Archivi categoria: news

Account Instagram, Facebook e Whatsapp hackerati: nuovo servizio per Le Iene

Continua la collaborazione con Le Iene come consulente tecnico: questa sera è andata in onda la puntata de Le Iene durante la quale Nicolò De Devitiis ha presentato alcuni casi di hackeraggio di account Instagram, Facebook e Whatsapp che hanno portato alla perdita dell’account da parte dei legittimi proprietari, che spesso lo utilizzavano anche per attività lavorativa, oltre che per diletto.

Il mio piccolo contributo al servizio come consulente informatico de Le Iene sugli account Instagram, Facebook e Whatsapp hackerati è stato quello d’illustrare tecnicamente come vengono attaccati i profili e come ci si può difendere. Il problema dell’hacking di account e conseguente hijack, cioè appropriazione da parte di terzi e dirottamento, è sempre più frequente e spesso colpisce negozianti, aziende, VIP che utilizzando il Facebook Business Manager gestiscono le proprie pagine o il proprio advertising e di colpo vengono tagliati fuori dal proprio account, spesso trovandone un altro al suo posto, con conseguente perdita anche delle pagine gestite tramite Facebook Business Manager o dei profili Instagram. Lo stesso avviene anche per gli account Whatsapp, che ultimamente subiscono furti e attacchi da parte di soggetti che inviano il codice a sei cifre di accesso a utenti ignari che poi lo comunicano perdendo così il proprio profilo, che rimane a volte fino a sette giorni in uso agli attaccanti.

Paolo Dal Checco a Le Iene su Hack di Profili Instagram e Facebook

In diversi casi, a seguito del furto e hacking dei profili Facebook e Instagram sono arrivate alle vittime richieste di riscatto in bitcoin per poter riavere accesso al proprio account. Nel servizio dove ho svolto attività di consulente informatico de Le Iene Nicolò De Devitiis ha provato a contattare uno dei ricattatori che, una volta rubato un profilo Instagram, chiedeva il riscatto di 300 dollari per restituire il maltolto.

In sostanza, esistono diverse maniere di hackerare un profilo Facebook o Instagram, in genere quella più semplice è tramite riutilizzo di password, ma anche il furto di cookies che spesso avviene tramite pagine di phishing o App che simulano l’accesso con identficazione tramite Facebook ma in realtà procedono con la sottrazione dei token di autenticazione.

Le Iene - Hackerati Profili Instagram, Facebook e Whatsapp

Una delle possibili contromisure è quella d’impostare un secondo fattore di autenticazione – detto anche 2FA – che permetta agli utenti di proteggersi anche nel caso in cui la loro password venisse resa nota agli attaccanti tramite phishing, brute force oppure riutilizzo di credenziali.

Ovviamente l’autenticazione a due fattori non è la panacea ma in diversi casi un semplice messaggio SMS sul cellulare, una App di autenticazione o una chiavetta Yubikey possono proteggere dal furto dell’account Instagram, Facebook ma anche Linkedin, Twitter o di posta elettronica.

L’amico Stefano Fratepietro ha poi spiegato come sia difficile recuperare un account Instagram o Facebook rubato e hackerato, perché ci sono così tante richieste di ripristino di account hackerati che Facebook e Instagram – essendo servizi gratuiti – non riescono a stare dietro a tutti. La soluzione quindi è cercare di evitare di farsi sottrarre i profili Instagram e Facebook proteggendoli ad esempio con autenticazione a due fattori, che però essendo facoltativa e non obbligatoria spesso non viene utilizzata.

Servizio sulle truffe bancarie con Striscia La Notizia

Oggi è andato in onda il servizio di Max Laudadio per Striscia La Notizia dal titolo “Il raggiro del finto call center Banca Intesa” dove il conduttore intervista diverse vittime di una truffa ben nota al termine della quale i conti correnti vengono svuotati tramite bonifici fraudolenti immessi da criminali che hanno avuto accesso al conto bancario tramite App o web banking.

Questo tipo di truffe è ormai nota alle Forze dell’Ordine ma purtroppo ancora sconosciuta a molti correntisti che, fidandosi delle telefonate o degli SMS apparentemente provenienti dai numeri della banca, comunicano credenziali o accettano d’installare software non verificato sul proprio smartphone, con il risultato che i delinquenti hanno la possibilità, a un certo punto, di disporre bonifici o persino fare ricariche di carte di credito o prelievi di contanti al bancomat.

