Podcast RSI - Svizzera, rapporto federale: raddoppiano gli incidenti informatici. Come rimediare (prima parte)

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: Descrizione di un hackeraggio da “Mr. Robot”]

I toni drammatici di un telefilm come Mr. Robot, dal quale è tratto questo spezzone, possono sembrare fantasiosi ed esagerati, ma non sono poi così tanto lontani dalla realtà degli attacchi informatici.

Le tecniche descritte da questa serie sono infatti realistiche, anche se c’è qualche licenza narrativa per esempio sui tempi di esecuzione, e sappiamo che sono realistiche perché i resoconti reali degli addetti ai lavori raccontano di un mondo sommerso di attacchi veri, sferrati contro aziende e infrastrutture, da cui solo ogni tanto affiora nella cronaca qualche episodio particolarmente sensazionale.

Fra questi resoconti c’è quello semestrale dell’Ufficio federale della cibersicurezza svizzero o UFCS, di cui è appena stata pubblicata una versione aggiornata scaricabile, riferita al secondo semestre del 2023, che contiene dati, statistiche, esempi di casi concreti e tantissime risorse utili da conoscere per evitare di diventare uno di quei dati e di entrare a far parte di quelle statistiche.

Ma è scritto in linguaggio piuttosto tecnico, e a pochi verrà in mente di leggersi quaranta pagine fitte di un testo intitolato, in modo molto pragmatico ma poco accattivante, Rapporto semestrale 2023/II (luglio-dicembre) - Sicurezza delle informazioni - La situazione in Svizzera e a livello internazionale. L’ho fatto io per voi, e così posso raccontarvi le cose più importanti da sapere per essere pronti alle nuove sfide di sicurezza informatica. E se avete pensato che sicuramente ci sarà di mezzo l’intelligenza artificiale, non avete torto.

Benvenuti alla puntata del 10 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Tecniche classiche in aumento, ma cala il ransomware

Per capire correttamente questo rapporto è necessario partire da una premessa che ci riguarda tutti: i suoi dati si basano sulle segnalazioni degli attacchi, fatte alle autorità, ossia all’Ufficio federale della cibersicurezza, da chi li ha subiti. I numeri del rapporto, insomma, non rappresentano tutti i “ciberincidenti”, per usare la terminologia del documento, ma soltanto quelli segnalati.

Questo vuol dire che le segnalazioni sono importantissime per gli addetti ai lavoro, contrariamente a quello che molti pensano, cioè che sia inutile informare le forze dell’ordine di un attacco subìto, perché tanto le speranze di ottenere la punizione dei colpevoli sono minime. Sì, è vero che i criminali informatici risiedono quasi sempre all’estero, in paesi nei quali sanno che non verranno perseguiti, e quindi è improbabile avere giustizia o riavere i soldi o i dati sottratti con la frode informatica, ma segnalare gli attacchi serve per consentire agli esperti di sapere quali sono le tecniche più frequenti e quindi per concentrare i loro sforzi dove c’è maggiore bisogno, per “poter avvisare la popolazione e le imprese in caso di un’escalation della minaccia”, come dice appunto il rapporto, e a volte serve anche per scoprire tecniche inedite.

È importante anche distinguere le segnalazioni dalle denunce: le segnalazioni sono molto più semplici da fare. Il rapporto consiglia di farle online, presso l’apposita pagina dell’Ufficio Federale della Cibersicurezza oppure presso il sito Antiphishing.ch. Trovate i nomi e i link a tutte queste fonti presso Disinformatico.info.

Detto questo, i numeri delle segnalazioni sono impressionanti: nel secondo semestre del 2023 ne sono state inviate oltre 30.000, quasi il doppio rispetto allo stesso periodo del 2022. L’aumento, dice il rapporto, è causato soprattutto dalle truffe, sotto forma di “offerte di lavoro fraudolente” e “chiamate fasulle a nome della polizia”.

Le offerte di lavoro fasulle sono state diffuse soprattutto tramite WhatsApp e hanno seguito uno schema piuttosto complicato che però illustra bene il livello di sofisticazione dei criminali. Chi rispondeva a queste offerte riceveva infatti un elenco di mandati, per esempio redigere recensioni di prodotti, in cambio di un compenso versato su una piattaforma online gestita dai truffatori. Ma

“il numero di mandati disponibili” dice il rapporto “si azzerava rapidamente. Per accelerare l’attività e non dover aspettare, la piattaforma dava la possibilità di generare a pagamento nuovi mandati. Per pochi dollari si potevano così acquistare 50 nuovi mandati di recensione” spiega sempre il rapporto, aggiungendo che “Il guadagno promesso, che a sua volta avrebbe dovuto essere accreditato sulla piattaforma, superava di molto i costi, per cui la vittima pensava che valesse la pena utilizzare quel modello. La brutta sorpresa arrivava quando si voleva incassare il guadagno accumulato. Il gestore della piattaforma richiedeva delle tasse per il versamento del guadagno finché la vittima si accorgeva che si trattava di una truffa.”

Le prese di contatto fasulle a nome della polizia, invece, erano a volte sotto forma di mail nelle quali si comunicava alla vittima che era “ritenuta colpevole di un grave reato (in genere legato alla pornografia minorile)” e che l’unico modo per evitare un’azione penale era versare una somma di denaro. Ma i criminali hanno anche effettuato raffiche di telefonate automatiche, nelle quali una voce sintetica diceva di rappresentare un’autorità di polizia e informava la vittima che per esempio i dati del suo conto corrente privato erano emersi in relazione a un dato reato e che per avere ulteriori informazioni doveva premere il tasto 1. Se la vittima lo faceva, la chiamata veniva inoltrata a un sedicente “operatore” che le chiedeva di scaricare un software di accesso remoto, che poi permetteva al criminale di insinuarsi nel computer o nel telefono cellulare per accedere alle credenziali di e-banking della vittima e usarle per inviare soldi dal conto della vittima a quello dei truffatori.

La classifica delle tecniche criminali più frequenti prosegue citando la cosiddetta “truffa del CEO”, cioè quella in cui gli aggressori fingono di essere un membro importante di un’azienda e contattano uno dei dipendenti di quell’azienda per convincerlo a inviare urgentemente del denaro a un conto bancario controllato dai truffatori, dicendo che si tratta di un pagamento necessario per concludere un grosso accordo commerciale.

Si colloca in alto in classifica anche la tecnica in cui i criminali riescono a manipolare le fatture ricevute da un’azienda, per esempio alterando le loro coordinate di pagamento in modo da dirottare i soldi su un conto ancora una volta gestito dai truffatori.

Tutte queste forme di attacco sono in aumento, mentre sono in diminuzione gli attacchi di ransomware ai danni delle imprese, ossia quelli nei quali i criminali chiedono denaro per sbloccare i computer aziendali di cui hanno preso il controllo oppure per non disseminare i dati aziendali di cui si sono impadroniti.

Ma non sono mancati i tentativi di inganno basati sull’intelligenza artificiale.

Se ti hanno filmato nudo, dì che è un deepfake: IA nel crimine online

Il rapporto dell’Ufficio federale di cibersicurezza (o UFCS) nota che nel 2023 i criminali hanno iniziato a usare l’intelligenza artificiale nei loro attacchi. Per ora, dice il rapporto, non si tratta ancora di un uso sistematico ma solo di “tentativi con cui i truffatori cercano di sondare cosa sia possibile o redditizio”.

