Archivio del Tag ‘browser’
-
Ti svuoto il conto, violando l’home banking su smartphone
Il primo pensiero, quando se ne sente parlare, è che a noi non capiterà mai. Eppure, con gli smartphone ormai diventati dei veri e propri terminali bancari, il rischio c’è. E per perdere i risparmi di una vita possono bastare poche ore. Lo scrive Stefano Galeotti sul “Fatto Quotidiano”, denunciando lo svuotamento improvviso dei conti correnti. Parla una delle vittime: «I soldi sono spariti tramite quattro bonifici, ordinati con causali fantasiose». E addio denaro: «Abbiamo provato a fare il richiamo delle operazioni, ma non è stato possibile». Il giorno dopo è scattata la denuncia alla polizia postale. Il verdetto: vittime di “sim swap”. È una tipologia di frode informatica articolata in vari passaggi, spiega Marcello La Bella, dirigente della polizia postale della Sicilia Orientale, che nel 2018 ha compiuto la prima operazione in Italia contro questo tipo di truffa, con 13 persone arrestate e un bottino totale di oltre 600.000 euro. «Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking. Poi, utilizzando documenti falsi, si sostituisce la sim card della vittima e, attraverso lo stesso numero telefonico, si ottengono dalla banca le credenziali per operare sul conto corrente online».La pericolosità di questa truffa, aggiunge il “Fatto”, sta nel superamento del secondo fattore di autenticazione, di recente legato al numero di telefono: «Il cellulare viene identificato con la sim, e chi ne entra fisicamente in possesso ha un grande vantaggio», rivela Stefano Zanero, docente di elettronica al Politecnico di Milano ed esperto di cyber-sicurezza: « Il numero di telefono infatti è anche il canale di comunicazione utilizzato dalle banche per notificare i movimenti e per fare eventuali controlli di sicurezza. In questo caso però messaggi e chiamate di verifica arrivano a chi sta commettendo il reato». I guai cominciano con l’assenza di segnale sul telefono. «Da Tim ci rassicurano, dicono che si tratta di un errore nella configurazione», racconta uno dei derubati: «Consigliano di spegnere e riaccendere il telefono, di farlo più volte». Ma è inutile: ormai quel numero è collegato a una sim che sta nelle mani del truffatore. Agli operatori, le vittime raccontano: «Lo stesso giorno abbiamo ricevuto un messaggio che confermava l’avvenuta disattivazione della sim, da noi però mai richiesta». Nel pomeriggio, la Tim conferma: alle 10 del mattino la sim era stata sospesa per furto e smarrimento e poi, in un altro centro, era stato fatto un duplicato della scheda.Le ore trascorse, continua il “Fatto”, hanno permesso a chi ha rubato la sim di utilizzare il numero di telefono per effettuare bonifici, verosimilmente istantanei, e svuotare completamente il conto. Recuperare il maltolto, almeno in parte? Su questa materia regna il caos, e la lentezza della giustizia italiana non aiuta. «Questa truffa informatica – scrive il quotidiano – è strettamente legata alla recente entrata in vigore di una direttiva europea dedicata ai servizi di pagamento digitali, la “Psd2”, Payment Services Directive 2, che ha reso necessario un doppio fattore di autenticazione, in aggiunta a username e password dell’internet banking, legato al contenuto dell’operazione». Per sostituire i vecchi “token” fisici, quasi tutti gli istituti bancari hanno deciso di puntare sull’autenticazione tramite un’applicazione su smartphone. L’introduzione di un passaggio ulteriore ha aumentato il livello di sicurezza complessivo, ma espone a un altro tipo di rischio: «Chi entra in possesso della sim – dice il professor Zanero – ottiene l’accesso a tutte le comunicazioni legate ai pagamenti». Ovvero: «Nel caso di un’operazione sospetta, come un bonifico molto consistente, la banca manda un sms al cliente per verificare che tutto sia regolare. Con l’attacco di sim swap, l’avviso arriva a chi ha rubato la sim. E se l’utente ha già presentato login e password corretti, il secondo fattore e anche il codice contenuto nel messaggio di avviso, è difficile dubitare della sua identità».Insomma, le banche non possono farci granché, se non insistere con gli operatori telefonici