Paolo Dal Checco a Striscia La Notizia

Durante il servizio per Striscia La Notizia ho dato il mio piccolo contributo con alcune considerazioni tecniche sulle modalità con le quali i truffatori riescono a telefonare alle vittime o inviare SMS fingendosi la loro banca, facendo comparire come mittente il numero di telefono o il nome esatto dell’istituto bancario e traendo così in inganno i correntisti.

Esistono infatti diverse App e servizi online – così come conferma anche Banca Intesa San Paolo in un comunicato ufficiale a Striscia La Notizia – che permettono di fare telefonate o inviare messaggi di testo SMS mascherando il mittente con numeri di telefono o nomi a scelta, agevolando così purtroppo le truffe definite “vishing” (voice phishing) e “smishing” (SMS phishing) basate proprio sul mascheramento del numero o dell’identità del chiamante.

Spiegazione fornita da Intesa San Paolo a Striscia La Notizia delle truffe tramite telefonate o sms fraudolenti.

La truffa delle telefonate e degli SMS provenienti da finti call center colpisce non soltanto Banca Intesa San Paolo e i suoi correntisti, ma anche clienti di altre banche, proprio perché purtroppo chi riceve una telefonata non ha modo di verificare se il numero del chiamante è autentico oppure mascherato tramite uno dei servizi di caller id spoofing.

Per questo motivo, i consigli che vengono proposti da Banca Intesa San Paolo e riportati a Striscia La Notizia sono da seguire alla lettera:

  1. mai fornire codici ricevuti via SMS o telefonata a presunti operatori che chiamano o inviano SMS, con la minaccia di “chiudere il conto” in caso di mancata comunicazione;
  2. mai fornire credenziali del proprio profilo online via telefono o messaggio;
  3. mai inserire nome utente e password in siti ove si è arrivati cliccando su link ricevuti via email, sms o indicati tramite call center;
  4. mai installare App su richiesta di operatori della banca, soprattutto App non presenti all’interno dello store ufficiale.
Consigli di Intesa San Paolo per evitare le truffe

A questi consigli forniti da Banca Intesa San Paolo per rendere consapevoli i propri clienti dei rischi delle telefonate e degli SMS fraudolenti, possiamo aggiungere anche l’indicazione di non cliccare mai su link ricevuti via email o telefono, di chiamare sempre la banca digitando il numero ufficiale (non richiamando il numero da cui si è ricevuta una chiamata o un messaggio di testo), di non fidarsi di chi contatta insistendo sulla comunicazione di dati, codici, cifre, nominativi o altro che possa permettere ai delinquenti di accedere al proprio conto bancario e disporre bonifici, fare versamenti tramite carte di credito o prelevare contanti al posto.nostro.

OSINT sul social network ClubHouse per OsintOps

È uscito ieri un mio pezzo, pubblicato sul blog del team OsintOps, che tratta delle attività di OSINT su ClubHouse e di come sia possibile ricavare informazioni interessanti a partire dai dati divulgati in modo più o meno trasparente dal social network ClubHouse, che sta raggiungendo proprio in questi giorni un picco di utilizzatori in Italia, dopo aver spopolato all’estero già da aprile 2020. Poiché le attività di ricerca online tramite OSINT sono spesso legate alla digital forensics e investigazioni digitali, ho fatto alcuni esperimenti con un’utenza Club House per verificare quali informazioni fosse possibile ricavare tramite tecniche e metodologie di OSINT sulle fonti aperte.

OSINT su ClubHouse App e Social Network

Tramite semplici ricerche online è possibile eseguire attività di OSINT su App e Social Network ClubHouse, a partire dall’interessante proprietà degli inviti, che su ClubHouse non possono essere nascosti e che quindi mostrano in modo perenne i collegamenti tra soggetti basati proprio sulla catena d’inviti. Chi si occupa di ricerche online, informatica forense e giornalismo investigativo può beneficiare di questa rete di contatti che gli utenti disegnano inconsapevolmente nel momento in cui invitano qualcuno su ClubHouse o accettano un invito.

Altra proprietà particolarmente rilevante del social network ClubHouse, che ne permette un’analisi OSINT di buon livello, è il fatto che di ogni utenza telefonica è possibile visionare (fino a quando non si registra sulla piattaforma) il numero di utenti di ClubHouse che la possiedono in rubrica fra i propri contatti.