In alcuni di questi tentativi segnalati, l’intelligenza artificiale è stata usata “per creare foto o video compromettenti allo scopo di ricattare la vittima. Basta che i criminali siano in possesso di filmati o fotografie del tutto innocenti registrate o scattate personalmente dalla vittima in precedenza o magari accessibili a tutti su Internet. Da questi video innocui l’IA crea filmati pornografici o immagini di nudo”, ossia dei deepfake. L’UFCS “ritiene che questa forma di estorsione crescerà vertiginosamente negli anni a venire”, ma nota anche che l’esistenza dei deepfake è ampiamente conosciuta dal grande pubblico e quindi questa forma di ricatto potrebbe risultare inefficace perché anche chi è stato realmente ripreso dai criminali in video compromettenti potrebbe dire tranquillamente che si tratta di una ripresa fabbricata con l’intelligenza artificiale.

I video falsi generati con l’intelligenza artificiale sono stati usati dai criminali anche in un’altra forma, facendo dire in video a persone famose, come politici o grandi imprenditori, raccomandazioni di investimenti in criptovalute che erano in realtà fraudolenti.

Un altro esempio interessante di uso criminale dell’intelligenza artificiale viene segnalato dal rapporto dell’UFCS notando che varie imprese hanno segnalato di aver ricevuto “telefonate da loro presunti dipendenti che, con voce perfettamente simulata, si sarebbero informati su questioni aziendali interne o avrebbero disposto l’esecuzione di pagamenti. I dipendenti in questione, tuttavia, erano completamente ignari di queste telefonate, che con tutta probabilità vengono generate tramite deepfake”, cioè con voci sintetiche generate usando campioni di quelle reali.

Il rapporto cita anche un caso molto particolare nel quale si sospetta l’uso dell’intelligenza artificiale: sono state segnalate mail truffaldine, in apparenza provenienti da banche, scritte in svizzero tedesco, forse con lo scopo di sembrare più realistiche e familiari, perché in effetti è facile pensare che sia improbabile che un criminale informatico che sta in chissà quale paese lontano sappia scrivere in una lingua così locale. Ma l’UFCS nota che nel mondo degli affari svizzero “si utilizza di prassi il tedesco standard” e che “[u]na presunta e-mail ufficiale proveniente da una banca e scritta in dialetto tenderebbe a insospettire la vittima piuttosto che convincerla a cliccare sul relativo link”. I criminali, in questo caso, hanno insomma preso un granchio.

Tuttavia c’è un altro settore del crimine informatico in cui ha molto senso usare il dialetto: “le truffe legate ai piccoli annunci […]. Questo stratagemma infonde fiducia nella vittima, dando l’impressione che acquirente e venditore provengano dalla medesima regione (linguistica)”. Sono già stati osservati i primi casi di annunci online fraudolenti scritti in buon svizzero tedesco, presumibilmente usando software di traduzione basati sull’intelligenza artificiale, per cui l’uso di questa forma di comunicazione non deve far abbassare la guardia, e sapere questo fatto è il primo passo verso la prevenzione degli attacchi.

Torna il “voice phishing”

Il rapporto dell’Ufficio federale di cibersicurezza si sofferma poi sull’impennata di segnalazioni di una tecnica di attacco solitamente rara: il voice phishing, ossia l’ottenimento delle credenziali di sicurezza di una vittima attraverso una telefonata fatta a voce, in tempo reale, dai criminali.

Verso la fine dell’anno scorso sono stati segnalati molti casi di chiamate “da parte di sedicenti impiegati di banca, che facevano credere di voler bloccare un pagamento fraudolento. In alcuni casi il numero di telefono visualizzato corrispondeva persino a quello ufficiale della banca: si tratta in realtà di un numero che, attraverso la tecnica dello «spoofing», viene falsificato dai truffatori per farlo sembrare credibile.” Conviene insomma sapere che il numero di telefono del chiamante che vedete sullo schermo del vostro telefono non è affatto una garanzia di autenticità, come invece pensano in molti.

Ma l’astuzia dei criminali non si limita alla falsificazione del numero del chiamante. In alcuni casi, segnala il rapporto dell’UFCS, il finto impiegato di banca “consigliava di telefonare immediatamente alla divisione antifrode della Polizia cantonale e comunicava altresì il numero da chiamare”, dice il rapporto. Una cortesia spiazzante, che di certo non fa pensare che l’interlocutore sia un criminale, ma c’è l’inghippo: il numero che veniva fornito non era quello della divisione antifrode ma era anch’esso gestito dai malviventi.

L’altro ingrediente spiazzante usato dai truffatori è l’apparente conoscenza della banca usata dalla vittima. È capitato anche a me di ricevere una di queste telefonate, nella quale la truffatrice (era una voce femminile) diceva che c’era un problema sul mio conto bancario e citava proprio la banca presso la quale ho un conto. Come fanno i criminali ad avere queste informazioni?

In realtà non le hanno, spiega il rapporto dell’UFCS: “gli aggressori si spacciano per impiegati di una grande banca, visto che la probabilità che la vittima vi abbia effettivamente un conto è statisticamente più alta”. In altre parole, tirano a indovinare e spesso ci azzeccano. E se sbagliano, dice il rapporto, “nel corso della telefonata cercano di scoprire quale sia l’istituto bancario della vittima e quindi richiamano poco tempo dopo, ma questa volta a nome della banca «giusta».”

E le loro astuzie non finiscono qui: l’UFCS cita infatti il caso di una vittima alla quale il sedicente impiegato di banca ha chiesto se negli ultimi giorni avesse predisposto un pagamento di una somma consistente a favore di una specifica persona, di cui il finto impiegato ha citato nome e cognome. La vittima conosceva effettivamente quella persona: come facevano i truffatori ad avere un’informazione così precisa e apparentemente rassicurante?

L’UFCS ha scoperto che “sia il nome che il numero di telefono della vittima e del presunto destinatario erano comparsi in una presentazione pubblica che i due avevano effettuato insieme in passato. Questo dimostra che gli aggressori spulciano sistematicamente Internet alla ricerca di informazioni che possono poi sfruttare per attacchi di social engineering mirati.”

Il social engineering è quella tecnica di attacco informatico che si basa sul conquistare la fiducia della vittima mostrando di conoscere informazioni che in apparenza solo un vero impiegato di banca o di un’azienda potrebbe avere. Ma le nostre vite sono sempre più pubbliche e condivise, grazie anche alla quantità di informazioni che noi stessi riversiamo nei social network, e i criminali sanno come trovarle e sfruttarle contro di noi. Anche qui, sapere che i criminali non pescano a caso ma anzi spesso si studiano bene la vittima è il primo passo verso la prevenzione.

Il rapporto dell’UFCS prosegue con la descrizione di molti altri tipi di attacco, anche a livello internazionale e in situazioni di guerra, e con le raccomandazioni su come difendersi bene. Ma queste sono storie che meritano di essere raccontate per bene in una puntata a parte.

Falla in MOVEit, saccheggiati dati aziendali per estorcere denaro; come difendersi

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2023/06/23 9:05. Questo articolo è disponibile anche in versione podcast.

