttore del software Autopilot di
Tesla e direttamente coinvolto nella realizzazione del video, ha spiegato che
il video in questione era una messinscena
(da pag. 71 in poi):
quel percorso specifico era stato
pre-mappato in 3D, cosa che va completamente contro il principio di una guida autonoma usabile ovunque, anche su percorsi non pre-mappati, dichiarato esplicitamente da Tesla, e Musk ha detto che le strade pre-mappate (usate da altre case costruttrici) sono “una pessima idea” e generano “un sistema estremamente fragile”;
nonostante questo aiuto di premappatura, la ripresa mostra in realtà
soltanto un tentativo riuscito dopo numerosi fallimenti e non dimostra una situazione ripetibile affidabilmente;
durante questi tentativi precedenti, il
conducente aveva dovuto intervenire ripetutamente e l’auto usata nel video era
salita sul cordolo andando a sbattere contro una recinzione nel parcheggio.
Il fotogramma a 2:41 nel video, citato nella testimonianza (pag. 93), mostra
la recinzione colpita dall’auto durante i tentativi di manovra nel parcheggio non mostrati da Tesla.
Elluswamy ha dichiarato che
“l’intento del video era mostrare le potenzialità del sistema” (“I believe the intent of the video was to showcase the potential of the
system”, pag. 78) e
“non di rappresentare accuratamente quello che era disponibile ai clienti
nel 2016”
ma di “descrivere quello che era possibile creare” (“the intent of the video was not to accurately portray what was available
for customers in 2016. It was to portray what was possible to build the
system”, pag. 79). Non usa mai la parola “staged” (“inscenato”) che è stata usata da varie fonti (per esempio Gizmodo, Reuters, The Register e Ars Technica), ma il senso tecnico è sostanzialmente quello:
il video non rispecchiava affatto le capacità del software di Tesla destinato al pubblico.
Però il giorno precedente, ossia il 19 ottobre 2016, Tesla aveva pubblicato un articolo che titolava che “tutte le auto Tesla attualmente in produzione hanno hardware per la guida autonoma completa” (“All Tesla Cars Being Produced Now Have Full Self-Driving Hardware”) e ribadiva il concetto nel testo (“as of today, all Tesla vehicles produced in our factory – including Model 3 – will have the hardware needed for full self-driving capability at a safety level substantially greater than that of a human driver”).
Inoltre il video era stato interpretato, anche dai siti degli appassionati di Tesla, come una dimostrazione delle reali capacità di guida autonoma di Tesla, non come una dimostrazione di intenti. Lo avevano celebrato presentandolo per esempio come “una dimostrazione video di una Model X equipaggiata con la suite di sensori per guida autonoma più recente, che viene installata nei veicoli di Tesla adesso, mentre usa la versione più avanzata del software, che verrà distribuita agli utenti gradualmente nel corso del prossimo anno” (“a video demonstration of a Model X equipped with its latest self-driving sensor suite, which is going into Tesla’s vehicles right now, and using the most advanced version of the software, which will be pushed to owners gradually throughout the coming year”) (Fred Lambert su Electrek, 20 ottobre 2016).
Del resto, Elon Musk aveva pubblicizzato il video dichiarando che l’auto guidava “da sola (assolutamente nessun input umano) su strade urbane, autostrade e vie, poi trova un posto per parcheggiare... nel cercare un parcheggio, l’auto legge i cartelli stradali per sapere se è autorizzata a parcheggiare, ed è per questo che ha scartato il posto riservato ai disabili” (“Tesla drives itself (no human input at all) thru urban streets to highway to streets, then finds a parking spot... When searching for parking, the car reads the signs to see if it is allowed to park there, which is why it skipped the disabled spot”).
Un altro video, più lungo e con la stessa dicitura “La persona seduta al posto del conducente è presente solo per motivi
legali. Non sta facendo nulla. L’auto guida da sola”, era stato pubblicato successivamente.