Nell’articolo pubblicato su OsintOps ho riportato alcune perplessità sull’impossibilità di cancellare manualmente il proprio account e sulla necessità, invece, di dover contattare l’assistenza Clubhouse per la rimozione. Allo stesso modo, alcune questioni sulle modalità con le quali ClubHouse gestisce la rubrica telefonica e i contatti dello smartphone hanno sollevato alcune questioni sulla sua conformità o meno al GDPR, data protection e privacy.

Seminario su OSINT per ForensicNews e StopSecret

Giovedì 28 gennaio 2021 si è tenuta l’ultima giornata del Forensic Virtual Summit organizzato da ForensicNews e StopSecret, durante la quale ho tenuto un’ora e mezza di seminario su OSINT e ricerche online a fini investigativi e forensi. Per quanto il seminario sia stato poco più che una introduzione a un tradizionale corso su OSINT, la lezione è stata una bella occasione per parlare di alcune metodologie di ricerca online e raccontare alcuni aneddoti su alcune situazioni nelle quali mi sono imbattuto negli anni.

Corso OSINT per ForensicNews e StopSecret

L’OSINT – acronimo di “Open Source Intelligence” – è una disciplina che negli ultimi anni sta assumendo sempre più importanza per le implicazioni che riveste in diversi campi, dall’informatica forense alla network security, dalla due diligence alla giornalismo investigativo.

Durante il breve corso su OSINT tenuto per StopSecret e ForensicNews durante Forensic Virtual Summit sono stati presentati alcuni esempi di utilizzo dell’Intelligence sulle Fonti Aperte e descritti in maniera introduttiva alcuni strumenti utili per realizzare ricerche online su siti web, indirizzi di posta elettronica, numeri di cellulare, profili social network.

Attraverso semplici strumenti e servizi è stato mostrato come, utilizzando alcune nozioni di base, è possibile in diverse situazioni ricavare tramite OSINT informazioni di rilievo, verificarle, classificarle e ottenere un risultato utilizzabile per fini privati, aziendali, giudiziari o investigativi. Nel corso della redazione di perizie informatiche si rende spesso necessario validare le risultanze ottenute tramite ricerche OSINT e analisi delle fonti aperte, per questo motivo si ritiene che una base di conoscenza su OSINT, anche costruita partendo da corsi, seminari, incontri o lezioni su OSINT, possa essere un elemento strategico per il digital forenser.

Controllo a distanza dei lavoratori, Privacy e Tutele

Giovedì 24 settembre si terrà, in aula virtuale, l’evento in aula virtuale dal titolo “I controlli a distanza sull’attività dei lavoratori tra privacy, tutele lavoristiche ed evoluzione tecnologica“, organizzato dalla società Paradigma Srl di Torino.

Durante l’evento, che si terrà totalmente da remoto, si parlerà di evoluzione giurisprudenziale, orientamenti privacy e INL, protezione dei dati e del know how aziendale, implementazione delle policy e dei regolamenti aziendali, smart working e lavoro flessibile, raccolta delle prove e strumenti di forensic investigation, corretta impostazione dei procedimenti disciplinari.

Controlli a distanza sui lavoratori tra privacy tutele lavoristiche ed evoluzione tecnologica - Paradigma

L’evento sui controlli a distanza sull’attività dei lavoratori, in periodo di Covid-19, smart working e telelavoro, è particolarmente in tema perché copre tematiche attuali che le aziende, in questi mesi, si sono poste, trovandosi in un contesto nuovo e prettamente digitale. Per questo motivo, questioni come i limiti ai controlli, le implicazioni sulla privacy, gli orientamenti giurisprudenziali, l’implementazione e l’aggiornamento delle policy e dei regolamenti aziendali, il procedimento disciplinare e il licenziamento e infine la raccolta delle prove digitali dei comportamenti illeciti dei lavoratori e gli strumenti d’informatica forense per la corretta acquisizione forense delle prove e analisi tecnica delle evidenze informatiche nei casi di controlli informatici sul dipendente infedele o reati commessi dai dipendenti.