Dopo avervi raccontato un attacco informatico dilettantesco, quello di NoName, e un attacco più professionale, quello ai danni degli utenti di Minecraft, è il turno di vedere come operano i criminali informatici più sofisticati, visto che in questi giorni hanno seminato il caos nelle aziende di mezzo mondo, colpendo per esempio British Airways, la BBC, la società di consulenza internazionale EY [nota ai più col suo nome precedente, Ernst and Young (BBC)], nonché molti siti governativi statunitensi e banche di vari paesi, rubando dati sensibili e poi chiedendo un riscatto per non pubblicarli.

Gli esperti attribuiscono questi attacchi a un gruppo criminale russofono denominato Cl0p. Almeno due organizzazioni svizzere sono state colpite, secondo l’elenco geografico dei bersagli basato sui dati pubblicati dai criminali sul dark web [presso il seguente indirizzo, che ho opportunamente alterato]:

hxxp://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad[.]onion

La schermata del sito di Cl0p. Fonte: Reliaquest.

Il primo sintomo di un attacco sofisticato è la sua natura indiretta. Oggigiorno è raro che un’azienda venga attaccata direttamente, frontalmente, perché il crimine informatico organizzato ha capito da tempo che è molto più efficiente colpire i grandi fornitori di servizi delle aziende, in un cosiddetto supply-chain attack. In questo modo, con un solo attacco si riesce a entrare nei sistemi di tutte le aziende che usano quei fornitori. In questo caso il fornitore è la Progress Software, che produce un software di trasferimento di file molto diffuso, chiamato MOVEit, che aveva un difetto sconosciuto all’azienda ma purtroppo noto ai criminali.

Questo è il secondo sintomo di un attacco informatico di alto livello: l’uso di una vulnerabilità non ancora nota e documentata, ossia di una cosiddetta falla zero day (che si chiama così perché viene sfruttata dai criminali prima che sia nota agli esperti di sicurezza, e quindi la casa produttrice del software fallato ha avuto zero giorni di tempo per rimediarla prima che venisse utilizzata).

I criminali hanno scoperto che l’interfaccia Web del software MOVEit aveva un difetto classico: non filtrava eventuali comandi annidati opportunamente nei dati immessi dagli utenti. Questi comandi venivano quindi eseguiti, permettendo di visualizzare ed esportare dati confidenziali, di avere privilegi di amministratore sui sistemi attaccati e altro ancora.

Per fare un esempio ipotetico, immaginate di avere davanti a voi un sito web che vi chiede di immettere il vostro nome e cognome, e immaginate di rispondere scrivendo che vi chiamate Cancella di nome e Database filesdb di cognome. Immaginate inoltre che cancella sia un comando valido per la gestione del database, e che quel database si chiami proprio filesdb. Un sito che non filtra le immissioni degli utenti interpreterà queste parole come comandi... e cancellerà il proprio database.

Nella realtà non è così semplice come in questo esempio, ma il principio è lo stesso: i criminali hanno immesso nell’interfaccia Web dei comandi opportunamente confezionati e hanno ottenuto in risposta i dati sensibili delle aziende, senza dover indovinare password, installando anche del software per poter proseguire l’attacco anche in seguito. 

Tutte le installazioni aziendali di MOVEit consultabili via Internet erano vulnerabili in questo modo, in quello che gli esperti chiamano injection attack. Il motore di ricerca specialistico Shodan rileva attualmente circa 2300 siti che usano MOVEit e lo espongono a Internet. In Svizzera, i siti di questo genere sono una quarantina.

Il mitico xkcd e la sua celebre vignetta dedicata a Bobby Tables.

Quattro giorni dopo l’inizio degli attacchi, la Progress Software ha corretto la falla e ha informato i propri clienti della situazione, distribuendo due aggiornamenti di MOVEit che risolvono il problema e delle istruzioni molto dettagliate su come procedere. 

Le aziende che hanno installato l’aggiornamento ora sono al sicuro da questo specifico metodo di attacco, ma i loro dati possono essere già stati saccheggiati dai criminali, e resta il problema dei fornitori di servizi aziendali: molte organizzazioni che non usavano direttamente MOVEit, infatti, sono state coinvolte lo stesso perché per la gestione degli stipendi si appoggiavano a una società esterna, Zellis, che usava appunto MOVEit ed è stata attaccata, permettendo così ai criminali di ottenere i dati sensibili delle aziende clienti.

In sintesi: se usate MOVEit, controllate di averlo aggiornato; se non usate MOVEit, chiedete ai vostri fornitori di servizi se lo usano e quali misure hanno già preso. Nel frattempo, i criminali hanno iniziato a pubblicare parte dei dati sottratti, nominando le aziende coinvolte, e il governo degli Stati Uniti ha messo una taglia da 10 milioni di dollari sugli autori di questi attacchi. C’è insomma parecchio da fare per tutti.

Fonti aggiuntive: TechCrunch, BBC, Reliaquest, Sophos, Ars Technica, Bitdefender, Reddit, Graham Cluley, NIST, Socradar.

Antibufala: l’allarme dell’FBI per le prese pubbliche di ricarica dei telefonini

Moltissime testate giornalistiche [per esempio Corriere della Sera, Open, Secolo XIX, CBS, El Pais, Fortune], compresa la RSI, hanno pubblicato la notizia dell’allarme diffuso via Twitter dall’FBI a proposito delle prese pubbliche di ricarica per telefonini e altri dispositivi elettronici: queste prese sarebbero pericolose perché potrebbero essere usate da criminali informatici per infettare i dispositivi, leggere e rubare dati e anche tracciare smartphone, tablet e computer dopo che sono stati scollegati. Sarebbero maggiormente esposti gli utenti Android, ma anche gli utenti Apple non dovrebbero sentirsi al sicuro.

La tecnica usata dai malfattori ha un nome specifico: si chiama juice jacking, che in inglese significa “presa di controllo tramite la corrente” (juice è un modo informale per indicare la corrente elettrica e jacking è un troncamento di hijacking, ossia “dirottamento, presa di controllo”).

L’idea di non poter usare queste comodissime prese di ricarica, così preziose quando si è in viaggio e il telefonino, il tablet e il computer sono a corto di energia, è preoccupante e riguarda moltissime persone, e la fonte dell’allarme, l’FBI, sembra assolutamente attendibile; è quindi comprensibile che i giornalisti l’abbiano diffuso con entusiasmo. Ma scavando un pochino viene fuori che l’allarme è basato sul nulla: o meglio, su un corto circuito. Non elettrico, ma informativo.

L’avviso dal quale è partita tutta la preoccupazione è infatti un tweet della sede distaccata dell’FBI di Denver, datato 6 aprile 2023, che dice che “attori ostili hanno trovato modi per usare le porte USB pubbliche per inserire malware e software di monitoraggio nei dispositivi” e raccomanda di portare con sé un proprio caricatore e un proprio cavetto USB e di usare le prese elettriche normali invece dei cavetti offerti.

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

Questo tweet dell’FBI, però, non fornisce dettagli tecnici o fonti.

