Tre incidenti reali: come compromettere, derubare e rovinare la vita a qualcuno usando Internet

L’esperienza dimostra che anche i veterani di Internet non riescono a proteggersi dagli attacchi mirati. Poiché la nostra vita sta diventando sempre più connessa a Intenet e ad altre reti, la sicurezza online si trasforma in una necessità urgente.

Quasi tutti hanno un’email, degli account sui social e il servizio bancario online. La gente ordina merci online e usa l’Internet mobile per l’identificazione personale (per esempio, nelle soluzioni d’identificazione a due fattori) e altre cose importanti. Sfortunatamente, è giunta l’ora di ammettere che nessuno di questi sistemi è completamente sicuro.

Più interagiamo online, più grande diventa il bersaglio per abili hacker: gli esperti della sicurezza lo chiamano “superficie d’attacco”. Più grande è la superficie, più è facile da attaccare. Se date un’occhiata a queste tre storie degli ultimi tre anni, vedrete chiaramente come funziona.

Come rubare un account: comprometterlo o fare solo una telefonata?

Uno degli strumenti più potenti usati dagli hacker è lo “human hacking”, o ingegneria sociale. Il 26 febbraio del 2016, il redattore di Fusion Kevin Roose ha deciso di verificare se fosse davvero COSÌ potente. L’ingegnere sociale e hacker Jessica Clark e l’esperto in sicurezza Dan Tentler hanno accettato la sua sfida.

Jessica ha promesso di compromettere l’email di Kevin con una telefonata e ha perfettamente eseguito il compito. Prima, il suo team ha compilato un profilo di 13 pagine, che includeva che tipo di uomo fosse Roose, cosa gli piacesse e cosa no, e così via. Tutti i dati erano stati presi da fonti pubbliche.

Avendolo avvertito, Jessica ha effettuato lo spoof del numero di cellulare di Kevin e ha chiamato la sua compagnia telefonica. Per aumentare la tensione, ha fatto partire un video di bambini che piangevano di sottofondo.

Jessica si è presentata come la moglie di Roose. Secondo la leggenda, lei e suo “marito” stavano per chiedere un prestito, ma la giovane ed esausta madre aveva dimenticato l’indirizzo email che usavano. Accompagnata dai pianti dei bambini, Jessica ha convinto presto il servizio clienti a resettare la password dell’email e a ottenere piano accesso all’email della sua vittima.

Dan Tentler ha risolto il suo compito con l’aiuto del buon, vecchio phishing. Prima, ha notato che Kevin aveva un blog su Squarespace e gli ha mandato un’email ufficiale falsa da questa piattaforma. Nella missiva, gli amministratori di Squarespace chiedevano agli utenti di aggiornare il certificato digitale per motivi di “sicurezza”. Dan ha creato diversi pop up falsi che hanno chiesto a Roose delle credenziali specifiche e tutto fatto.

Tentler ha ottenuto l’accesso ai dati bancari di Kevin, alle credenziali dell’email e degli shop online, come pure i dati della carta di credito e il codice fiscale. Inoltre, Dan ha acquisito foto di Roose e il suo screen, che è stato catturato in automatico ogni due minuti per le 48 ore dell’attacco.

What is phishing and why should you care? Find out https://t.co/eNlAvarhAy #iteducation #itsec pic.twitter.com/EJc6vW8YUX

— Kaspersky Lab (@kaspersky) December 11, 2015

Come derubare un ingegnere informatico in una notte

Nella primavera del 2015, lo sviluppatore di software Partap Davis ha perso 3.000$. Durante la notte, in poche ore, un hacker sconosciuto ha avuto accesso alle sue due email, al numero di telefono e all’account di Twitter. Il delinquente ha abilmente aggirato il sistema di autenticazione a due fattori e ha svuotato i portafogli Bitcoin di Partap. Come potete immaginare, per Davis è stata una mattinata davvero spiacevole.

Vale la pena notare che Patrap è un utente di Internet piuttosto esperto: sceglie sempre password affidabili e non clicca mai su link dannosi. La sua email è protetta con il sistema di autenticazione a due fattori di Google, per cui quando accede da un altro computer, deve digitare i sei numeri che sono inviati al suo cellulare.

