Archivi tag: nicolò de devitiis

Account Instagram, Facebook e Whatsapp hackerati: nuovo servizio per Le Iene

Questa sera è andata in onda la puntata de Le Iene durante la quale Nicolò De Devitiis ha presentato alcuni casi di hackeraggio di account Instagram, Facebook e Whatsapp che hanno portato alla perdita dell’account da parte de legittimi proprietari, che spesso lo utilizzavano anche per attività lavorativa, oltre che per diletto.

Il mio piccolo contributo al servizio de Le Iene sugli account Instagram, Facebook e Whatsapp hackerati è stato quello d’illustrare tecnicamente come vengono attaccati i profili e come ci si può difendere. Il problema dell’hacking di account e conseguente hijack, cioè appropriazione da parte di terzi e dirottamento, è sempre più frequente e spesso colpisce negozianti, aziende, VIP che utilizzando il Facebook Business Manager gestiscono le proprie pagine o il proprio advertising e di colpo vengono tagliati fuori dal proprio account, spesso trovandone un altro al suo posto, con conseguente perdita anche delle pagine gestite tramite Facebook Business Manager o dei profili Instagram. Lo stesso avviene anche per gli account Whatsapp, che ultimamente subiscono furti e attacchi da parte di soggetti che inviano il codice a sei cifre di accesso a utenti ignari che poi lo comunicano perdendo così il proprio profilo, che rimane a volte fino a sette giorni in uso agli attaccanti.

Paolo Dal Checco a Le Iene su Hack di Profili Instagram e Facebook

In diversi casi, a seguito del furto e hacking dei profili Facebook e Instagram sono arrivate alle vittime richieste di riscatto in bitcoin per poter riavere accesso al proprio account. Nicolò De Devitiis ha provato a contattare uno dei ricattatori che, una volta rubato un profilo Instagram, chiedeva il riscatto di 300 dollari per restituire il maltolto.

In sostanza, esistono diverse maniere di hackerare un profilo Facebook o Instagram, in genere quella più semplice è tramite riutilizzo di password, ma anche il furto di cookies che spesso avviene tramite pagine di phishing o App che simulano l’accesso con identficazione tramite Facebook ma in realtà procedono con la sottrazione dei token di autenticazione.

Le Iene - Hackerati Profili Instagram, Facebook e Whatsapp

Una delle possibili contromisure è quella d’impostare un secondo fattore di autenticazione – detto anche 2FA – che permetta agli utenti di proteggersi anche nel caso in cui la loro password venisse resa nota agli attaccanti tramite phishing, brute force oppure riutilizzo di credenziali.

Ovviamente l’autenticazione a due fattori non è la panacea ma in diversi casi un semplice messaggio SMS sul cellulare, una App di autenticazione o una chiavetta Yubikey possono proteggere dal furto dell’account Instagram, Facebook ma anche Linkedin, Twitter o di posta elettronica.

L’amico Stefano Fratepietro ha poi spiegato come sia difficile recuperare un account Instagram o Facebook rubato e hackerato, perché ci sono così tante richieste di ripristino di account hackerati che Facebook e Instagram – essendo servizi gratuiti – non riescono a stare dietro a tutti. La soluzione quindi è cercare di evitare di farsi sottrarre i profili Instagram e Facebook proteggendoli ad esempio con autenticazione a due fattori, che però essendo facoltativa e non obbligatoria spesso non viene utilizzata.

Con Le Iene su Assistenti Vocali e Privacy

Martedì è andato in onda un nuovo servizio TV de Le Iene dove ho dato il mio piccolo contributo per illustrare alcune problematiche di sicurezza degli assistenti vocali e dei sistemi di comando tramite voce delle App su smartphone e su piattaforme come Amazon con Alexa, Apple con Siri o Google con Home e Assistant.

Nicolò De Devitiis e Marco Fubini ci mostrano nel servizio de Le Iene, con filmati e interviste, come ormai gli assistenti vocali possono gestire buona parte della nostra vita, in casa ma anche sul nostro Smartphone. Possono indirizzarci verso acquisti legati alla piattaforma che stiamo utilizzando e guidarci nelle scelte in base, ovviamente, a criteri di mercato che portano a prediligere ciò che per il produttore del dispositivo è più conveniente. Questo sia che si tratti di Alexa con Amazon, sia degli assistenti vocali di Google e Apple.