Siamo nel 2023, e neanche oggi le Tesla hanno le capacità mostrate nel video. Non ce l’hanno neppure le circa 100.000 Tesla dotate del software più avanzato, il Full Self-Drive beta o FSD beta, che è disponibile solo in alcuni paesi, aumenta progressivamente di prezzo e oggi costa ben 15.000 dollari (o si può avere in abbonamento a 99 o 199 dollari al mese a seconda delle dotazioni preesistenti) in aggiunta al prezzo di listino dell’auto. Nessuna Tesla può andare a parcheggiare da sola senza nessun a bordo, come nota Elluswamy nella sua deposizione (pag. 95).
Va precisato che circolavano già, ma non presso il grande pubblico, dubbi su questo video. Li avrebbe avuti chi avesse avuto la profonda accortezza di notare che c’era un rapporto tecnico di Tesla al Department of Motor Vehicles (DMV) californiano (intitolato Disengagement of Autonomous Mode) che segnalava che l’azienda nel 2016 aveva coperto 550 miglia in modalità autonoma, con 168 “sganciamenti” (“disengagement”), ossia eventi nei quali la guida autonoma era andata in crisi e/o c’era stato un intervento del conducente. Questi eventi erano avvenuti nel periodo appena prima del rilascio del video in questione e quindi erano un sintomo dei problemi di affidabilità incontrati. Li avrebbe avuti chi avesse dato retta a un articolo del New York Times del 2021 che notava che vari dipendenti di Tesla che avevano lavorato al video avevano detto che rappresentava falsamente le capacità del sistema di guida di Tesla. Il NYT scriveva già all’epoca che il percorso era stato pre-mappato e che l’auto aveva colpito una barriera ed era stato necessario ripararla (The Register). Ma la deposizione di Elluswamy ha portato all’attenzione generale la reale natura del video.
Finora non è emersa alcuna dichiarazione pubblica di Tesla nella quale fosse stato chiarito, all’epoca, che il video era solo un “intento” di mostrare le potenzialità future e non corrispondeva a quanto realmente disponibile a Tesla e implementabile nelle auto commerciabili. Secondo Bloomberg(copia non paywallata), in alcune mail interne aziendali Elon Musk aveva dichiarato inizialmente ai suoi sviluppatori del software FSD che avrebbe detto pubblicamente che il video mostrava un esempio di capacità future (“I will be telling the world that this is what the car *will* be able to do, not that it can do this upon receipt”), ma poi aveva dato ordine esplicito di iniziare il video con quella frase, dettata da lui personalmente, che parlava solo di auto che guidava da sola, senza alcuna indicazione della natura reale del video o di potenzialità future.
Questi sono i fatti.
Sulla base di questi fatti, sembra ragionevole concludere che il video è oggettivamente ingannevole per il grande pubblico e quindi per l’acquirente medio di una Tesla, che vedendo quel video plausibilmente avrà pensato che acquistandone una in quel momento (nel 2016) avrebbe ottenuto un’auto già dotata di tutto l’hardware necessario per la guida autonoma (come del resto dichiarato esplicitamente da Tesla) che doveva semplicemente attendere l’approvazione e il rilascio del software già quasi pronto.
Chi ha pagato cifre ingenti per avere il Full Self-Drive beta e ancora oggi, a distanza di sei anni, non ha ancora nulla di simile a quanto sembrava imminente nel 2016 sarà comprensibilmente deluso e probabilmente si sentirà buggerato e vittima di frode in commercio: in sostanza, ha anticipato parecchi soldi a Tesla per un servizio apparentemente già pronto ma che non ha mai ricevuto. Tutto il software attuale di Tesla, compreso l’FSD beta, è infatti classificato formalmente come SAE Livello 2 e quindi la condotta del veicolo è totalmente sotto la responsabilità del conducente, che deve restare pronto a intervenire in ogni momento.
