Archivi categoria: TV

Account Instagram, Facebook e Whatsapp hackerati: nuovo servizio per Le Iene

Questa sera è andata in onda la puntata de Le Iene durante la quale Nicolò De Devitiis ha presentato alcuni casi di hackeraggio di account Instagram, Facebook e Whatsapp che hanno portato alla perdita dell’account da parte de legittimi proprietari, che spesso lo utilizzavano anche per attività lavorativa, oltre che per diletto.

Il mio piccolo contributo al servizio de Le Iene sugli account Instagram, Facebook e Whatsapp hackerati è stato quello d’illustrare tecnicamente come vengono attaccati i profili e come ci si può difendere. Il problema dell’hacking di account e conseguente hijack, cioè appropriazione da parte di terzi e dirottamento, è sempre più frequente e spesso colpisce negozianti, aziende, VIP che utilizzando il Facebook Business Manager gestiscono le proprie pagine o il proprio advertising e di colpo vengono tagliati fuori dal proprio account, spesso trovandone un altro al suo posto, con conseguente perdita anche delle pagine gestite tramite Facebook Business Manager o dei profili Instagram. Lo stesso avviene anche per gli account Whatsapp, che ultimamente subiscono furti e attacchi da parte di soggetti che inviano il codice a sei cifre di accesso a utenti ignari che poi lo comunicano perdendo così il proprio profilo, che rimane a volte fino a sette giorni in uso agli attaccanti.

Paolo Dal Checco a Le Iene su Hack di Profili Instagram e Facebook

In diversi casi, a seguito del furto e hacking dei profili Facebook e Instagram sono arrivate alle vittime richieste di riscatto in bitcoin per poter riavere accesso al proprio account. Nicolò De Devitiis ha provato a contattare uno dei ricattatori che, una volta rubato un profilo Instagram, chiedeva il riscatto di 300 dollari per restituire il maltolto.

In sostanza, esistono diverse maniere di hackerare un profilo Facebook o Instagram, in genere quella più semplice è tramite riutilizzo di password, ma anche il furto di cookies che spesso avviene tramite pagine di phishing o App che simulano l’accesso con identficazione tramite Facebook ma in realtà procedono con la sottrazione dei token di autenticazione.

Le Iene - Hackerati Profili Instagram, Facebook e Whatsapp

Una delle possibili contromisure è quella d’impostare un secondo fattore di autenticazione – detto anche 2FA – che permetta agli utenti di proteggersi anche nel caso in cui la loro password venisse resa nota agli attaccanti tramite phishing, brute force oppure riutilizzo di credenziali.

Ovviamente l’autenticazione a due fattori non è la panacea ma in diversi casi un semplice messaggio SMS sul cellulare, una App di autenticazione o una chiavetta Yubikey possono proteggere dal furto dell’account Instagram, Facebook ma anche Linkedin, Twitter o di posta elettronica.

L’amico Stefano Fratepietro ha poi spiegato come sia difficile recuperare un account Instagram o Facebook rubato e hackerato, perché ci sono così tante richieste di ripristino di account hackerati che Facebook e Instagram – essendo servizi gratuiti – non riescono a stare dietro a tutti. La soluzione quindi è cercare di evitare di farsi sottrarre i profili Instagram e Facebook proteggendoli ad esempio con autenticazione a due fattori, che però essendo facoltativa e non obbligatoria spesso non viene utilizzata.

Servizio sulle truffe bancarie con Striscia La Notizia

Oggi è andato in onda il servizio di Max Laudadio per Striscia La Notizia dal titolo “Il raggiro del finto call center Banca Intesa” dove il conduttore intervista diverse vittime di una truffa ben nota al termine della quale i conti correnti vengono svuotati tramite bonifici fraudolenti immessi da criminali che hanno avuto accesso al conto bancario tramite App o web banking.

Questo tipo di truffe è ormai nota alle Forze dell’Ordine ma purtroppo ancora sconosciuta a molti correntisti che, fidandosi delle telefonate o degli SMS apparentemente provenienti dai numeri della banca, comunicano credenziali o accettano d’installare software non verificato sul proprio smartphone, con il risultato che i delinquenti hanno la possibilità, a un certo punto, di disporre bonifici o persino fare ricariche di carte di credito o prelievi di contanti al bancomat.

Paolo Dal Checco a Striscia La Notizia

Durante il servizio per Striscia La Notizia ho dato il mio piccolo contributo con alcune considerazioni tecniche sulle modalità con le quali i truffatori riescono a telefonare alle vittime o inviare SMS fingendosi la loro banca, facendo comparire come mittente il numero di telefono o il nome esatto dell’istituto bancario e traendo così in inganno i correntisti.