Così il giornalista informatico Dan Goodin ha contattato l’FBI, un cui portavoce gli ha spiegato che la sede di Denver ha basato il proprio allarme su informazioni provenienti dalla FCC, la Federal Communications Commission, l’autorità governativa statunitense che regola e amministra l’uso delle frequenze radio e delle telecomunicazioni. E in effetti sul sito della FCC c’è un avviso, datato 11 aprile 2023, che ripete sostanzialmente le raccomandazioni dell’FBI, anche qui senza fornire dettagli tecnici o fonti.

Ma a sua volta, spiega sempre Goodin, la FCC dice che le sue informazioni si basano su un articolo del New York Times del 2019 [probabilmente questo, paywallato], che si basava su un avviso diffuso dall’ufficio del procuratore distrettuale di Los Angeles. Ma quell’avviso è stato rimosso a dicembre 2021, dopo che era emerso che i funzionari del procuratore distrettuale non avevano alcuna prova del fenomeno. Anche la FCC non è in grado di citare un singolo caso in cui questo juice jacking su prese pubbliche sia realmente avvenuto.

In altre parole, l’allarme dell’FBI si basa su un complicato passaparola alla cui origine c’è il nulla. 

---

Possiamo quindi stare tranquilli e collegare i nostri dispositivi alle prese negli aeroporti e nei luoghi pubblici e dimenticarci di questo falso allarme? Probabilmente sì. La capacità di infettare uno smartphone semplicemente collegandolo a un cavetto di ricarica sarebbe una tecnica troppo potente e pericolosa per sprecarla su bersagli comuni in luoghi pubblici, e se esistesse da ben quattro anni, le case produttrici di dispositivi avrebbero nel frattempo rimediato, diffondendo aggiornamenti correttivi. Quindi le prese USB e i cavetti che trovate nei normali luoghi pubblici sono quasi sicuramente privi di pericoli informatici.

Detto questo, esiste un rischio teorico. Le prese di ricarica dei dispositivi includono quasi sempre dei contatti elettrici che accettano dati e comandi. Sarebbe quindi possibile mandare dei comandi a un dispositivo connesso attraverso un cavetto appositamente costruito, come per esempio l’OMG Cable di Hak5. Questi comandi permetterebbero di prendere il controllo di un dispositivo sbloccato quanto basta per infettarlo o estrarne dati. Ma cavetti speciali come questi hanno un costo piuttosto alto (oltre 100 dollari). Troppo alto per lasciarli in giro in un luogo pubblico.

Il rischio reale, insomma, è minimo, e infatti non ci sono casi documentati di questo juice jacking nonostante se ne parli a livello teorico da anni. Ma se preferite evitare anche quel minimo rischio, usate il vostro caricatore, quello che si inserisce nella presa elettrica, o una vostra batteria esterna o powerbank. E se proprio siete paranoici, esistono anche dei cavetti speciali e degli isolatori per cavetti di ricarica, i cosiddetti data blocker, che fanno passare solo la corrente elettrica ma non i dati.

Fonte aggiuntiva: Graham Cluley.

Hyundai attaccata, dati dei clienti trafugati in Francia e Italia. Occhio alle truffe

Ultimo aggiornamento: 2023/04/13 12:40.

Se avete una Hyundai acquistata in Italia o in Francia, o se avete anche solo partecipato recentemente a un test di guida di un’auto Hyundai in questi paesi, fate attenzione a eventuali messaggi e chiamate da parte di sedicenti rappresentanti dell'azienda. 

Il ricercatore di sicurezza Troy Hunt segnala infatti una comunicazione “riservata e confidenziale” da parte di Hyundai in italiano che annuncia che “una terza parte non autorizzata ha avuto accesso” a “e-mail, indirizzi e numeri di telefono” dei clienti e a “dati dei veicoli (come i numeri di telaio)”. L’azienda aggiunge che ha “messo in atto tutte le misure” per arginare l’accesso e ha “informato tempestivamente il Garante per la Protezione dei Dati Personali.”

Data breach at @Hyundai_Italia: pic.twitter.com/oMMcFiG2Ud

— Troy Hunt (@troyhunt) April 11, 2023

Hyundai invita “a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai” e raccomanda in particolare “di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto”. 

L’azienda offre anche un indirizzo di mail da usare “per qualsiasi verifica o supporto”: databreach@hyundai.it.

Questo è il testo integrale della comunicazione citata da Hunt:

Gentile [omissis]

a nome di Hyundai Motor Company Italy, sono spiacente di informarla che la nostra azienda ha recentemente appreso che una terza parte non autorizzata ha avuto accesso ad alcune informazioni contenute nel nostro database clienti.

Non appena ci è stato comunicato l'incidente abbiamo immediatamente avviato un'indagine e messo in atto tutte le misure per arginarlo. Ci siamo rivolti ai migliori specialisti di cybersecurity ed ai nostri avvocati per farci supportare nella gestione dell'incidente. Abbiamo informato tempestivamente il Garante per la Protezione dei Dati Personali e tra le varie misure di sicurezza adottate, abbiamo bloccato il server interessato e lo abbiamo rimosso definitivamente dalla rete. Stiamo continuando a lavorare con i nostri team IT per garantire che i nostri sistemi mantengano un elevato standard di sicurezza.

Le nostre indagini informatiche hanno confermato che alcuni dati dei nostri clienti potrebbero essere effettivamente stati impattati. Nello specifico, i dati comprendono informazioni di contatto (come e-mail, indirizzi e numeri di telefono) e dati dei veicoli (come i numeri di telaio). Non sono stati invece colpiti né dati finanziari, né numeri di identificazione ufficiali.

Sebbene non vi siano prove che i dati interessati siano stati utilizzati per scopi fraudolenti, per estrema cautela, la invitiamo a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai. In particolare, le raccomandiamo di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto che potrebbe ricevere.

Come sempre, può contattarci direttamente per qualsiasi verifica o supporto.

A questo proposito, abbiamo predisposto un canale dedicato che potrà raggiungere all'indirizzo databreach@hyundai.it.

Per noi di Hyundai Motor Company Italy la protezione dei dati personali dei nostri clienti è sempre stata una priorità assoluta.

Ci impegniamo ogni giorno per garantire i massimi standard di sicurezza ed assicurare una risposta pronta e esaustiva in caso di qualsiasi rischio, anche solo potenziale.

Hyundai Motor Company Italy si scusa per qualsiasi preoccupazione che questo incidente possa averle causato.