Sono anch’io un utente Tesla (ho una Model S del 2016, senza FSD), e sulla base della classificazione attuale a Livello 2 del software di Tesla (guida assistita, non autonoma), della mia esperienza e delle segnalazioni di utenti che hanno sia Autopilot (il software standard) sia FSD beta (quello più avanzato) non posso che raccomandare estrema attenzione e massima diffidenza verso questi prodotti. Sono affidabili in condizioni semplici (poco traffico, strade ben demarcate), ma falliscono in maniera imprevedibile, in situazioni che un conducente normale non considererebbe mai pericolose, e falliscono spesso senza dare al conducente il tempo di reagire e correggere. Consiglio inoltre, a chi non ha una Tesla ma se ne trova una davanti mentre guida, di mantenere abbondantemente la distanza di sicurezza per evitare tamponamenti in caso di frenata improvvisa della Tesla quando la strada è completamente libera (il cosiddetto phantom braking).
Le conseguenze di queste indagini e l’attuale comunicazione al grande pubblico della natura fittizia di quel video del 2016 mettono seriamente in dubbio la credibilità dell’azienda sul fronte della guida autonoma. Caveat emptor.
Tra poco comincerà l’edizione 2023 del
Corso CICAP per indagatori di misteri, una serie di 23 lezioni interattive (più 5 altre opzionali) online e in
presenza con gli esperti di vari settori, che spiegano le proprie tecniche e
offrono la propria “cassetta degli attrezzi”.
Il corso include anche esercitazioni pratiche ed esperienze sul campo
(letteralmente sul campo, se vi va di creare un cerchio nel grano, per
esempio), per capire meglio il mondo dei fenomeni misteriosi o presunti tali e
riconoscere le manipolazioni fatte dai sedicenti sensitivi, ma anche per
conoscere aspetti insoliti della scienza e della conoscenza, cercare
efficacemente informazioni, identificare le fake news, riconoscere le
truffe commerciali pseudoscientifiche, gli inganni delle infografiche e tanto
altro ancora.
Sono esperienze e strumenti cognitivi che si possono applicare anche nella
vita di tutti i giorni e nel lavoro, senza essere per forza cacciatori di
misteri. Basta essere interessati a voler potenziare la propria competenza di
indagine critica, per insegnamento, giornalismo o ricerca, ma anche
semplicemente per passione e curiosità.
Se vi interessa, ci sono ancora alcuni posti disponibili; il corso si svolge
in presenza e online fra gennaio e giugno. Trovate il programma completo,
l’elenco dei docenti e le istruzioni per iscriversi
qui sul sito del CICAP. Io ci
sarò sia per seguire le lezioni, sia per contribuire con una lezione sulla
ricerca di informazioni online.
Se volete un assaggio, trovate i video di anteprima di due delle esperte del corso, ossia Beatrice Mautino, biotecnologa e divulgatrice scientifica, e Valentina Petrini, giornalista (e conduttrice del programma Fake), presentate da Giuliana Galati, coordinatrice del corso.
È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.
---
Arrestati in Ucraina i responsabili di 18.000 truffe bancarie
L’Ucraina è al centro dell’attenzione mediatica per ben altri drammi, ma nel
frattempo nel paese la polizia informatica ha messo a segno un risultato
importante: ha
annunciato
di aver identificato e perquisito un call center criminale molto
professionale, gestito da tre residenti della città di Dnipro che avevano
assunto ben 37 operatori.
Gli operatori telefonavano alle vittime fingendo di essere addetti alla
sicurezza bancaria e avvisandole che i loro conti correnti avevano subìto
degli accessi non autorizzati. Poi chiedevano alle vittime di confermare i
dati necessari per annullare le transazioni fraudolente, che in realtà non
esistevano, almeno non in quel momento.
Con questa scusa, infatti riuscivano a farsi dare i codici di accesso all’home
banking delle vittime e trasferivano il contenuto dei loro conti correnti su
altri conti controllati dalla banda criminale e situati all’estero.
Stando al dipartimento di polizia informatica ucraino, le vittime di questa
singola banda sono oltre 18.000 e sono residenti in Kazakistan. Se verranno
riconosciuti colpevoli, i membri dell’organizzazione criminale rischiano fino
a otto anni di carcere.