Esistono infatti diverse App e servizi online – così come conferma anche Banca Intesa San Paolo in un comunicato ufficiale a Striscia La Notizia – che permettono di fare telefonate o inviare messaggi di testo SMS mascherando il mittente con numeri di telefono o nomi a scelta, agevolando così purtroppo le truffe definite “vishing” (voice phishing) e “smishing” (SMS phishing) basate proprio sul mascheramento del numero o dell’identità del chiamante.

Spiegazione fornita da Intesa San Paolo a Striscia La Notizia delle truffe tramite telefonate o sms fraudolenti.

La truffa delle telefonate e degli SMS provenienti da finti call center colpisce non soltanto Banca Intesa San Paolo e i suoi correntisti, ma anche clienti di altre banche, proprio perché purtroppo chi riceve una telefonata non ha modo di verificare se il numero del chiamante è autentico oppure mascherato tramite uno dei servizi di caller id spoofing.

Per questo motivo, i consigli che vengono proposti da Banca Intesa San Paolo e riportati a Striscia La Notizia sono da seguire alla lettera:

  1. mai fornire codici ricevuti via SMS o telefonata a presunti operatori che chiamano o inviano SMS, con la minaccia di “chiudere il conto” in caso di mancata comunicazione;
  2. mai fornire credenziali del proprio profilo online via telefono o messaggio;
  3. mai inserire nome utente e password in siti ove si è arrivati cliccando su link ricevuti via email, sms o indicati tramite call center;
  4. mai installare App su richiesta di operatori della banca, soprattutto App non presenti all’interno dello store ufficiale.
Consigli di Intesa San Paolo per evitare le truffe

A questi consigli forniti da Banca Intesa San Paolo per rendere consapevoli i propri clienti dei rischi delle telefonate e degli SMS fraudolenti, possiamo aggiungere anche l’indicazione di non cliccare mai su link ricevuti via email o telefono, di chiamare sempre la banca digitando il numero ufficiale (non richiamando il numero da cui si è ricevuta una chiamata o un messaggio di testo), di non fidarsi di chi contatta insistendo sulla comunicazione di dati, codici, cifre, nominativi o altro che possa permettere ai delinquenti di accedere al proprio conto bancario e disporre bonifici, fare versamenti tramite carte di credito o prelevare contanti al posto.nostro.

Servizio TV con Le Iene su ClubHouse

È andato in onda il servizio de Le Iene dove ho dato un piccolo contributo nel descrivere le caratteristiche tecniche dell’App Clubhouse dal punto di vista della privacy e della sicurezza, in particolare concentrando l’attenzione sulle tecniche di Open Source Intelligence applicabili per ricavare informazioni dai dati forniti dagli utenti durante la registrazione e l’utilizzo della piattaforma e resi pubblici dall’App stessa.

Con Matteo Viviani abbiamo fatto diverse prove, durante la sua registrazione al servizio Clubhouse, per verificare quali dati fossero richiesti e quali mostrati dall’App, analizzando anche il meccanismo degli inviti che è emerso non essere in realtà così vincolante come viene presentato. È possibile – lo si scopre al termine del servizio – registrarsi a Clubhouse anche prima di aver ricevuto inviti e ottenere un “pass” per l’ingresso senza consumare inviti di nessuno, quindi in modo facile, veloce e “gratuito”, considerato che c’è un mercato degli inviti Clubhouse in vendita a prezzi anche piuttosto rilevanti.

Paolo Dal Checco con Le Iene e Matteo Viviani su Clubhouse

Dalla breve analisi che ho potuto svolgere e della quale ho parlato nel servizio, sono emersi diversi aspetti d’interesse investigativo che possono integrare le informazioni che si ottengono durante le normali attività legate alla digital forensics e perizia informatica.

Durante il servizio sono state presentate alcune informazioni ricavabili tramite semplici analisi e ricerche OSINT su Clubhouse come i collegamenti tra invitato e soggetto che ha fornito l’invito o il numero di utenti clubhouse che hanno in rubrica un certo contatto.

OSINT su ClubHouse con Le Iene

Le tecniche OSINT applicabili su Clubhouse sono diverse e molte ancora in fase di definizione, certamente con alcune verifiche sui dati che transitano sulla rete – ad es. con applicativi come Fiddler, Burp, MITMProxy – è possibile verificare con quali protocolli e API l’App comunica con il server Clubhouse e quindi utilizzarli per raccogliere dati a fini investigativi più facilmente che tramite interfaccia grafica.