per ottenere un cambiamento nelle procedure di duplicazione della sim: «Negli Stati Uniti, dove questa truffa è molto diffusa già da qualche anno, i clienti che si sentono a rischio possono chiedere al proprio operatore di non rilasciare duplicati della sim in centri servizi standard», dice ancora Zanero. «Questo passaggio è scomodo quando capita di perdere per davvero la sim, ma forse è il momento di rivalutarlo vista la crescita di questo tipo di truffe». Il punto di partenza rimane in ogni caso il furto delle credenziali di home banking, che nella grande maggioranza dei casi avviene tramite il cosiddetto phishing: «Il caso classico è una mail che sembra provenire dalla nostra banca. All’interno, con tecniche di inganno differenti, ci viene chiesto di inserire le nostre credenziali, magari tramite il link a un sito che presenta la stessa interfaccia di quello della nostra banca, ma che in realtà è un falso». Inserendo il codice utente e la password, stiamo regalando le chiavi di accesso del nostro conto online. E questo rende pressoché impossibile indurre la banca a restituire il denaro. Mai aprire quei link, ovviamente. Altro consiglio, aggiornare il sistema operativo dei dispositivi cui cui operiamo: «Molti attacchi avvengono tramite l’installazione di malware sul pc, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo».Il primo pensiero, quando se ne sente parlare, è che a noi non capiterà mai. Eppure, con gli smartphone ormai diventati dei veri e propri terminali bancari, il rischio c’è. E per perdere i risparmi di una vita possono bastare poche ore. Lo scrive Stefano Galeotti sul “Fatto Quotidiano”, denunciando lo svuotamento improvviso dei conti correnti. Parla una delle vittime: «I soldi sono spariti tramite quattro bonifici, ordinati con causali fantasiose». E addio denaro: «Abbiamo provato a fare il richiamo delle operazioni, ma non è stato possibile». Il giorno dopo è scattata la denuncia alla polizia postale. Il verdetto: vittime di “sim swap”. È una tipologia di frode informatica articolata in vari passaggi, spiega Marcello La Bella, dirigente della polizia postale della Sicilia Orientale, che nel 2018 ha compiuto la prima operazione in Italia contro questo tipo di truffa, con 13 persone arrestate e un bottino totale di oltre 600.000 euro. «Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking. Poi, utilizzando documenti falsi, si sostituisce la sim card della vittima e, attraverso lo stesso numero telefonico, si ottengono dalla banca le credenziali per operare sul conto corrente online».
-
La Cia è in ascolto: da cellulari, social media e televisori
Wikileaks ha pubblicato quella che sostiene essere la più grossa raccolta di documenti confidenziali sulla Cia, che rivelano le estese capacità di quest’agenzia di mettere sotto controllo gli smartphone e le più diffuse app di social media, come WhatsApp. Un totale di 8.761 documenti sono stati pubblicati all’interno di “Year Zero”, una prima parte di documenti sequestrati che Wikileaks ha definito “Vault 7”. Wikileaks ha dichiarato che “Year Zero” rivela i dettagli di un programma segreto globale di hackeraggio della Cia, che comprende “operazioni armate” contro prodotti come l’iPhone della Apple, Android di Google, Windows di Microsoft e persino i televisori della Samsung [smart-Tv]. Tutti questi sistemi possono essere convertiti e utilizzati come microfoni-spia. Secondo i documenti appena pubblicati, il reparto di telefonia mobile della Cia ha sviluppato svariati strumenti e sistemi che permettono di hackerare i più comuni smartphone, mandando istruzioni perché questi ritrasmettano sia informazioni sulla località in cui si trovano, sia comunicazioni audio e testo. Anche le telecamere e i microfoni degli smartphone possono venire attivati a distanza.Wikileaks ha dichiarato sul proprio sito che «questi strumenti e tecniche permettono alla Cia di controllare a distanza piattaforme di social media come WhatsApp, Signal, Telegram, Wiebo, Confide e Cloackman, prima che venga applicato un metodo di criptazione del messaggio». Il periodo di tempo coperto dai documenti della Cia appena resi pubblici va da 2013 al 2016. Wikileaks