Questa buona notizia è un’ottima occasione per ripassare le tecniche di difesa
da truffe come questa, che avvengono continuamente e ovunque nel mondo. La
prima cosa da ricordare è che il numero telefonico del chiamante che vediamo
sui nostri telefonini non è affidabile: è facile da falsificare, per cui non
possiamo fidarci soltanto perché il numero di chi ci chiama per avvisare di un
problema sul nostro conto corrente corrisponde al numero di telefono della
nostra banca o della polizia locale.
La seconda cosa da tenere presente è che richiamare la persona che ci ha
chiamato per avvisarci del presunto problema non garantisce nulla, neppure se
il numero che chiamiamo è un numero verde gratuito, perché questi numeri
possono essere collegati a call center situati in qualunque altro paese
del mondo.
Il terzo elemento al quale fare attenzione è abbastanza paradossale: questi
finti servizi di assistenza clienti sono molto più veloci e solleciti di
quelli reali. Non ci sono tempi di attesa, menu di opzioni da selezionare o
musichette estenuanti. Questa piacevole sollecitudine ci predispone ad
accettare più facilmente quello che ci viene detto.
Una volta conquistata la nostra fiducia, i truffatori fingono spesso di avere
già i nostri dati sullo schermo davanti a loro e usano la loro parlantina
sciolta per farceli “confermare”. Sono professionisti, fanno questo mestiere
tutto il giorno e quindi sanno esattamente come indurci a dare le informazioni
che servono a loro per entrare nei nostri conti.
Nel caso ucraino i criminali ottenevano le informazioni necessarie per
trasferire i soldi dal conto della vittima a un conto controllato da loro, ma
esistono anche altre tecniche che è opportuno conoscere per poterle
riconoscere.
Per esempio, i truffatori chiamano le vittime dicendo che per sicurezza è
stato assegnato a loro un nuovo numero di conto presso la stessa banca, sulla
falsariga di quando viene data una carta di credito con un numero nuovo per
risolvere un caso di frode, e poi chiedono alla vittima di trasferire i propri
soldi al nuovo conto.
Le vittime lo fanno prontamente, perché credono che il loro conto sia stato
violato e che il nuovo numero di conto sia invece sicuro: ma in realtà il
numero di conto nuovo è stato aperto da complici dei truffatori usando
documenti falsi. Non appena i soldi arrivano sul nuovo conto, i truffatori li
prelevano e spariscono. Questo è uno scenario molto frequente per esempio nel
Regno Unito, secondo le
segnalazioni
della società di sicurezza informatica Sophos, e ha una conseguenza molto
spiacevole: le banche possono rifiutarsi di assistere o risarcire la vittima,
perché il trasferimento di denaro è stato fatto volontariamente e usando le
credenziali corrette, per cui non si tratta di furto in senso stretto.
Conviene insomma essere molto prudenti di fronte a qualunque chiamata inattesa
di questo genere, ed è anche opportuno mettere in guardia contro queste truffe
le persone particolarmente vulnerabili che conosciamo, ricordando loro che
questi truffatori sono esperti nella persuasione e che la migliore difesa è
semplicemente chiudere la chiamata e contattare subito una persona di fiducia.
Europol blocca truffa internazionale sulle criptovalute
Europol ha
annunciato
che l’11 gennaio scorso ha bloccato vari call center criminali situati
in Bulgaria, Serbia e Cipro, specializzati nelle truffe basate sui falsi
investimenti con criptovalute, e ha eseguito 15 arresti e 22 perquisizioni,
interrogando 261 persone.
I paesi presi di mira da questi criminali erano principalmente Germania,
Svizzera, Australia e Canada, e la stima iniziale del maltolto indica un
importo complessivo di almeno due milioni di euro, ma Europol sospetta che i
guadagni illeciti di questi gruppi criminali
“possano essere dell’ordine delle centinaia di milioni di euro.”