Anche Hyundai Motor France ha diffuso una comunicazione analoga [in francese, che mi è stata segnalata su Mastodon e fornisce un indirizzo di contatto (hyundaivousrepond@hyundai.fr)]:

Il testo francese (troncato in coda nello screenshot) è questo:

Chère Madame, Cher Monsieur,
Notre base de données clients a récemment fait l'objet d'une attaque informatique par un tiers non autorisé qui a accédé à certaines données personnelles de nos clients (nom, prénom, date de naissance, adresse email et postale, numéro de téléphone, numéro de client et numéro de châssis). Aucune donnée financière ou sensible n'a été affectée.
Des que nous en avons pris connaissance, nous avons diligenté une enquête interne avec des experts en informatique et nos avocats qui ont d'ores et déjà pris les mesures techniques afin d'y remédier. Parmi les diverses mesures techniques mises en œuvre, nous avons aussitôt bloqué le serveur concerné et l'avons définitivement retiré de notre réseau. Nous prenons également toutes les mesures complémentaires qui s'imposent afin d'éviter qu'un tel incident se reproduise. Sachez que cet incident a également fait l'objet d'une notification à la CNIL.
A ce stade, rien n'indique que vos données personnelles ont été réutilisées à des fins frauduleuses. Toutefois, nous vous demandons de rester vigilant dès maintenant et dans les mois qui viennent aux communications que vous pourriez recevoir de la part de Hyundai Motor France ou d'une autre entité du groupe Hyundai Motor et qui vous paraitraient suspectes.
Si un email, courrier et/ou SMS vous semble suspect, n'y répondez pas, ne cliquez pas sur les liens qu'il contient et prévenez-nous en nous écrivant à l'adresse suivante:
hyundaivousrepond@hyundai.fr
Nous vous indiquerons en retour si cette communication émane effectivement de Hyundai ou non.
Chez Hyundai Motor France, la protection des données personnelles de nos clients est une priorité absolue. Bien que cet incident soit indépendant de notre volonté, nous vous prions de bien vouloir accepter toutes nos excuses.
L'équipe Hyundai reste à votre entière disposition pour toute information
complémentaire (hyundaivousrepond@hyundai.fr)
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées
Lionel FRENCH KEOGH
Président
Conformément à la réglementation sur la protection des données personnelles, vous disposez d'un droit d'accès, de modification et de retrait de vos données. Pour toute demande, vous pouvez nous contacter via l'adresse hyundaivousrepond@hyundai.fr. Pour plus d'informations sur vos droits et l'utilisation de vos données personnelles, vous pouvez consulter notre politique relative à la [...]

Violazioni come questa solitamente vengono sfruttate dai criminali informatici per compiere attacchi mirati. Per esempio, uno scenario banale ma frequente è la richiesta di denaro per qualche fantomatica pratica burocratica, fatta via SMS, mail o telefono e resa credibile dal fatto che il truffatore scrive o chiama citando correttamente e con precisione gli estremi e i dettagli del cliente-vittima. Se aveste comprato un’auto di una certa marca e vi arrivasse una mail di qualcuno che dice di rappresentare proprio quella marca e sa che modello avete appena acquistato, sareste abbastanza scettici da sospettare che si tratti di un impostore?

Un altro modo per sfruttare questi dati è l’estorsione ai danni dell’azienda. È capitato a Ferrari a fine marzo 2023: ignoti aggressori informatici hanno acquisito nomi, indirizzi fisici, indirizzi di mail e numeri telefonici di clienti di questa marca, che sono ovviamente molto interessanti sotto molti punti di vista, e poi hanno chiesto a Ferrari del denaro per non pubblicare questi dati. Secondo il comunicato ufficiale della casa costruttrice di Maranello, la somma imprecisata richiesta dai criminali non è stata pagata [e i clienti interessati sono stati allertati; non si sa se i loro dati siano stati poi diffusi come minacciato dagli aggressori].

 

Fonte aggiuntiva: BleepingComputer.

I distributori di sigarette italiani attaccati con messaggi pro-Cospito sono trovabili su Shodan. E ora anche su Google

Durante il fine settimana appena concluso numerosi distributori di sigarette in Italia sono stati violati da intrusi informatici che hanno alterato i prezzi di vendita delle sigarette, portandoli a 10 centesimi, e hanno sostituito le immagini visualizzate sugli schermi di questi distributori con immagini in favore di Alfredo Cospito, un detenuto in sciopero della fame da oltre cinque mesi per protesta contro il regime di carcere duro al quale è sottoposto.

Trovate tutti i dettagli della vicenda su Il Post. Il presidente nazionale di AssoTabaccai ha dichiarato al Corriere che gli risulta che una delle aziende interessate, la Laservideo, “utilizzi un sistema per cui è il server centrale a inviare informazioni ai distributori. Quindi hackerando il server centrale, è stato possibile entrare contemporaneamente in tutti i distributori”.

Non entro nel merito politico della notizia: segnalo soltanto che i distributori di sigarette della Laservideo sono facilissimi da trovare online tramite un comune motore di ricerca per l’Internet delle Cose come Shodan, nel quale è sufficiente immettere la richiesta

http.html:'laservideo' country:IT

per ottenere un elenco degli indirizzi IP e delle porte aperte di questi distributori. Non perdo neanche tempo a mascherare i dati, visto che reperirli è assolutamente banale:

Risulta insomma che questi distributori non sono protetti dietro una VPN, ma sono accessibili direttamente su Internet e con un normale browser tramite la porta 90:

Questo è il contenuto pubblicamente accessibile della pagina di login di uno di questi distributori:

Ovviamente non ho modo di sapere se le password di questi distributori sono robuste e diversificate, come richiederebbe la sicurezza informatica più elementare, ma sulla base di questi fatti sospetto che la tesi dell’hackeraggio del “server centrale” non sia quella più plausibile.

---

2023/03/28 9:20. Dai commenti emerge che i distributori sono reperibili anche semplicemente in Google, una volta che si sa qual è la stringa di testo che li caratterizza: è sufficiente cercare “Inserire Nome Utente e Password forniti da Laservideo”.

Inoltre Laservideo ha dichiarato pubblicamente che “Contrariamente a quanto riportato da molti organi di stampa, l'attacco hacker di sabato 25 marzo non ha riguardato i server centrali Laservideo ma ha colpito puntualmente solo una parte minoritaria dei distributori, agendo direttamente attraverso la connessione delle singole tabaccherie.”

Titoli da panico per il "massiccio attacco hacker" in Italia: i dati concreti

Ultimo aggiornamento: 2023/02/09 22:20.

Scrive Rainews: “Agenzia per la cybersicurezza: "E' in corso un massiccio attacco hacker"
I tecnici dell'Agenzia hanno già censito "decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi""”.

Come al solito, siccome in tante redazioni linkare le fonti è considerato un abominio, non viene riportata l’indicazione più importante, ossia l’informazione tecnica del CSIRT. È qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza: la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor due anni fa.

No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021”.

Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi direttamente a Internet, prendi una canna da pesca e smetti di fare danni, perlamordiddio.

E per favore piantiamola con i titoli sensazionalisti: il titolo corretto, qui, non è “È in corso un massiccio attacco hacker” ma “Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano quello che si meritano”.

Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste occasioni: FAFO. Fuck around, find out. Ossia, grosso modo, “Fai una cretinata, scoprine le conseguenze”.

---

Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo articolo in proposito; Censys ha un elenco dei server colpiti; e qui ci sono istruzioni per proteggere i server e per tentare il recupero dei file cifrati dal ransomware.

Look at the world! look how many OLD ESXi servers are exposed :D https://t.co/z2ykKB3sGB pic.twitter.com/Jeqr9veyRr

— mRr3b00t (@UK_Daniel_Card) February 5, 2023

Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli che sono già stati infettati) sono almeno una ventina; in Svizzera sono più o meno altrettanti.

---

Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).

La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato".”

Non avrei saputo dirlo meglio.

---

2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.

Lampadine IKEA infestate in tempo per Halloween

Questo articolo è disponibile anche in versione podcast audio.

Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o provenissero da una delle case della serie Stranger Things.

Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha scoperto infatti che le lampadine Tradfri e il loro gateway o dispositivo di controllo possono essere indotte a fare un reset semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci tenete a saperlo, si chiama frame Zigbee malformato).

Una volta resettate, le lampadine restano tutte accese al massimo della luminosità e l’utente non riesce più a comandarle, né con l’app né con il telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non esiste un aggiornamento correttivo completo, l’aggressore può ripetere l’attacco tutte le volte che vuole, usando semplicemente un laptop e un radiotrasmettitore che costa una trentina di euro o franchi e può agire anche da un centinaio di metri di distanza.

IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento parziale, che conviene sicuramente installare, ma la vulnerabilità in questo caso deriva dalla natura stessa del sistema di trasmissione e di comando utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.

Un attacco di questo genere non comporta fughe di dati, ma può essere comunque un fastidio notevolissimo. Se avete queste lampadine smart e vedete che sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di comunicare con voi dal Sottosopra.

Fonte aggiuntiva: The Register.

Violato l’account Twitter del Ministero della transizione ecologica italiano per promuovere una truffa di criptovaluta

Pubblicazione iniziale: 2022/09/15 9:41. Ultimo aggiornamento: 2022/09/15 11:45.

9:41. Il profilo ufficiale del Ministero della transizione ecologica italiano (https://twitter.com/MiTE_IT/) al momento in cui scrivo ha questo aspetto:

Promuove una truffa basata sulle criptovalute: lo schema è quello classico del “fidati di me che sono famoso, dammi la tua criptovaluta e te la restituisco moltiplicata”. Infatti l’account Twitter rubato ora si fa chiamare Vitalik.eth, come quello autentico di Vitalik Buterin, fondatore della criptovaluta Ethereum, e mostra la sua foto; inoltre il sito reclamizzato nei tweet, ethmerges[.]blogspot.com, dice proprio “To participate you just need to send from 0.5+ ETH to 500+ ETH to the contribution address and we will immediately send you back from 1+ ETH to 1000+ ETH (x2) to the address you sent it from.”

Inutile dire che la criptovaluta data a questi truffatori non verrà mai restituita.

Fate attenzione a truffe come questa, nelle quali il truffatore prende il controllo di un account molto conosciuto e addirittura autenticato con il bollino blu, per poi offrire i propri “servizi” ai numerosi follower dell’account. E fate attenzione anche agli sciacalli, che dicono di essere in grado di aiutarvi a recuperare il maltolto o consigliano qualcuno che lo è: vorranno essere pagati per il tentativo di recupero, che ovviamente fallirà e resterete doppiamente fregati. Uno di questi sciacalli è già comparso nei commenti alla mia segnalazione su Twitter.

L’account del Ministero è così almeno dalle 8.37 italiane di stamattina, ora del primo tweet del truffatore.

---

11.05. Sembra che il controllo dell’account del Ministero sia stato ripreso: alcuni tweet promozionali del truffatore sono stati rimossi e il profilo sta riprendendo il suo aspetto normale.

11.45. Intanto Repubblica (copia permanente), Rainews (copia permanente) e Fatto Quotidiano (copia permanente) scrivono fandonie sulla vicenda spacciandole per notizie, addirittura accusando pubblicamente Buterin di un reato informatico che non ha commesso (e fra l’altro Buterin è russo di origini ma naturalizzato canadese). Il tweet di Angelo Bonelli è archiviato qui. 

Il tweet di Repubblica.

Il titolo del Fatto Quotidiano.

Repubblica cita il tweet di Bonelli.

Rainews dice che Vitalik Buterin è “un pirata informatico”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Un ladro cerca di rubarmi l’account Instagram. Risate e tecniche di autodifesa

Questo articolo è disponibile anche in versione podcast audio.

Non tutti i criminali informatici sono dei geni del male. Pochi giorni fa un aspirante truffatore ha tentato di prendersela con me e rubare il mio account Instagram. Non è andata come sperava, e la sua disavventura mi offre l’occasione di ripassare un paio di trucchi di sicurezza e di trappole di Instagram che è meglio conoscere per difendersi. Ma c’è anche parecchio da ridere.

Tutto comincia con una trappola classica. Un mio conoscente su Instagram mi manda un messaggio privato usando un italiano improbabile: “voglio disturbarti affatto, ma ho bisogno del aiuto per qualcosa, per favore”, condito con vari emoji di supplica. Gli chiedo come lo posso aiutare.

Lui risponde così: “Sto cercando di iscrivermi con il mio Instagram il mio nuovo telefono e Instagram non mi permette che mi hanno mostrato 2 amici che posso contattare per aiutarmi a ricevere un link. Per favore, se ricevi il link mandamelo così posso effettuare il login”.

Nei suoi messaggi successivi mi spiega insistentemente che dovrei ricevere tramite SMS un link, che dovrei poi mandargli subito. In effetti mi arriva sul telefonino un SMS che indica come mittente Facebook, dice “Tocca per accedere al tuo account Instagram” e prosegue con un link del tipo https://ig.me/ seguito da tante lettere e tanti numeri. Attenzione: è questa la trappola da evitare. Questo link non va dato assolutamente a nessuno, perché è un link temporaneo che permette a chi ce l’ha di prendere il controllo dell’account senza dover immettere password.

In pratica, un ladro di account ha preso il controllo dell’account Instagram del mio conoscente e mi sta contattando, fingendo di essere lui. Vuole rubare anche il mio account, e quindi è andato su Instagram, ha immesso il mio nome utente nella schermata di login e ha cliccato su “Hai dimenticato la password?”, e così Instagram lo ha portato alla schermata di reset della password.

Questa schermata è pensata per consentire a un utente di rientrare nel proprio account anche se non si ricorda la password: cliccando sul pulsante Invia il link di accesso, l’utente riceve sul proprio smartphone un SMS che contiene un link temporaneo di accesso diretto. Ma se l’utente manda quel link a qualcun altro, sarà quel qualcun altro a prendere il controllo del suo account Instagram.

Purtroppo Instagram commette il grave errore di non includere in questo SMS un avvertimento che dica chiaramente che il link non va mandato a nessuno. Le vittime di questa truffa ricevono l’SMS e la richiesta di quello che credono sia un loro amico che ha bisogno di aiuto e quindi mandano questo SMS all’impostore. E così si fanno rubare l’account Instagram.

Quindi mi raccomando: se ricevete un SMS contenente un link che invita a toccarlo per accedere al vostro account Instagram, non condividetelo con nessuno.

È chiaro, insomma, che sto interagendo con un ladro, e in particolare con un ladro particolarmente sprovveduto, perché nella mia bio su Instagram c’è chiaramente indicato che mi occupo di sicurezza informatica e quindi non sono un bersaglio facile.

A questo punto posso permettermi di giocare un po’ con l’aspirante ladro. Faccio finta di cadere nella trappola e gli mando un link leggermente alterato: al posto delle lettere e dei numeri che mi sono arrivati nell’SMS gli scrivo 1IcIVhfLkRicKR0LL. Qualunque ladro anche solo vagamente attento dovrebbe notare che le ultime lettere di questo link compongono la parola rickroll, che è il nome di una burla classica di Internet descritta in una puntata precedente di questo podcast. Non solo il ladro non se ne accorge, ma mi ringrazia anche con un cuoricino.