Le Iene - Privacy di Alexa e Amazon

Nel servizio “Assistenti vocali e privacy: siamo certi di essere al sicuro?” de Le Iene si parla anche di sicurezza e privacy, per il fatto che senza un adeguato controllo, si corre il rischio che le App su smartphone e sugli assistenti vocali “ascoltino” anche quando non devono, riuscendo quindi a rilevare quando siamo in casa o cosa stiamo dicendo e facendo.

Chiunque può verificare, ad esempio, ciò che Google ha tracciato accedendo alla pagina My Activity e osservando come ogni ricerca, ogni App utilizzata, ogni dispositivo utilizzato viene quotidianamente tracciato e archiviato. Filtrando poi per “Assistente” e “Voce e Audio” è possibile ottenere l’elenco delle registrazioni audio fatte dagli Assistenti Google e dalle App completo di file sonoro da asoltare e persino traduzione del testo che è stato pronunciato.

Paolo Dal Checco a Le Iene - Privacy e Sicurezza degli Assitenti Vocali

L’aspetto rilevante è che in diversi casi le registrazioni riguardano momenti nei quali la dettatura non era stata richiesta, l’assistente cioè si è autonomamente attivato e ha ascoltato, registrato e trascritto. Nulla di grave, i file audio si possono rimuovere così le trascrizioni, rimane però il fatto che spesso l’utente non è consapevole delle attività automatiche di questi assistenti – su smartphone o assistenti vocali come Home o Alexa – che possono “ascoltare” e registrare anche quando l’utente non se lo aspetta, tranne ovviamente quando sono stati disabilitati.

Altri aspetti da tenere in considerazione oltre alla sicurezza sono, ad esempio, il tracciamento dello storico dei movimenti, che Google memorizza nella sua Location History dove troviamo giorno per giorno le posizioni ricavate tramite GPS, WiFi e celle telefoniche da Google per il tracciamento dei nostri movimenti. Ovviamente questa funzionalità deve essere abilitata ma capita molto spesso che gli utenti la ritrovino operativa senza averla esplicitamente attivata: è sufficiente, tra l’altro, visitare il link riportato qui sopra per verificarne l’operatività sul proprio account Google.

In ambito di perizie informatiche ove vi sia necessità di ricostruire le posizioni di un soggetto nel tempo, può rivelarsi strategica questa funzionalità, che ovviamente richiede l’utilizzo di uno smartphone da parte del soggetto ma che molto spessi si dimostra essere attiva e piuttosto precisa.

Con Le Iene sui Motori di Ricerca

Continua la collaborazione con la trasmissione TV Le Iene di Mediaset per un nuovo servizio sulla tecnologia, nel quale Nicolò De Devitiis mostra le differenze tra i vari motori di ricerca, in termini di profilazione, mostrando alcune alternative e soluzioni da adottare per chi vuole capire meglio quali siti stanno profilando a fini pubblicitari e a quali dati sono in grado di accedere.

Marco Montemagno, intervistato da Nicolò, illustra le basi commerciali che sottendono alla profilazione di Google, Bing e i vari motori di ricerca che fanno della pubblicità mirata il loro business, presentando anche il concetto di “filter bubble” che fa sì che ognuno abbia una visione “personalizzata” dei risultati di ricerca, legata all’IP da cui sta navigando, alla lingua, al browser, al dispositivo (smartphone, PC, tablet, etc…) e persino alla marca del proprio notebook o cellulare.

Il mio intervento invece verte sull’analisi dei dati che i motori di ricerca possiedono di chi li utilizza e di come questi dati vengono incrociati in modo da produrre un profilo utile per chi fa advertising al fine di profilare meglio le proprie pubblicità. Occupandomi da anni di Perizie su Google, Bing, SEO e motori di ricerca e ma anche di perizie forensi su siti web, indicizzazione, Google Ads (un tempo AdWords) e Google Adsense, ho avuto modo di approfondire i princìpi su cui si basano le tecnologie di tracciamento. Nel servizio TV per Le Iene ho accennato, quindi, a come i cookies sono uno degli strumenti principali (seppur non l’unico) con il quale i motori di ricerca, i siti e i social network come Facebook, Twitter o Linkedin riescono a riconoscere l’utente seguendolo nel suo percorso di navigazione per proporgli pubblicità sempre più attinenti e mirate.

