Archivi tag: 2fa

Nella “Cantinetta” di Andrea Galeazzi sul canale Youtube hackerato

Hanno rubato e fatto chiudere l’account Google e quindi anche il canale Youtube di Andrea Galeazzi, con quasi 1.5 milioni di follower, tramite social engineering con phishing mirato e finta autenticazione OAuth, nonostante avesse 2FA attivo e fosse consapevole dei rischi degli attacchi mirati agli youtuber.

Paolo Dal Checco con Andrea Galeazzi su Youtube per parlare del canale e account Google hackerato

Andrea Galeazzi racconta in un video – pubblicato sul canale appena riaperto – come è avvenuto l’attacco da parte degli hacker al suo canale, come lo hanno tagliato fuori dal suo account Google nonostante avesse 2FA attivo e come ha reagito per recuperare l’accesso.

Nella famosa “Cantinetta”, tra smartphone e gadget affascinanti, con Andrea ci sono anche io per analizzare gli aspetti tecnici e dare alcuni consigli su come proteggersi da questi hack e come rimediare se il danno è già stato fatto.

Per chi fosse curioso di capire come è stato hackerato Andrea Galeazzi, la compromissione ha avuto origine da un attacco di Spear Phishing (phishing mirato e personalizzato) estremamente sofisticato.

A differenza delle campagne generiche, gli attaccanti hanno confezionato un’esca basata su una fase di reconnaissance precisa, sfruttando le lamentele reali degli utenti sulla qualità audio dei video recenti per proporre una falsa collaborazione con un brand di microfoni noto alla vittima.

Paolo Dal Checco nella Cantinetta di Andrea Galeazzi - Video Youtube sull'hack dell'account Google

L’attuale disponibilità di strumenti basati sull’Intelligenza Artificiale permette ormai di automatizzare la creazione di scenari così contestualizzati, analizzando profili e commenti pubblici per ingannare la vittima con una precisione che un tempo avrebbe richiesto un operatore umano dedicato,.

Sotto il profilo tecnico, il vettore d’attacco non ha mirato alla sottrazione diretta della password, ma allo sfruttamento del protocollo OAuth o meglio, di ciò che pareva essere un’autenticazione OAuth.

Andrea Galeazzi, rassicurato dalla coerenza del contesto e colto in un momento di stanchezza, ha autorizzato l’accesso tramite una maschera di autenticazione che pareva legittima, concedendo di fatto l’accesso ai criminali che hanno proceduto in pochi secondi al hijacking del canale.

Quello che colpisce maggiormente dal punto di vista della Incident Response è la velocità della “Kill Chain”: in meno di venti secondi dall’autorizzazione, gli attaccanti hanno modificato le credenziali, revocato le sessioni attive e, mossa cruciale per la persistenza, impostato un token fisico (chiave hardware FIDO/U2F) come unico metodo di autenticazione, tagliando fuori il legittimo proprietario e rendendo inefficaci i metodi di recupero tradizionali.

Nel video Youtube girato in Cantinetta con Andrea Galeazzi abbiamo evidenziato la debolezza intrinseca del 2FA via SMS, vulnerabile a malware e SIM Swapping, a favore di metodi più robusti come le Passkey o meglio ancora le chiavi di sicurezza hardware come le note YubiKey.

Andrea Galeazzi racconta nella Cantinetta dell'hack del canale Youtube e dell'account Google

Per i profili ad alto rischio, emerge l’importanza del Google Advanced Protection Program, un’impostazione di sicurezza che limita drasticamente l’accesso alle API di terze parti e impone finestre temporali di verifica estese per operazioni critiche come il Google Takeout, mitigando il rischio di esfiltrazione immediata dei dati,.

Dal punto di vista della Digital Forensics, nel video Youtube di Andrea Galeazzi sull’hack al canale Youtube emerge l’importanza di reperire artefatti specifici che provino la titolarità storica dell’account: non basta conoscere l’handle pubblico: è necessario recuperare l’ID univoco del canale, i log storici dei dispositivi che hanno un “trust” per il provider e i dettagli dei metodi di pagamento pregressi.

Si parla poi del concetto di isolamento dei dati (o compartimentazione): abbandonare l’idea di un unico account “monolitico” per tutti i servizi e separare nettamente le identità digitali lavorative, personali e finanziarie, riducendo così il raggio d’azione di un’eventuale compromissione anche con indirizzi email diversi e persino più numeri di cellulare, così da separare attività private e lavorative/bancarie/riservate.

Per fortuna il peggio è passato ma non bisogna mai rilassarsi troppo perché può capitare a chiunque, esperti e professionisti, nessuno escluso, basta trovare il momento o la chiave giusta e chiunque può cadere vittima di hacking o phishing.

Il video di Andrea Galeazzi con Paolo Dal Checco che parlano del furto e hack del canale Youtube e account Google è visionabile al seguente link: https://www.youtube.com/watch?v=rMwLbLAMKg4

Per l’Espresso sulle truffe bancarie dei bonifici tramite SIM Swap

Sto avendo ottimi riscontri circa l’articolo uscito sull’ultimo numero de l’Espresso dove si parla di SIM Swap con un mio piccolo contributo sulle attività di informatica forense che ho svolto nell’ambito delle frodi sui bonifici.

In particolare, ho parlato di una perizia informatica che è poi servita a far vincere la causa al cliente, che nel pezzo racconta la sua storia, dal tragico inizio alla felice conclusione, che purtroppo ha richiesto tempo, sforzi e il coinvolgimento di avvocato e consulente informatico forense.