Passano alcuni minuti, durante i quali il truffatore evidentemente digita pazientemente il link falso e si rende conto che non funziona. Così mi chiede di mandargli uno screenshot, probabilmente perché pensa che io sia un imbranato.

A questo punto decido di dargli corda e fargli perdere tempo credendo di essere a un passo dal mettere a segno il furto di account. Parte un lungo dialogo: fingo di non essere esperto, e mi invento le scuse più bislacche. Cose del tipo “Non riesco, il telefono mi dice che ho il cirbione vagolato e manca la notifica di hotlinking. Cosa vuol dire? Non capisco”. E lui, pazientemente, risponde. "Non hai nulla di cui preoccuparti. Mandami il link dopo di che andrà tutto bene”.

“Sì, ma cos'è questo cirbione vagolato?” Sono due parole prese dal lessico fantastico del fumettista Jacovitti. Il truffatore non si rende conto che lo sto prendendo in giro.

“Non è niente. Mandami il link”, risponde. Gli chiedo scusa, dicendogli “Mamma mia scusami ma sono molto lento perché ho la malattia della tafazzite da quando avevo 13 anni ho solo due dita che funzionano”. Lui, imperterrito, insiste. Gli chiedo altre cose assurde: “Tu stai bene? Hai qualche malattia? Ti piacciono i film dei gladiatori? A me piace parlare con le persone ma non posso perché ho la tafazzite contagiosa”.

Niente. Neanche la citazione di malattie inesistenti come la tafazzite contagiosa o di battute celebri del film L’aereo più pazzo del mondo gli fa accendere la lampadina. Mi manda uno screenshot del mio profilo, dicendomi “Mandami uno screenshot di questa parte del tuo account Instagram ora”. È una mia impressione o il suo tono comincia a essere esasperato?

Il tempo passa e lo scambio di messaggi prosegue. Gli dico che mi sono spaventato perché temo che lui sia un hacker e questo mi ha causato problemi di incontinenza, e lui mi risponde “Oh, mi dispiace tanto. Ti aiuterò con 1.000€”, dimostrando così che è una persona in carne e ossa e non un bot o sistema automatico. Poi gli dico che faccio intervenire la mia inesistente figlia Giuditta e gli mando, finalmente, il link che continua insistemente a chiedermi. Ma il link che gli mando è un canary token, ossia un link speciale, che si può creare gratuitamente per esempio presso Canarytokens.org e che quando viene cliccato manda a chi l’ha creato delle informazioni su chi ha cliccato.

In altre parole, se il truffatore clicca sul link, riceverò le sue coordinate: il suo indirizzo IP, il tipo di telefono che sta usando, e altre informazioni interessanti. Ma il link è chiaramente riconoscibile, perché contiene il nome del sito Canarytokens, per cui non mi aspetto che ci caschi. Per confonderlo e come ulteriore presa in giro, gli dico che Giuditta, la mia figlia immaginaria che mi sta aiutando, gli ha mandato per errore il link alle sue foto intime e gli chiedo di non guardarle.

Ovviamente il truffatore non resiste alla tentazione e clicca sul link. Mi arrivano le informazioni su di lui. Risulta che usa un iPhone e che il suo indirizzo IP è svizzero, ma è quello di un servizio di VPN, per cui probabilmente l’aspirante ladro di account sta altrove [probabilmente in Nigeria, a giudicare dal parametro en_NG, che è il locale di quel paese; la dicitura “Instagram phisher” l’ho generata io come promemoria della funzione di questo token].

A questo punto l’ho già tenuto in ballo per oltre un’ora, e ho ottenuto tutto quello che mi serviva, per cui lancio la burla finale: “BUONGIORNO” gli scrivo “QUESTO È IL SERVIZIO SVIZZERO DI SICUREZZA DIGITALE. QUESTO ACCOUNT VIENE MONITORATO. SIGNOR MONI [è questo il nome dell’account rubato] LEI È PREGATO DI IDENTIFICARSI CON UNA IMMAGINE DI UN DOCUMENTO DI IDENTITÀ E DI PRESENTARSI ALLA CENTRALE DI SICUREZZA DI EGERKINGEN ENTRO 24 ORE PER UN INTERROGATORIO. FIRMATO AGENTE HUBER.”

Improvvisamente cala il silenzio. Il truffatore non si fa più vivo; non risponde ai miei messaggi successivi. Gli lascio un messaggio di congedo, nel quale gli spiego chi sono e che ho raccontato il suo tentativo di furto in diretta su Twitter per far divertire chi mi legge. Gli dico anche che so benissimo che lui è un criminale che sa bene che sta commettendo un reato e aggiungo che spero che la conversazione gli sia stata di lezione: le vittime, insomma, a volte sanno reagire.

Per me la vicenda sarebbe finita, ma a sorpresa, alcune ore più tardi, mi chiede ancora di mandargli il link. Probabilmente sta gestendo contemporaneamente vari tentativi di truffa e ha perso il filo del discorso.

Decisamente non tutti i criminali sono geni del male. Siate più svegli di loro.

Se vi interessa l’intera conversazione che qui vi ho riassunto, gli screenshot sono qui sotto. Buon divertimento e prudenza. 

 

Fonti aggiuntive: Punto Informatico, Mobileworld.it.

Dispositivi di tracciamento colabrodo mettono a rischio le flotte di trasporto su strada

Questo articolo è disponibile anche in versione podcast audio.

La gestione elettronica dei veicoli è una gran bella cosa, con tanti vantaggi, ma va fatta bene: se è fatta male, può avere conseguenze catastrofiche e inattese. 

Un esempio in questo senso arriva nientemeno che dalla Cybersecurity and Infrastructure Security Agency del governo statunitense, che si occupa di sicurezza informatica delle infrastrutture ai più alti livelli.

Il CISA ha pubblicato un avviso a proposito della pericolosità di un dispositivo di tracciamento GPS dotato di ricetrasmettitore cellulare, molto usato dalle flotte di veicoli commerciali. Si chiama MV720 e lo fabbrica la MiCODUS. Questo dispositivo ha una serie di difetti informatici che possono permettere a un aggressore addirittura di prendere il controllo del veicolo, per esempio disattivandone l’antifurto e anche interrompendo l’erogazione di carburante oltre a tracciarne la posizione e i percorsi.

Fra questi difetti spicca un classico: una cosiddetta hardcoded password, ossia una password di amministrazione fissa e non modificabile, una sorta di passepartout, che permetterebbe a un aggressore di accedere al server di controllo e mandare comandi ai dispositivi di tracciamento tramite SMS.

Come se non bastasse, un altro difetto consente a un malintenzionato di mandare comandi, tramite SMS, senza aver bisogno di autenticarsi. E poi c’è un’altra falla, che permette di accedere ai dati degli altri utenti perché il server non verifica l’identificativo del dispositivo che viene inviato dall’utente. Il problema, quindi, rischia di riguardare tutti i dispositivi di tracciamento di questa marca.

Un vero disastro di incompetenza, insomma, che apre la porta ad attacchi di vario genere: a parte quelli strategici o politici e ideologici, ci sono quelli del crimine informatico organizzato. Con falle di questo livello, un’organizzazione criminale potrebbe per esempio ricattare un’azienda di trasporti, minacciando di fermare tutta la sua flotta di veicoli se non viene pagato un riscatto, oppure potrebbe acquisire i dati delle spedizioni e compiere furti mirati.