Le tecniche usate da questi truffatori sono classiche: creano e pubblicizzano
su Google, nei social network e anche su YouTube dei siti web nei quali
offrono investimenti in criptovalute, proponendo un importo di ingresso molto
modesto, e poi simulano che gli investimenti diano un rendimento, documentato
– si fa per dire – da estratti conto online totalmente inventati.
Le vittime credono che i loro guadagni siano reali anche perché se chiedono di
ritirare una quota dei loro investimenti ricevono davvero l’importo
richiesto, che però non è mai la cifra intera, compresi i presunti guadagni,
ma è solo una parte del denaro in criptovalute che hanno affidato ai
truffatori.
Tutto questo crea uno stato di euforia e sicurezza nelle vittime, e qui scatta
la seconda fase della trappola: i truffatori invitano a investire cifre più
consistenti. Usano frasi del tipo
“Quando hai investito per prova 150 euro, hai quasi raddoppiato il tuo
investimento! Pensa se tu ne avessi investiti 1500, o 15.000!”. E così spesso le vittime inviano altri soldi ai truffatori.
Può capitare che le persone cadute nella trappola diventino a loro volta
reclutatori di altre vittime. Molti di questi siti truffaldini di finto
“trading in criptovalute”, infatti, danno premi e incentivi a chi trova altre
persone disposte a inviare denaro nella speranza di grandi guadagni.
Tutto questo meccanismo prosegue finché un numero consistente di vittime non
si insospettisce e comincia a chiedere di riavere le somme investite: a quel
punto di solito i truffatori chiudono tutto e scappano con i soldi.
Ma non è detto che finisca tutto così: esiste infatti anche una terza fase. I
truffatori non interrompono i contatti con le vittime che chiedono la
restituzione delle criptovalute affidate, ma dicono che l’accredito è
temporaneamente bloccato per ragioni fiscali o per un’ispezione delle autorità
locali, come è capitato in un caso che ho seguito personalmente poche
settimane fa, e spiegano che per sbloccarlo occorre versare il più presto
possibile una percentuale dell’importo a titolo di ritenuta fiscale. È tutto
inventato, con lo scopo di attribuire la colpa della mancata restituzione a
qualcun altro e sviare eventuali sospetti.
Prima o poi le vittime si rendono conto che si tratta di scuse, ed è a questo
punto che, con sfacciataggine incredibile, scatta la quarta fase. Dopo un
periodo di silenzio, nel quale i truffatori non si fanno più sentire e la
vittima teme di aver ormai perso per sempre i propri soldi, si fa viva una
persona che dice di rappresentare un “servizio di recupero criptovalute” e
propone di tentare il recupero del denaro dato ai truffatori dalla vittima.
Naturalmente questo servizio ha un costo, che va pagato in anticipo, ma è
semplicemente una truffa nella truffa.
Sì, le forze di polizia internazionali a volte riescono davvero a
recuperare
criptovalute sottratte fraudolentemente, ma quando lo fanno non contattano le
vittime via mail o sui social network: usano canali di contatto ufficiali e
certificati (e non chiedono soldi per intervenire). Il problema è che le vittime spesso a questo punto sono talmente
disperate, perché magari hanno perso i risparmi di una vita, che si attaccano
a qualunque filo di speranza, e i truffatori procedono senza pietà ad
approfittarne.
L’intervento delle forze di polizia coordinate da Europol ha messo fine alle
attività di questa organizzazione criminale, ma altre continuano a esistere e
tendere trappole, per cui è meglio restare vigili con alcune semplici
precauzioni.
Prima di tutto, se un’offerta suona troppo bella per essere vera,
probabilmente non è vera. Capita davvero che chi ha fatto investimenti in
criptovalute ottenga grandi guadagni, ma questo avviene perché il controvalore
delle criptovalute a volte sale, non perché un sito Web dice di avere un
“sistema di trading” o cose del genere.
In secondo luogo, il fatto che un sito Web abbia un aspetto professionale e
sia pubblicizzato vistosamente su Google e nei social network non garantisce
in alcun modo che sia affidabile. Creare questi siti e pubblicizzarli è facile
ed esistono addirittura kit chiavi in mano per farlo.
Come terzo consiglio, attenzione agli amici che vi propongono insistentemente
investimenti sicuri dicendo che loro li hanno fatti e stanno guadagnando
grandi cifre: chiedete come hanno scoperto questo sistema, che controlli hanno
fatto per vedere che reputazione ha l’organizzazione alla quale si sono
affidati, e se hanno già provato a incassare tutto quello che hanno investito,
guadagni compresi. Purtroppo i truffatori fanno pressione sulle vittime
affinché trovino altre persone, e non esitano a sfruttare le amicizie o ad
accusare gli “scettici” di volervi impedire di avere successo. Sono disposti a
mettervi contro la vostra stessa famiglia pur di convincervi a dare loro i
vostri soldi.
Speranze per le vittime di ransomware: rilasciato il decrittatore gratuito per
MegaCortex
Se siete stati colpiti da un attacco informatico di tipo ransomware che vi ha
bloccato tutti i dati chiedendo un riscatto per darvi la password necessaria
per sbloccarli e il programma usato per l’attacco si chiama MegaCortex, o se
conoscete qualcuno che si trova in questa situazione, c’è una buona notizia:
gli esperti della società di sicurezza informatica Bitdefender hanno
rilasciato un cosiddetto decrittatore universale per questo software.
MegaCortex ha iniziato a fare danni nel 2019 ed era diventato talmente diffuso
e pericoloso, con almeno 1800 casi che avevano coinvolto principalmente
aziende, che l’FBI aveva
diffuso
un avviso specifico in proposito.
I creatori di MegaCortex sono ignoti ma a quanto pare sono fan della serie di
film Matrix: il nome MegaCortex sembra ispirato da quello della
società di software presso la quale lavorava il personaggio interpretato da
Keanu Reeves, ossia la
MetaCortex, e il
messaggio
che compariva sui computer attaccati citava alcune battute dei film, con frasi
come
“Noi possiamo solo mostrarti la porta, ma sei tu quello che deve
attraversarla”.
Ma Bitdefender, in cooperazione con Europol, il progetto
NoMoreRansom e la polizia
cantonale del canton Zurigo hanno rilasciato un
software
gratuito che sblocca i file bloccati da MegaCortex senza aver bisogno della
password e quindi senza dover pagare i criminali. Le istruzioni per scaricarlo
sono sul sito di Bitdefender. Inoltre alcuni dei criminali che usavano
MegaCortex e altri ransomware sono stati
arrestati
a ottobre 2021.
Se venite colpiti da un attacco di ransomware, insomma, vale sempre la pena
conservare una copia completa dei dati che sono stati bloccati e cifrati
dall’attacco, perché capita spesso che a distanza di qualche mese venga
rilasciato uno strumento gratuito di decifrazione che permette di riavere i
dati. Ma come sempre, la prevenzione è meglio della cura, per cui fate una
copia di scorta dei vostri dati e tenetela in un luogo sicuro e fisicamente
isolato da Internet.
Rainews ha pubblicato un articolo (copia permanente) incentrato su quello che presenta come “nuovo video del disastro”, riferendosi alla caduta di un aereo ATR-72 avvenuta in Nepal il 15 gennaio scorso.
Ma il video si riferisce a un incidente aereo avvenuto nel 2021 a Mosca:
Il controllo delle fonti sta a zero. La pornografia del dolore, invece, va a mille. Non è questo il giornalismo di cui abbiamo bisogno per difenderci dalla disinformazione.
Ringrazio Daniele per la segnalazione.
23:05. L’articolo è stato rimosso qualche ora fa. Ho ricevuto una telefonata di scuse e contrizione da parte di un redattore. Apprezzo il gesto: però apprezzerei ancora di più se si facesse qualcosa per evitare in partenza errori di metodo di questo genere.
.png)