Anatomy of a hack: a step-by-step account of an overnight digital heist http://t.co/6M0OpMIQ7G pic.twitter.com/GpDdirnbZo

— The Verge (@verge) March 4, 2015

Davis teneva i suoi risparmi in tre portafogli Bitcoin che erano protetti da un altro servizio di autenticazione a due fattori, fornito dalla app mobile Authy. Sebbene Davis usasse tutte queste ragionevoli misure di sicurezza, non l’hanno protetto dall’attacco mirato. Dopo l’incidente Davis si è molto arrabbiato e ha impiegato diverse settimane per trovare il colpevole. Si è anche messo in contatto e ha assunto giornalisti di The Verge per questa ricerca. Tutti insieme sono riusciti a scoprire come è stato eseguito l’attacco.

Come email principale, Davis usava l’indirizzo Patrap@mail.com. Tutta la posta veniva inoltrata a un indirizzo Gmail dal nome più difficile da ricordare (poiché Patrap@gmail.com era già stato preso).

Per diversi mesi, chiunque ne avesse voglia poteva comprare uno speciale script su Hackforum che permetteva al proprietario di prendere di mira una debolezza nella pagina di reimpostazione della password di Mail.com. A quanto pare, questo script era usato per bypassare l’autenticazione a due fattori e cambiare la password di Davis.

Unfortunately two-factor authentication can't save you from #banking Trojans https://t.co/dEKfOWPaXo #mobile pic.twitter.com/hRP7WnTNmS

— Kaspersky Lab (@kaspersky) March 11, 2016

Dopo, l’hacker ha richiesto una nuova password per l’account AT&T di Davis e quindi ha chiesto al servizio clienti di inoltrare le chiamate in entrate a un numero di Long Beach.

Il servizio assistenza ha ricevuto l’email di conferma e ha acconsentito a cedere al delinquente il controllo sulle telefonate. Con uno strumento così potente in mano, non è stato così difficile aggirare l’autenticazione a due fattori di Google e accedere all’account Gmail di Davis.

Poiché gli SMS erano ancora inviati al vecchio numero di Davis, l’hacker usava la funzione di accessibilità di Google per le persone con problemi di vista. Offriva di leggere ad alta voce il codice di conferma per telefono. Quindi, Gmail era compromessa e tra l’hacker e la sua ricompensa stava solo la app Authy.

What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security

— Kaspersky Lab (@kaspersky) June 9, 2014

Per superare l’ostacolo, al criminale bastava resettare l’app sul suo telefono utilizzando un indirizzo mail.com e un nuovo codice di conferma, inviato di nuovo tramite chiamata vocale. Quando ogni misura di sicurezza era letteralmente nelle sue mani, l’hacker cambiava le password dai portafogli Bitcoin di Davis, usando Authy e l’indirizzo mail.com, e trasferiva tutto il denaro.

Il denaro sugli altri due account è rimasto intatto. Uno dei due servizi, semplicemente non permette di prelevare fondi per 48 ore dopo la reimpostazione della password. L’altro ha chiesto di fornire una scansione della patente di Davis, su cui l’hacker non poteva mettere le mani.

Il trolling infame che rovina vite reali

Come ha scritto la rivista Fusion nell’ottobre del 2015, la distruzione della vita familiare della famiglia Strater è cominciata con una pizza. Diversi anni prima, tutti i bar e i ristoranti della zona riempivano il loro cortile di pizza, torte e altro cibo di ogni tipo. Paul e Amy Strater dovevano scusarsi e rifiutare l’ordine.

Poco dopo sono arrivati i mazzi di fiori, accompagnati da grandi quantità di sabbia e ghiaia, carri attrezzi e altri beni e servizi non richiesti. Questi risultarono essere solo la punta dell’iceberg perché gli anni seguenti sono stati un vero incubo.