si domanda se le capacità di hackeraggio della Cia superino il mandato che le è stato conferito, e pongono il problema di un controllo pubblico sulla agenzia. Julian Assange, il cofondatore di Wikileaks, ha detto che questa massa di documenti mostra il rischio di una proliferazione estrema nello sviluppo delle cosiddette armi cibernetiche. «Il significato di “Year Zero”», ha aggiunto Assange, «va ben oltre la scelta fra cyberguerra e cyberpace. Queste rivelazioni sono anche eccezionali da un punto di vista politico e legale».In particolare, l’analisi di Wikileaks su “Year Zero” ha svelato l’esistenza di “Weeping Angel”, una tecnica di sorveglianza che riesce ad infiltrare le smart-Tv, trasformandole in microfoni attivi. Un attacco contro i televisori della Samsung, in cooperazione con l’Mi5, ha utilizzato “Weeping Angel”, mettendo i televisori in falsa modalità “off”, mentre registrava conversazioni anche quando il televisore sembrava spento. Leggendo la documentazione di “Weeping Angel” si scopre che «è possibile aprire dei portali di ascolto sui servizi utilizzati, oltre che estrarre le credenziali e la history del browser».(“Attenti al cellulare, la Cia vi ascolta”, estratto di un articolo pubblicato da “Russia Today” e tradotto da “Luogo Comune”).Wikileaks ha pubblicato quella che sostiene essere la più grossa raccolta di documenti confidenziali sulla Cia, che rivelano le estese capacità di quest’agenzia di mettere sotto controllo gli smartphone e le più diffuse app di social media, come WhatsApp. Un totale di 8.761 documenti sono stati pubblicati all’interno di “Year Zero”, una prima parte di documenti sequestrati che Wikileaks ha definito “Vault 7”. Wikileaks ha dichiarato che “Year Zero” rivela i dettagli di un programma segreto globale di hackeraggio della Cia, che comprende “operazioni armate” contro prodotti come l’iPhone della Apple, Android di Google, Windows di Microsoft e persino i televisori della Samsung [smart-Tv]. Tutti questi sistemi possono essere convertiti e utilizzati come microfoni-spia. Secondo i documenti appena pubblicati, il reparto di telefonia mobile della Cia ha sviluppato svariati strumenti e sistemi che permettono di hackerare i più comuni smartphone, mandando istruzioni perché questi ritrasmettano sia informazioni sulla località in cui si trovano, sia comunicazioni audio e testo. Anche le telecamere e i microfoni degli smartphone possono venire attivati a distanza.
-
Armi, droga, porno: Deep Web, non aprite quella porta
Pagine dinamiche ad accesso riservato, mail e home banking, e siti dedicati al commercio di armi, droga ed esseri umani. Database di studi scientifici, accademici e documenti governativi. E poi forum pedopornografici o siti per commissionare omicidi. E’ un oceano sommerso, si chiama Deep Web. «La moneta corrente, là sotto, è il bitcoin», valuta virtuale e molto fluttuante «con cui si può comprare qualsiasi cosa», spiega Andrea Coccia. «Lo scarto tra l’utilità e la legalità di una parte e la pericolosità e l’illegalità dell’altra è talmente immenso da rendere inutile qualsiasi tentativo di definizione in bianco e nero: il Deep Web, come il mondo, non è né buono né cattivo, è semplicemente immenso e in gran parte sconosciuto». Là sotto ci si può trovare di tutto, «il più depravato degli psicopatici e il più geniale degli scienziati». Le regole? Non esistono. «Immergersi in questo universo, la cui grandezza stimata è circa 500 volte il Web visibile e in cui i motori di ricerca non servono (quasi) a nulla, comporta il passaggio di una porta oltre la quale il confine della legalità è molto labile e i pericoli sono sul serio a portata di click».Cos’è il Deep Web? Il modo migliore per capirlo, scrive Coccia su “Linkiesta”, è immaginarsi un iceberg, di cui possiamo scorgere solo la vetta: tutto il resto, quello che c’è sotto, possiamo solo immaginarlo. Ciò che si vede in superficie, il Web visibile, è quello che i motori di ricerca tradizionali, come Google, sono in grado di indicizzare. «Intendiamoci, si tratta di una mole impressionante di pagine – tra i 60 e i 120 miliardi secondo alcune stime». Ma quel che sta sotto, come per gli iceberg, lo è