2023/11/17

Podcast RSI - Stalking sugli iPhone, come difendersi; truffe agli utenti di Booking.com; criminali informatici denunciano l’azienda che hanno attaccato

logo del Disinformatico

Pubblicazione iniziale: 2023/11/17 8:48. Ultimo aggiornamento: 2023/11/23 23:23.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo e le immagini di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Suono di notifica dell’AirDrop]

Molti utenti di iPhone hanno un’abitudine rischiosa: lasciano attiva la funzione AirDrop per la condivisione rapida di foto, video e documenti, aprendo così la porta a stalker, truffatori e molestatori. Le prenotazioni online delle vacanze sono a rischio per via di messaggi fraudolenti che sembrano arrivare da Booking.com ma in realtà rubano i dati delle carte di credito. E i criminali online sono diventati così spavaldi che denunciano alle autorità le aziende che hanno attaccato e che non hanno notificato al pubblico la fuga di dati.

Queste tre storie di truffe informatiche, da conoscere per difendersi meglio, sono gli argomenti della puntata del 17 novembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti. Io, come al solito, sono Paolo Attivissimo.

[SIGLA di apertura]

Stalking sugli iPhone con AirDrop, come difendersi


Immagine generata da DALL-E. Il prompt completo e il metodo che ho usato per generarla sono descritti in dettaglio in questo articolo.

[CLIP in sottofondo: rumore soffuso di scompartimento di treno in corsa]

Dany è sul treno, e sfoglia il suo iPhone per passare il tempo. A un certo punto le compare una notifica molto strana che dice “Sicurezza Ferroviaria vorrebbe condividere Notifica Infrazione.pdf”. Preoccupata e al tempo stesso incuriosita, accetta di ricevere il documento. Lo apre per leggerlo e vede che si tratta di un avviso tecnico automatico, che la informa che è stato rilevato un abuso del Wi-Fi del servizio ferroviario: risulta infatti che il suo iPhone è stato usato per condividere immagini illegali mentre era collegato al Wi-Fi del treno.

Dany è sempre più agitata e confusa. Sul telefono ha forse qualche selfie un po’ intimo, ma addirittura illegale? O si tratta di un errore di persona? No, perché l’avviso la cita per nome e specifica che lei ha un iPhone.

Il documento della Sicurezza Ferroviaria prosegue dicendo che l’abuso verrà denunciato e sanzionato con una multa, che si può pagare immediatamente cliccando sul link appositamente fornito se si vuole evitare il sequestro cautelativo del telefono da parte della polizia quando scenderà dal treno. Lei, ormai nel panico, clicca sul link e paga la multa usando la propria carta di credito. Si accorgerà di essere stata truffata solo quando riceverà la notifica che la sua carta è stata bloccata a causa di un tentativo di addebito fraudolento.

Quello che ho appena raccontato è uno scenario di fantasia, ma perfettamente plausibile. Dany esiste davvero, ma non è stata truffata: è semplicemente una delle tante persone vulnerabili a un particolare tipo di attacco informatico che colpisce specificamente gli iPhone, gli iPad e i Mac. Dany infatti era sul mio stesso treno, pochi giorni fa, insieme a Lorenza, Eradis, Viola e Lele: tutte persone che un aggressore informatico avrebbe potuto attaccare con un raggiro come questo, che è solo uno dei tanti possibili che sfruttano AirDrop, ossia il servizio di condivisione di dati dei dispositivi Apple.

AirDrop è molto utile quando si tratta di condividere una foto o un documento fra un iPhone e un altro, per esempio, ma tenerlo sempre attivo e accessibile anche agli sconosciuti è pericoloso, perché annuncia il vostro nome a chiunque abbia un dispositivo Apple nelle vicinanze e quindi facilita lo stalking e la molestia, e perché permette l’invio di foto indesiderate o di documenti ingannevoli come quello che ho descritto nello scenario immaginario e che apre la porta a truffe di vario genere.

Per trovare Dany, Lorenza e gli altri utenti vulnerabili che erano presenti sul treno ho semplicemente usato il Finder, l’app di gestione di file del mio Mac: sono comparse sul mio schermo le icone dei loro dispositivi, accompagnate dai nomi di queste persone.

Screenshot dal mio Mac. “CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per l’occasione.

I dispositivi Apple, infatti, per impostazione predefinita si annunciano su AirDrop con il nome del dispositivo seguito dal nome dell’utente: per esempio, MacBook Air di Lorenza, iPhone di Viola, iPad di Lele, e così via. Il nome di persona si può togliere, andando in Impostazioni - Generali - Info - Nome, ma non lo fa praticamente nessuno.