How the Strater family endured 3 years of online harassment, hacked accounts, and swatting https://t.co/cL32Fn4bh2 https://t.co/WFKMxN5bHt

— Techmeme (@Techmeme) October 25, 2015

Paul Strater, un ingegnere del suono senior presso un’emittente TV locale, e sua moglie Amy Strater, un’ex amministratrice ospedaliera, erano vittime di un hacker sconosciuto o un gruppo di hacker che non andava d’accordo con il loro figlio Blair. Le autorità hanno ricevuto allarmi bomba firmati con il loro nome. Gli hacker usavano l’account di Amy per pubblicare un piano d’attacco alla scuola elementare. La lettera di accompagnamento riportava l’intestazione “Farò saltare la vostra scuola”. La polizia divenne un ospite frequente a casa loro, il che non migliorò le loro relazioni con i vicini che si chiedevano che diamine stesse succedendo.

I criminali erano anche riusciti a compromettere l’account ufficiale di Tesla Motors e hanno postato un messaggio, che incoraggiava i fan a chiamare gli Strater e ricevere una delle 80 mila auto Tesla in palio. Quello fu un “weekend al telefono” per gli Strater, perché Amy e Blair hanno ricevuto fino a cinque chiamate al minuto dai fan di Tesla, che volevano ottenere un’auto in “promozione”. Un uomo è anche andato a casa degli Strater e ha preteso che i proprietari aprissero la porta del loro garage perché sospettava che la sua auto in regalo fosse nascosta lì dietro.

Again, There is no free car, I did not hack Elon Musk or Tesla's Twitter account. A Finnish child is having fun at your (and my) expense.

— r000t (@rootworx) April 25, 2015

Paul ha tentato di fermare l’assedio: ha cambiato le password di tutti i suoi account e ha dato istruzioni ai manager dei ristoranti della zona affinché non recapitassero nulla al loro indirizzo a meno che non fosse pagato in anticipo. Ha anche contattato il Dipartimento di Polizia di Oswego e gli ha chiesto di chiamarli prima di mandare i rinforzi, per verificare che l’emergenza fosse reale. A un certo punto, durante tutti questi problemi, il matrimonio di Paul e Amy è andato in pezzi.

Gli attacchi non si sono fermati. Gli account sui social di Amy sono stati violati e usati per pubblicare una serie di affermazioni razziste. Poco dopo ha perso il lavoro. È stata licenziata nonostante avesse proattivamente detto ai suoi capi che qualcuno stesse continuamente trasformando la sua vita e quella della sua famiglia in un incubo.

Col tempo Amy ha ripreso il controllo del suo LinkedIn, mentre Twitter era ancora danneggiato (a ottobre 2015). Per questo precedente, Amy non è riuscita a trovare un lavoro nel suo campo. Ha dovuto lavorare come autista da Uber per far quadrare i conti, ma non era abbastanza e ha rischiato di perdere la sua casa.

“Quando cercavi il suo nome su Google, vedevi tutti i suoi articoli accademici e le cose positive che aveva fatto”, ha detto suo figlio Blair al Fusion. “Adesso è: hacker, hacker, hacker.”

Alcune persone danno la colpa a Blair Strater, che era parte di vari circoli di cybercriminali e non faceva amicizia in nessuno, o diversi di essi. In ogni caso, nel caso della famiglia Strater i genitori pagano per le “colpe” del loro figlio, perché loro non avevano proprio niente a che fare con gli hacker.

OK, è tutto un disastro. C’è qualche modo per proteggersi?

Queste vicende mostrano come sia quasi impossibile proteggersi dall’attacco mirato. Quindi, se c’è qualcosa che volete nascondere, non fatela arrivare in rete. Per fortuna, la maggior parte delle persone non interessa ai delinquenti qualificati. A me e a voi serve protezione da quei criminali che puntano alla massa. Ci sono un sacco di questi “esperti” su Internet, e per fortuna, usano metodi molto più semplici.

Vi raccomandiamo, quindi, di fare quanto segue:

• Conoscete perché il phishing funziona e come evitarlo.
• Impostate per tutti gli account password sicure ed esclusive.
• Leggete come usare Internet in modo sicuro.
• Non usate il Wi-Fi pubblico per operazioni importanti e scoprite cosa è giusto e cosa è sbagliato fare online in relazione a banca online e acquisti sul Web.
• Installate un’adeguata soluzione di sicurezza su tutti i vostri dispositivi, compresi i vostri smartphone e tablet, che necessitano di altrettanta protezione. Ovviamente, non possiamo fare a meno di raccomandarvi la nostra pluripremiata soluzione, Kaspersky Internet Security — Multi Device.