Il programma della conferenza organizzato dalla società Paradigma di Torino sui controlli dei lavoratori è il seguente:

I limiti ai controlli a distanza sull’attività dei lavoratori, le modalità di effettuazione del monitoraggio “lecito” e i “controlli difensivi”
I limiti del controllo “lecito” alla luce delle disposizioni dell’art. 4 Statuto Lavoratori e della più recente evoluzione giurisprudenziale
Il quadro normativo di riferimento dopo l’entrata in vigore del Regolamento UE 2016/679 (GDPR) e della normativa nazionale di adeguamento del Codice Privacy
Le implicazioni in materia di privacy derivanti dall’uso degli strumenti di lavoro: il concetto di “strumento di lavoro” nella norma e nella lettura del Garante Privacy
La legittimità dei “controlli difensivi” alla luce del nuovo quadro normativo e giurisprudenziale
Prof. Avv. Arturo Maresca
Sapienza Università di Roma

Le implicazioni in materia di controlli e di privacy nel telelavoro, nel “remote working” e nello “smart working”
Il progressivo superamento dei limiti del controllo derivanti dall’uso del badge e di altri strumenti di registrazione di presenze e accessi dei lavoratori
Il progresso tecnologico e le nuove forme di rilevazione della “presenza”
Il controllo a distanza e la tutela della privacy dei lavoratori nel telelavoro e nelle nuove forme di remote working/smart working
Il controllo sulla produttività del lavoratore in smart working
Le problematiche connesse agli strumenti utilizzati, alla sicurezza e alla protezione dei dati e del know how aziendale
L’uso autorizzato dei propri dispositivi da parte del dipendente (BYOD)
Gli adempimenti privacy: regolamento interno e informativa ai dipendenti
La regolamentazione del “diritto alla disconnessione”
Avv. Alessandro Paone
LabLaw Studio Legale

Analisi dei recenti orientamenti giurisprudenziali e delle indicazioni del Garante privacy e dell’INL con riferimento alla principale casistica dei “controlli a distanza”
L’utilizzo di internet, posta elettronica e social network per fini estranei all’attività lavorativa: le Linee Guida del Garante Privacy
Il ricorso a videocamere e sistemi di videosorveglianza
Il ricorso a strumenti di rilevazione delle attività (strumenti di geolocalizzazione GPS, App, ecc.)
Il ricorso a strumenti di rilevazione delle presenze e dei movimenti all’interno dell’azienda (badge, impronta digitale e biometria facciale)
Avv. Annalisa Reale
Chiomenti

L’implementazione e l’aggiornamento delle policy e dei regolamenti aziendali sull’utilizzo degli “strumenti di lavoro” e sui social network
La necessità della policy aziendale
Il contenuto degli accordi finalizzati a consentire un utilizzo promiscuo, personale e professionale, delle dotazioni aziendali
L’informativa ai dipendenti sul corretto utilizzo degli strumenti di lavoro
La tensione tra rapporto di lavoro e vita privata: i limiti alla disciplina dell’utilizzo dei social network da parte dei dipendenti
Il fil rouge tra l’art. 4 (divieto di controlli a distanza) e l’art. 8 dello Statuto dei Lavoratori (divieto di di indagine sulle opinioni): i dati raccolti occasionalmente sui social e il loro possibile utilizzo nei confronti dei lavoratori
Schemi applicativi di policy e regolamenti aziendali
Avv. Enrico Barraco
Studio Legale Barraco

La raccolta delle prove dei comportamenti illeciti dei lavoratori e gli strumenti di forensic investigation
Le attività illecite condotte dai lavoratori per mezzo di strumenti informatici
Le tecniche investigative per l’accertamento di comportamenti illeciti
L’perizia forense dei dispositivi informatici fissi, mobili e “in cloud” per la prova dei comportamenti illeciti dei lavoratori e/o per l’individuazione di eventuali soggetti terzi responsabili di tali comportamenti
Le criticità delle “ispezioni forensi” e le buone prassi per la loro corretta gestione
Le criticità dell’analisi forense e le buone prassi per la loro corretta gestione
Il problema della “prova atipica”
I limiti dell’utilizzabilità in giudizio di sms, mms e conversazioni Whatsapp
Dott. Paolo Dal Checco
Consulente Informatico Forense

Il procedimento disciplinare e il licenziamento: disciplina e contenuto delle lettere
L’utilizzo degli strumenti di lavoro e le possibili implicazioni in materia disciplinare
La rilevazione delle informazioni necessarie all’esercizio del potere disciplinare alla luce degli orientamenti del Garante Privacy e della giurisprudenza
L’esercizio del potere disciplinare: modalità e limiti
Tecniche di redazione delle lettere di contestazione e di licenziamento
Il licenziamento in caso di utilizzo dei social network: implicazioni e limiti alla luce della più recente giurisprudenza
Avv. Renato Scorcelli
Scorcelli & Partners Studio Legale

Per scaricare la brochure pdf del corso sui controlli a distanza sull’attività dei lavoratori è disponibile al seguente link.

Programma in PDF della conferenza ParadigmaDownload