Articolo per l'Espresso su truffe bancarie tramite SIM Swap
Frode dei bonifici tramite attacco SIM Swap
Perizia informatica su SIM Swap e attacchi ai conti bancari - Articolo per l'Espresso

Il merito va innanzitutto al giornalista Alessandro Longo per l’ottima sintesi e chiarezza ma anche all’Avv. Francesco Di Maio, l’Avv. Fulvio Sarzana e alla Dott.ssa Rita Camporeale – Dirigente Responsabile Servizio Sistemi di Pagamento at Associazione Bancaria Italiana – che con il loro intervento hanno aggiunto al pezzo sulla frode basata sulla clonazione della SIM card elementi giuridici e normativi di rilievo.

Sono infatti stati riportati nell’articolo di Alessandro Longo analisi ed esempi di sentenze di rilievo per permettere al lettore di soppesare in modo più consapevole le responsabilità dell’utente e della banca in questi complessi casi di truffa informatica dei bonifici – spesso legata a phishing e trojan – che porta a svuotare il conto bancario delle vittime.

Sempre più spesso, in questi casi, viene richiesta allo Studio una perizia sulla truffa informatica dei bonifici tramite sim swap, con la finalità di ricostruire e delineare le responsabilità della banca (o del correntista) in modo da poter valutare lo storno e la restituzione dei fondi alla vittima oppure al contrario l’estraneità della banca dalla vicenda. Questo tipo di perizie tecniche prevedono analisi complesse di tutto il materiale che descrive l’evento, dai tracciati bancari agli indirizzi IP, dai tabulati telefonici alle richieste di cambio/sostituzione SIM o portabilità, dalle misure di sicurezza (2FA, token, App, rilevamento anomalie, etc…) della banca o compliance PSD2 all’eventuale colpa grave da parte del correntista, che possono far spostare l’asticella della responsabilità da una parte o dall’altra.

Account Instagram, Facebook e Whatsapp hackerati: nuovo servizio per Le Iene

Continua la collaborazione con Le Iene come consulente tecnico: questa sera è andata in onda la puntata de Le Iene durante la quale Nicolò De Devitiis ha presentato alcuni casi di hackeraggio di account Instagram, Facebook e Whatsapp che hanno portato alla perdita dell’account da parte dei legittimi proprietari, che spesso lo utilizzavano anche per attività lavorativa, oltre che per diletto.

Il mio piccolo contributo al servizio come consulente informatico de Le Iene sugli account Instagram, Facebook e Whatsapp hackerati è stato quello d’illustrare tecnicamente come vengono attaccati i profili e come ci si può difendere. Il problema dell’hacking di account e conseguente hijack, cioè appropriazione da parte di terzi e dirottamento, è sempre più frequente e spesso colpisce negozianti, aziende, VIP che utilizzando il Facebook Business Manager gestiscono le proprie pagine o il proprio advertising e di colpo vengono tagliati fuori dal proprio account, spesso trovandone un altro al suo posto, con conseguente perdita anche delle pagine gestite tramite Facebook Business Manager o dei profili Instagram. Lo stesso avviene anche per gli account Whatsapp, che ultimamente subiscono furti e attacchi da parte di soggetti che inviano il codice a sei cifre di accesso a utenti ignari che poi lo comunicano perdendo così il proprio profilo, che rimane a volte fino a sette giorni in uso agli attaccanti.

Paolo Dal Checco a Le Iene su Hack di Profili Instagram e Facebook

In diversi casi, a seguito del furto e hacking dei profili Facebook e Instagram sono arrivate alle vittime richieste di riscatto in bitcoin per poter riavere accesso al proprio account. Nel servizio dove ho svolto attività di consulente informatico de Le Iene Nicolò De Devitiis ha provato a contattare uno dei ricattatori che, una volta rubato un profilo Instagram, chiedeva il riscatto di 300 dollari per restituire il maltolto.

In sostanza, esistono diverse maniere di hackerare un profilo Facebook o Instagram, in genere quella più semplice è tramite riutilizzo di password, ma anche il furto di cookies che spesso avviene tramite pagine di phishing o App che simulano l’accesso con identficazione tramite Facebook ma in realtà procedono con la sottrazione dei token di autenticazione.

Le Iene - Hackerati Profili Instagram, Facebook e Whatsapp

Una delle possibili contromisure è quella d’impostare un secondo fattore di autenticazione – detto anche 2FA – che permetta agli utenti di proteggersi anche nel caso in cui la loro password venisse resa nota agli attaccanti tramite phishing, brute force oppure riutilizzo di credenziali.

Ovviamente l’autenticazione a due fattori non è la panacea ma in diversi casi un semplice messaggio SMS sul cellulare, una App di autenticazione o una chiavetta Yubikey possono proteggere dal furto dell’account Instagram, Facebook ma anche Linkedin, Twitter o di posta elettronica.

L’amico Stefano Fratepietro ha poi spiegato come sia difficile recuperare un account Instagram o Facebook rubato e hackerato, perché ci sono così tante richieste di ripristino di account hackerati che Facebook e Instagram – essendo servizi gratuiti – non riescono a stare dietro a tutti. La soluzione quindi è cercare di evitare di farsi sottrarre i profili Instagram e Facebook proteggendoli ad esempio con autenticazione a due fattori, che però essendo facoltativa e non obbligatoria spesso non viene utilizzata.