ancor di più: «Se stabilire la dimensione esatta del Web visibile è un’impresa quasi impossibile, stimare quella del Web invisibile, o Deep Web, è un’operazione quasi folle». Uno specialista come Anand Rajaraman, intervistato dal “Guardian”, rivela che «nessuno può fare una stima credibile di quanto sia grande», il Deep Web. «L’unica stima che conosco dice che potrebbe essere 500 volte più grande». In questo oceano, avverte Coccia, non si può accedere né ci si può muovere usando i comuni strumenti di navigazione, come Google. Peggio ancora Facebook: nel Deep Web è pericoloso «usare i propri dati sensibili, mettendo a repentaglio il proprio anonimato e anche la propria sicurezza personale».Per accedere alla rete, spiega “Linkiesta”, è necessario installare e configurare un programma in grado di rendere la navigazione anonima e sicura: uno strumento come “Tor”, per esempio, capace di accedere a pagine con un dominio “strano”, come “.onion”. «Vista l’inefficacia quasi totale dei motori di ricerca che pur esistono a quelle profondità», per muoversi «si deve fare affidamento a delle liste compilate di link come la “Hidden Wiki”, o ai forum di utenti». Ma neanche così la navigazione è immediata, visto che, «proprio per garantire la sicurezza e l’anonimato, le pagine cambiano molto spesso indirizzo, a volte vengono chiuse dai proprietari, dalle cyberpolizie di mezzo mondo o vengono abbattute da gruppi di hacker à la Anonymous». Un parziale elenco «non potrebbe fare a meno di citare hacker russi, dissidenti cinesi, ribelli siriani, militari statunitensi, polizie postali europee, giornalisti indipendenti, anarchici svedesi, complottisti zeitgeistiani, pedofili, assassini, mercanti d’armi e di droga, mafiosi, jihadisti, ma anche moltissimi curiosi».Coccia rivela «10 cose notevoli» che ha trovato nel Deep Web. Citazione dantesca: “Per me si va nella città dolente”. Partenza: «Dopo aver installato e avviato “Tor”, dopo aver controllato che l’Ip fosse effettivamente stato mascherato, la prima mossa dell’improvvido navigatore anonimo è cercare una porta di accesso a questo universo pazzesco», dovendo fare a meno dei motori di ricerca. Un’epigrafe avverte: ti serve la “hidden wiki”, cioè “the door of the deep web”. «Be careful», dice la scritta: potreste essere spiati, hackerati, traumatizzati da contenuti «che non immaginavate potessero esistere». Per Coccia, «è la porta che sceglie, non l’uomo», come scrive Jorge Luis Borges nell’“Elogio dell’ombra”. Senza Google, «ci si deve affidare a liste, documenti, pagine wiki come Hidden Wiki, ad esempio, compilate da utenti – chiaramente anonimi – che offrono una serie di link ordinati in categorie da copiare e incollare sul browser di “Tor” per trovare il cammino. E per quanto di link ce ne siano a decine, tra quelli che non funzionano e quelli che è decisamente saggio evitare di cliccare – segnati come truffe o addirittura non più attivi – la strada, o almeno l’inizio, pare quasi segnata».Già dai primi passi, domina «la sensazione della fuffa», come quella di chi promette una cittadinanza Usa al prezzo di 10.000 dollari. Fuffa, o trappola per “gonzonauti”: «Non definirei in altri modi qualcuno disposto a pagare a un venditore anonimo e completamente sconosciuto diecimila dollari per incrociare le dita e aspettare che un postino gli recapiti la sua carta verde, l’assistenza sanitaria, la patente, il certificato di nascita e tutto il cucuzzaro per diventare a un cittadino americano». Se invece vi piace di più l’accento british, agiunge Coccia, c’è anche la possibilità di trovare passaporti britannici, naturalmente personalizzati. E poi: armi, sigarette, partite di calcio truccate. «Decine di altri siti propongono merce di ogni tipo, ma l’aspetto e la facilità di accesso fanno pensare che anche questi siano solo trappole per improvvidi visitatori curiosi». Ma, con qualche passaggio in più, si inizia a vedere qualcosa di più serio, come il “gran bazar delle droghe”. «Una volta c’era il celebre Silk Road, mitico sito di e-commerce sulle cui pagine si poteva comprare veramente di tutto. Ora che Silk Road è stato chiuso, i suoi figliastri sembrano aver proliferato. Dall’aspetto, ma