La scoperta di queste vulnerabilità è stata fatta dai ricercatori della società di sicurezza informatica statunitense Bitsight ed è stata descritta in un rapporto pubblico molto dettagliato dopo aver tentato inutilmente di avvisare la casa produttrice del dispositivo, la cinese MiCODUS, e dopo aver comunicato privatamente il problema alle autorità governative statunitensi per la sicurezza informatica.

Circa un milione e mezzo di utenti privati e di aziende che usano questi dispositivi in quasi 170 paesi, comprese forze militari, agenzie governative e corrieri, a questo punto hanno una sola strada per eliminare il rischio: assicurarsi che questi tracciatori non siano accessibili da Internet e usare accessi remoti sicuri, protetti per esempio da VPN. O, meglio ancora, rimuovere completamente questi dispositivi e sostituirli con alternative meno vulnerabili. 

Il problema è ovviamente capire quali lo sono e quali no, ma grazie ai ricercatori almeno adesso sappiamo che questo, perlomeno, è da evitare.

Iran, attacco informatico ad acciaieria ha conseguenze molto reali

Questo articolo è disponibile anche in versione podcast audio.

Il 27 giugno scorso una delle più grandi acciaierie in Iran, la Mobarakeh Steel Company (info su Wikipedia), ha vissuto momenti drammatici: stando a vari video non confermati ma ritenuti attendibili, poco dopo che alcuni operai si erano allontanati da una zona dell’impianto nella quale si lavorano grandi quantità di metallo fuso, si è formata una enorme fiammata e il metallo incandescente si è riversato fuori dai suoi contenitori, spandendosi nelle vicinanze in una luminosissima, rovente cascata di scintille.

L’incidente merita attenzione perché tutto indica che si sia trattato di un sabotaggio effettuato tramite un attacco informatico: un caso piuttosto raro di conseguenze molto concrete, e potenzialmente fatali, di crimine digitale che agisce direttamente sulle cose del mondo reale invece di limitarsi, si fa per dire, a cancellare e danneggiare dati.

L’attacco è stato rivendicato su Telegram e Twitter da un gruppo che si fa chiamare Predatory Sparrow (passero predatore). Il gruppo ha presentato come conferma i video tratti dalle telecamere di sorveglianza interna dell’acciaieria e ha anche pubblicato una ventina di gigabyte di dati che dice di aver trafugato da questa e altre due acciaierie iraniane che ha preso di mira. I media di stato iraniani hanno fornito conferme indirette degli attacchi, ma hanno dichiarato che non ci sarebbero stati danni alle linee di produzione (Cyberscoop.com).

L’idea che un attacco informatico possa causare la fuoriuscita di colate di metallo fuso dove lavorano gli operai è decisamente inquietante, ma non è la prima volta che ci sono conseguenze fisiche molto gravi a seguito di un’incursione digitale. 

Sempre in Iran, nel 2010, il malware Stuxnet danneggiò o distrusse le centrifughe dell’impianto di arricchimento dell’uranio di Natanz (come ho raccontato in dettaglio nel podcast del 9 luglio 2021). Nel 2014 l’autorità tedesca per la sicurezza informatica, la BSI, parlò di gravi danni a un’acciaieria nazionale causati da un attacco informatico basato sul phishing, senza però fornire molti dettagli. E nel 2015 in Ucraina un’azienda che gestiva la rete elettrica per la maggior parte del paese fu colpita da un attacco informatico che tolse la corrente a 200.000 persone per varie ore.

Questi attacchi così devastanti avvengono raramente, per fortuna, ma sono gli effetti più sensazionali di una tecnica di attacco molto diffusa ai danni delle industrie: quella che consiste nel prendere il controllo dei sistemi di comando remoto che gestiscono i grandi impianti e sabotarli in modo che questi impianti vadano in avaria o causino danni. 

I sistemi di controllo industriale sono sempre più diffusi, perché costano meno e sono più precisi rispetto a una squadra di addetti, che oltretutto spesso rischierebbero la propria incolumità, e perché a volte non c’è altro modo per comandare gli impianti: basti pensare ai macchinari che operano in condizioni che sarebbero fatali per un operatore umano o che sono difficilmente accessibili, come le pale eoliche o i ripetitori cellulari o radiotelevisivi in alta montagna. In questi casi il controllo remoto è indispensabile.

Il problema nasce quando questi sistemi di controllo remoto non sono ben protetti e vengono installati disinvoltamente, senza pensare troppo alle loro implicazioni di sicurezza. Infatti se un impianto è accessibile da remoto da parte dei suoi addetti, potrebbe essere accessibile tramite la stessa via anche da parte di malintenzionati. Questi sistemi di controllo sono spesso connessi via Internet, e molte aziende non si rendono conto che oggi esistono motori di ricerca appositi, come Shodan, Binaryedge, Zoomeye o Censys, che permettono a chiunque di trovare tipi specifici di dispositivi accessibili via Internet e di ottenere informazioni sul loro funzionamento. Questi motori di ricerca esistono per segnalare o prevenire violazioni di sicurezza, ma ovviamente sono utilizzabili anche per trovare bersagli per attacchi. 

Incidenti come quello iraniano sono spesso di matrice politica, e si sospetta che dietro il gruppo Predatory Sparrow ci sia un governo che lo appoggia o addirittura lo dirige. Questo sospetto è avvalorato, secondo alcuni addetti ai lavori, dal fatto che il gruppo è stato molto attento a causare la fiammata nell’acciaieria in un momento nel quale non c’erano addetti nelle vicinanze e ha ribadito questa sua attenzione nelle rivendicazioni, e questo tipo di scrupolo è caratteristico di organizzazioni che devono rispettare delle linee guida politiche o governative, per esempio per causare danni strategici senza essere viste negativamente perché hanno colpito degli innocenti.

Sia come sia, episodi drammatici come quello dell’acciaieria iraniana sono un rumoroso campanello d’allarme per qualunque azienda che abbia sistemi gestiti da remoto, in qualunque paese: è opportuno irrobustire le proprie difese, invece di fare quello che fanno molti, ossia usare semplicemente Teamviewer senza password perché tanto è comodo e si ritiene che se nessuno sa l’indirizzo IP dell’impianto nessuno lo troverà mai. Shodan esiste proprio per questo, e ho vissuto personalmente due casi nei quali un generatore elettrico italiano e una mini-centrale elettrica francese erano comandabili da remoto da chiunque, perché i loro gestori non si curavano della sicurezza. Non è stato uno spettacolo rincuorante.

E anche se pensate che la vostra azienda non sia nel mirino dei gruppi politici internazionali, esistono sempre il sottobosco del crimine informatico, che è ben contento di chiedere riscatti per non sabotare i vostri impianti, e anche il sotto-sottobosco, quello dei semplici vandali, quelli che causano sabotaggi for the lulz, ossia per puro, asociale divertimento. Forse è il caso di approfittare della pausa estiva per fermarsi un momento a ragionare sulle proprie procedure di accesso remoto e rinforzarle un pochino.

 

Fonti aggiuntive: BBC, The Cyberwire.