Contro il Revenge Porn con Le Iene

Nel servizio de Le Iene andato in onda giovedì 26 novembre 2020 si è parlato di revenge porn e di come numerose donne cadano vittima di questo tipo di attacchi, peraltro non sempre motivati da vendetta da parte di ex mariti o compagni ma spesso semplicemente a seguito di attacchi a piattaforme cloud come iCloud, Google Drive o Dropbox e talvolta con attacchi di hacking su Instagram, Twitter o Facebook.

Il mio piccolo contributo per questo servizio de Le Iene è stato quello di spiegare come possono accadere questi episodi di hacking di iCloud, che in realtà con l’hacking icloud hanno spesso ben poco perché si tratta più frequentemente di attacchi di phishing o social engineering, mirati a ottenere le credenziali di iCloud tramite le quali accedere e scaricare il contenuto dei backup delle foto, filmati, note, audio e video delle vittime.

Paolo Dal Checco con le Iene su Hacking e Phishing iCloud

Ciò che è successo a Guendalina Tavassi – la protagonista del servizio de Le Iene – su iCloud a seguito di hacking o phishing è infatti piuttosto frequente e spesso avviene in contesti diversi: numerose sono infatti le richieste di supporto a seguito di hacking di profili Instagram o pagine Facebook.

In tali situazioni, spesso le vittime si chiedono come ottenere nuovamente il possesso del profilo Instagram rubato o delle pagine Facebook sottratte, cosa non banale soprattutto se sono assenti alcune delle misure di sicurezza base come la doppia autenticazione tramite 2FA, la conferma dell’utenza telefonica su cui inviare codici di sicurezza (che però può essere attaccata tramite sim swap e quindi non è totalmente affidabile) o il mancato legame ad esempio di account Instagram a profilo Facebook.

Il consiglio che si può dare per ridurre il rischio di perdere i propri dati o i propri account è quello di non cliccare sui link ricevuti via email, ma anche Whatsapp o SMS, non fornire il proprio telefono, username e password, diffidare da potenziali soggetti che promettono di recuperare account a fronte della comunicazione di altre credenziali, cosa chiaramente finalizzata a ottenere ulteriori punti di accesso nei profili della vittima.

Servizio TV con Le Iene sulla profilazione degli utenti

Oggi è andato in onda il servizio TV de Le Iene dove ho dato un mio piccolo contributo tecnico mostrando alcune caratteristiche della profilazione che le App fanno degli utenti tramite smartphone e PC. La navigazione, l’utilizzo dei dispositivi, la voce, le scelte che si fanno, sono tutti elementi che portano le aziende che stanno dietro ai grandi colossi del web e delle applicazioni a conoscerci meglio per poterci proporre servizi e beni sempre più mirati, il tutto chiaramente finalizzato a ottenere un ritorno d’investimento sempre maggiore dalla pubblicità o vendere un numero maggiore di beni e servizi.

Le Iene - Paolo Dal Checco - Profilazione Online

Nel servizio TV de Le Iene, con la iena Nicolò De Devitiis, possiamo ascoltare le interessanti osservazioni di esperti come Rudy Bandiera – divulgatore, creator e docente di online marketing – Veronica Gentili – esperta di Facebook marketing – e Joe Toscano – ex consulente di experience di design di Google – che raccontano dal loro punto di vista le varie sfaccettature della profilazione online.

Non è una novità che le applicazioni, così come i social network come Facebook, Linkedin, Twitter, Instagram ma anche qualunque sito web possano monitorare il comportamento degli utenti per tracciarne e profilarne i gusti. Importante però è esserne consapevoli, poter scegliere come e cosa lasciare che le aziende sappiano di noi ed eventualmente filtrare ogni tanto eventuali servizi troppo intrusivi.

Le Iene - Il prodotto sei tu - Come le App creano il tuo profilo

La profilazione, quindi, è un elemento ormai imprescindibile da qualunque servizio, i proprietari dei siti web conoscono chiaramente i nostri gusti di navigazione così come i social network. Il servizio de Le Iene, per Mediaset, mostra però come il tutto raggiunge livelli a volte maggiori di quello che tipicamente gli utenti immaginano quando installano un’App o utilizzano un servizio, sito web o social network come Instagram, Facebook, Linkedin o Twitter.

Diverse tracce che lasciamo dietro di noi durante il nostro uso quotidiano del web poi possono, tramite tecniche di ricerca online tramite OSINT, permettere anche a terzi di conoscere particolari che non ritenevamo di aver svelato, ma questa è un’altra storia e troveremo certamente il tempo di parlarne più avanti.