soprattutto dalla presenza di protocolli di verifica dei venditori, questi siti sembrano più “affidabili”. I prodotti che vendono, invece, restano completamente illegali».Forse proprio perché accessibili senza eccesivi sforzi o conoscenze informatiche particolari, scrive Coccia, quasi tutti questi “negozi” applicano una bizzarra strategia per convincere i compratori a fidarsi: chiedono ai propri clienti «una di quelle cose che si sentono soltanto nei film americani di gangster». Ovvero: «Al momento dell’acquisto si paga la metà, l’altra metà la si salda al momento dell’arrivo della merce». Non mancano vecchie conoscenze, come “Gli Illuminati” (since 1776). «Sì, c’è anche il sito di quei simpaticoni degli Illuminati, per entrare però bisogna registrarsi. Io – ammette Coccia – ho vinto la curiosità e non l’ho fatto, ma nel caso dovrebbe bastare inventarsi un nome utente e una password. Una precauzione: non usate le vostre password normali e preferite codici alfanumerici, non si sa mai». Ma nel regno dei banditi c’è annche il “New Yorker”: non tutto è perduto? «Tra i mercanti d’armi e quelli di droga, tra potenziali pagine di pazzi scriteriati, di illuminati o di complottisti professionali c’è anche un approdo amico: si chiama “strongbox” ed è l’antenna che la redazione del “New Yorker” ha piazzato qua sotto per intercettare segnalazioni anonime, documenti scottanti, leaks o semplicemente racconti di gente troppo timida per mettere una firma ai propri lavori».Altro topos ricorrente: la scritta “Questo messaggio si autodistruggerà in 5, 4, 3…”. «Un’altra di quelle cose che si vedono solo nei film, ma questa volta di quelli con James Bond: i messaggi che si autodistruggono». Il sistema è semplice: «Una volta scritto il messaggio lo si mette su una pagina che viene creata apposta e il cui link è accessibile ua volta sola. Poi sparisce, e il gioco è fatto». La prova che smentisce chi descrive le profondità della rete come un luogo frequentato soltanto da pedofili, hacker e terroristi, aggiunge Coccia, è la presenza di infiniti depositi di ebook, di testi html, txt, doc e pdf di ogni tipo. «Io, per esempio, sono capitato sui vincitori dei Premi Pulitzer, ma sono sicuro che si può fare di meglio». Per concludere, «l’impressione che si ha navigando, ingenuamente e a casaccio, in quel che chiamano Deep Web è un po’ quella che si potrebbe provare giocando con una demo limitatissima di un gioco pazzesco», scrive Coccia. «È chiaro che lì sotto c’è un sacco di roba e un sacco di persone dal molto pericoloso al molto interessante». Il problema è che questa esplorazione «richiede tempo, applicazione, conoscenze e, soprattutto, un obiettivo preciso verso cui puntare». Viceversa, può capitare di sentirsi presi in giro, «come se quelle pagine fossero state messe lì apposta da chi quella rete la usa abitualmente, giusto per divertirsi con i turisti del Deep Web, per guardarli mentre si muovono a casaccio e farsi delle gran risate. E chissà, magari è veramente così».Pagine dinamiche ad accesso riservato, mail e home banking, e siti dedicati al commercio di armi, droga ed esseri umani. Database di studi scientifici, accademici e documenti governativi. E poi forum pedopornografici o siti per commissionare omicidi. E’ un oceano sommerso, si chiama Deep Web. «La moneta corrente, là sotto, è il bitcoin», valuta virtuale e molto fluttuante «con cui si può comprare qualsiasi cosa», spiega Andrea Coccia. «Lo scarto tra l’utilità e la legalità di una parte e la pericolosità e l’illegalità dell’altra è talmente immenso da rendere inutile qualsiasi tentativo di definizione in bianco e nero: il Deep Web, come il mondo, non è né buono né cattivo, è semplicemente immenso e in gran parte sconosciuto». Là sotto ci si può trovare di tutto, «il più depravato degli psicopatici e il più geniale degli scienziati». Le regole? Non esistono. «Immergersi in questo universo, la cui grandezza stimata è circa 500 volte il Web visibile e in cui i motori di ricerca non servono (quasi) a nulla, comporta il passaggio di una porta oltre la quale il confine della legalità è molto labile e i pericoli sono sul serio a portata di click».