Le Iene – Motori di Ricerca

Nel servizio TV de Le Iene Nicolò mostra alcuni motori di ricerca alternativi a Google e Bing, come Ecosia e Qwant, che promettono di non profilare l’utente e, nel caso di Ecosia, di destinare parte dei proventi ottenuti dal sito al ripopolamento degli alberi. Ovviamente la scelta spetta all’utente, i servizi offerti da motori di ricerca come Google e Bing sono spesso incomparabili a quelli dei concorrenti e la profilazione – se fatta correttamente – non fa altro che personalizzare maggiormente le pubblicità. Ci sono però soggetti che preferiscono sapere di non essere “seguiti” durante la navigazione o nelle loro attività su smartphone o PC, ai quali le alternative al tradizionale BigG possono essere più congeniali nonostante magari la qualità dei risultati sia inferiore.

Per concludere, ho mostrato come ognuno di noi può sapere ciò che i vari siti, servizi e motori di ricerca conoscono del nostro profilo, semplicemente sfruttando ciò che il GDPR ha imposto alle società: la portabilità dei dati. Funzioni come “Google Takeout” permettono di esportare da Google tutti i nostri dati e visionarli in dettaglio, allo stesso modo in cui la funzione di esportazione del profilo di Facebook, Twitter, Instagram, Linkedin e altri servizi ci permette di ottenere una copia dei nostri dati e, volendo, di eliminarli.

Servizio TV sulla truffa delle ping calls con Le Iene

Domenica è andato in onda su Italia Uno il servizio delle Iene di Nicolò De Devitiis e Marco Fubini sulle Ping Calls, con il mio piccolo contributo volto a spiegare tecnicamente come funziona questa truffa delle telefonate che svuotano il credito e come difendersi.

Le Iene - Ping Calls

Le ping calls sono brevi telefonate che riceviamo sul nostro cellulare da numeri stranieri (Tunisia con prefisso +216, Moldavia con prefisso +373, Regno Unito con prefisso +44, etc…) alle quali non facciamo in tempo a rispondere. Se richiamiamo, incorriamo in tariffe di rilievo (anche alcuni euro al secondo) perché le numerazioni sono registrate presso servizi di IPRN (International Premium Rate Numbers) con costi notevolmente più alti di quelli di una normale telefonata estera.

NicolÃò De Devitiis e Paolo Dal Checco - Ping Calls per Le Iene

Nel servizio, Nicolò De Devitiis de Le Iene e Paolo Dal Checco mostrano come, chiamando uno dei numeri da cui riceviamo telefonate, viene prosciugato il credito del telefono anche di diversi euro al minuto. La truffa delle Ping Calls è nota anche con i nomi di “one ring call”, “one ring phone scam”, “wangiri fraud”, “one ring and cut”, “wangiri scam”, “missed call fraud” e identifica sempre il meccanismo della telefonata breve, o squillo, finalizzato ai incuriosire il destinatario che richiama, magari preoccupato o solo per curiosità, svuotando il credito telefonico se rimane per molto tempo in ascolto durante la telefonata.

Se si risponde alle telefonate che provengono dalla Tunisia o da paesi esteri non viene scalato il credito telefonico, mentre se si richiama viene applicata la tariffa della numerazione IPRN utilizzata, che può arrivare a diversi euro in pochi secondi anche se dall’altra parte si sente soltanto una musichetta o risponde qualche ignaro destinatario.

Non è raro che vengano richieste perizie o analisi di tabulati telefonici anche da parte delle vittime di questo tipo di truffa, per quanto non siano in realtà necessarie, dato che le modalità e i contorni della truffa delle telefonate con gli squilli interrotti dalla Tunisia o dai paesi esteri sono ormai state chiarite: si deve semplicemente evitare di richiamare il numero che ha chiamato, così da non incorre in tariffazioni ad alto costo.

Le Iene - Truffa con ricatto in bitcoin per video porno su webcam

Con le iene sulla truffa con ricatto in bitcoin per il video della webcam

Le Iene - Truffa con ricatto in bitcoin per video porno su webcamE’ andato in onda su Italia Uno il servizio dove ho fornito il mio piccolo contributo per Le Iene sulla famosa truffa informatica che sta intasando da alcuni mesi le nostre caselle di posta elettronica. Nicolò De Devitiis, con l’autore Marco Fubini, hanno magistralmente descritto nel loro servizio quella che sta diventando la truffa del “Paga o ti faremo vedere a tutti mentre guardi i porno”.

Continua a leggere