Moltissimi utenti, inoltre, tengono AirDrop sempre attivo e aperto a chiunque: conviene invece disattivarlo, andando in Impostazioni - Generali - Airdrop e scegliendo Ricezione non attiva, per poi attivarlo solo quando serve, in modo da non rendersi visibili e tracciabili dagli sconosciuti [le altre opzioni sono Solo contatti e Tutti per 10 minuti].

Lo so: a mente fredda, mentre ascoltate serenamente questo podcast, l’idea che qualcuno accetti un documento o una foto da uno sconosciuto e si faccia prendere dal panico sembra implausibile. Ma io uso questa tecnica nelle mie dimostrazioni di privacy digitale nelle scuole, con una semplice scansione passiva dei dispositivi disponibili, e l’espressione di ansia e smarrimento sui volti degli studenti quando comincio a chiamarli per nome senza averli mai visti prima è eloquentissima.

E poi non bisogna sottovalutare la curiosità delle persone: se per esempio Matteo vede sul suo iPhone la richiesta di ricevere una foto da Samantha, che lui non conosce, riuscirà a resistere alla tentazione di accettarla? O se il nome del dispositivo dal quale arriva l’invito è quello di un’autorità, come per esempio “Sicurezza Ferroviaria” nello scenario che ho descritto prima, Matteo se la sentirà di rifiutarlo?

Chiarisco subito che non ho inviato nulla a Lele, Lorenza e agli altri utenti che ho incrociato nel mio viaggio in treno, per non allarmarli. Al tempo stesso, non ho potuto avvisarli del loro comportamento informatico a rischio. Infatti so per esperienza che mandare un avviso tramite AirDrop scatena paura o aggressività, e che un uomo che si avvicina a qualcuno in treno, lo chiama per nome e tenta di spiegargli che il suo telefonino è impostato in modo vulnerabile di solito viene interpretato molto male.

E se vi state chiedendo come faccio a identificare la persona che ha impostato incautamente AirDrop, posso solo dire che ci sono tecniche relativamente semplici per farlo che non è il caso di rendere pubbliche per non facilitare gli aspiranti stalker.

Se avete un dispositivo Apple, insomma, disattivate AirDrop, attivatelo solo quando vi serve e togliete il vostro nome dal nome del dispositivo. Anche questo aiuta a rendere la vita più difficile ai truffatori e ai molestatori.

Truffe agli utenti di Booking.com: attenzione a Ebooking.com

Si avvicina il periodo natalizio, che per molti è un’occasione per prenotare vacanze online. Ci sono due trappole particolarmente subdole che riguardano Booking.com, uno dei servizi di prenotazione via Internet più popolari. È meglio conoscerle per evitare di diventarne vittime.

La prima trappola si basa su un equivoco molto facile. Esiste un sito che si chiama Ebooking.com, che non va confuso con Booking.com, senza la E iniziale. Ebooking ha anche un’app nell’App Store di Apple [ho detto “Play Store” nel podcast, scusatemi] e su Google Play per Android, e questo sembra dare credibilità ai suoi servizi, ma ci sono moltissime segnalazioni (Trustpilot, Reddit, Booking, Tripadvisor, Reddit) che lo indicano come fraudolento e citano le lamentele di utenti che hanno prenotato voli e alloggi tramite Ebooking.com, pagandoli in anticipo, per poi scoprire che la prenotazione era inesistente e che il pagamento non sarebbe stato rimborsato.

Quello che rende particolarmente sospetto il comportamento di Ebooking.com è che se si visita il suo sito lo si trova pieno di offerte prenotabili ben confezionate, ma quando si clicca sui link di queste offerte ci si accorge che appartengono a Booking.com (senza la E iniziale).

Anche i link alle condizioni di prenotazione, i termini generali e altri link portano a Booking.com; solo un link all’informativa sulla privacy presente nella pagina di pagamento porta a una pagina di Ebooking.com, dalla quale risulta che Ebooking.com appartiene a una società a responsabilità limitata con sede a Barcellona e non ha alcun legame con Booking.com.

Qualunque comunicazione proveniente da Ebooking.com va insomma trattata con molta diffidenza, e conviene controllare sempre che le prenotazioni vengano realmente fatte su Booking.com, senza la E iniziale.

Messaggi interni di Booking.com veicolano frodi

La seconda trappola, segnalata dall’esperto di sicurezza Graham Cluley, che ha rischiato di esserne vittima, è ancora più sofisticata: in questo caso la comunicazione arriva davvero da Booking.com ed è disponibile anche nell’app e nel sito web di Booking.com. Non è, insomma, la classica mail del truffatore che usa un mittente simile a Booking.com sperando che la vittima non se ne accorga.

Questo messaggio arriva dall’albergo dove effettivamente è stata fatta la prenotazione e avvisa che quella prenotazione rischia di essere annullata perché la carta di credito del cliente non è stata verificata con successo. Per tentare una nuova verifica si deve cliccare su un link cortesemente fornito, ed è qui che scatta la truffa: il link porta a un sito il cui nome somiglia a quello di Booking.com e che chiede di immettere i dettagli della carta di credito. Se la vittima non se ne accorge, fornisce i dati della sua carta ai malviventi.

Il raggiro è molto efficace e credibile appunto perché il messaggio arriva via mail da Booking.com ed è effettivamente presente anche nell’app di questo servizio, insieme a tutti gli altri messaggi scambiati con l’albergo, e include i dettagli effettivi dell’utente e della sua prenotazione, creando così un falso senso di sicurezza.

Ma come fanno i criminali a mandare messaggi dall’interno di Booking.com? La spiegazione più probabile è che i malviventi siano riusciti a ottenere la password dell’account dell’albergo su Booking.com e usino questo account per inviare le loro comunicazioni, che si mischiano così con quelle autentiche dell’hotel. In questo modo basta un momento di disattenzione per cliccare sul link truffaldino e dare la propria carta di credito ai truffatori.

Difendersi da inganni così sofisticati non sembra facile, ma in realtà c'è un rimedio piuttosto semplice: fare le prenotazioni telefonando o scrivendo una mail direttamente all’albergo trovato online.

Aggressori informatici denunciano l’azienda che hanno attaccato

Le estorsioni informatiche non sono certo una novità: una banda di criminali penetra via Internet nei sistemi informatici di un’azienda, si scarica una copia dei suoi dati confidenziali e poi mette una password sui dati originali presenti sui computer dell’azienda, rendendoli inaccessibili. Così l’azienda non può più lavorare, e a questo punto i criminali chiedono denaro – molto denaro – per rivelarle la password che blocca i dati e consentire la ripresa dell’attività. Per evitare che l’azienda cerchi di recuperare i dati da una sua copia di scorta, i criminali minacciano inoltre di pubblicare i dati confidenziali scaricati e causare un gravissimo danno d’immagine all’azienda se non verrà pagata la cifra richiesta.

Attacchi di questo tipo sono purtroppo frequentissimi: pochi giorni fa ne è stata vittima anche un’azienda svizzera produttrice di software per amministrazioni pubbliche, come segnala il sito web del Dipartimento federale delle finanze. In casi come questi, le aziende colpite sono tenute a informare le autorità e i loro clienti che è avvenuta una fuga di dati.

Quello che è meno frequente è che l’informazione alle autorità venga comunicata dai criminali stessi. È quello che è successo il 15 novembre scorso, quando un’organizzazione criminale nota come AlphV ha pubblicato, sul proprio sito nel dark web, una schermata dalla quale risulta che AlphV ha denunciato alle autorità una delle aziende di servizi finanziari che ha attaccato, la californiana MeridianLink, che non avrebbe segnalato alla Securities and Exchange Commission (SEC), l’ente governativo che vigila sulle borse valori, di essere stata attaccata e di aver subìto una fuga di dati.

Secondo le informazioni raccolte dal sito Databreaches.net, l’attacco non avrebbe cifrato i dati aziendali, ma li avrebbe scaricati, e questo scaricamento (o esfiltrazione in termini tecnici) sarebbe avvenuto il 7 novembre scorso. Sarebbe quindi scaduto il tempo entro il quale l’azienda avrebbe dovuto denunciare l’attacco alle autorità di vigilanza, e così gli autori stessi dell’aggressione hanno provveduto a fare denuncia.

Questo comportamento dei criminali informatici può sembrare una spavalderia insolita o una ripicca infantile, ma in realtà ha uno scopo cinicamente pratico: serve per massimizzare il danno alla vittima e mantenere la reputazione dei malviventi. L’estorsione informatica, infatti, è efficace – dal punto di vista dei criminali – soltanto se la vittima ha la certezza che se non paga la cifra richiesta dagli estorsori ci saranno delle conseguenze pesanti, e questa certezza viene costruita da AlphV e da altre organizzazioni criminali tramite gesti vistosi come questo.

Se avete un’azienda e subite un attacco informatico che comporta una fuga di dati, far finta di nulla per evitare imbarazzi pubblici può sembrare una buona idea, ma oltre a essere illegale rischia di diventare un autogol se emerge che non solo siete stati vittima di un furto di dati dei vostri clienti, ma avete anche nascosto il furto. Ed è paradossale che siano proprio i criminali a indurre le vittime a rigare dritto ed essere trasparenti.

Fonti aggiuntive: RSI; Swissinfo; The Cyberexpress; Ars Technica; Admin.ch.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili