Come evitare di farsi svaligiare conti e carte di credito
Era stato ribattezzato il Celebgate, il Watergate delle celebrità e delle loro foto più intime. Quasi due anni fa, nell’estate 2014, erano apparse online, su vari siti e forum, centinaia di immagini rubate ad attrici e modelle americane. Gli scatti più personali, e spesso svestiti, di decine e decine di star e starlette – a partire da Jennifer Lawrence, Kate Upton, Kim Kardashian, Rihanna – erano finiti in Rete. Molti di questi erano stati prelevati dagli account iCloud delle vittime. Ma in che modo? La Apple all’epoca aveva smentito che la causa potesse essere una falla del proprio servizio di backup online, ma i dettagli di come avessero agito i ladri di foto erano rimasti oscuri.
Ora invece abbiamo almeno due notizie. La prima è che è stato arrestato – e a quanto pare reo confesso – il responsabile del furto. Si tratta di Ryan Collins, 36 anni, di Lancaster (Pennsylvania). L’uomo avrebbe sottratto le foto dagli account ma ancora non è stato chiarito se a diffonderle online sia stato sempre lui o altri.
La seconda notizia riguarda invece le modalità con cui Collins si sarebbe impadronito delle immagini. Ovvero con un attacco di phishing mirato alle celebrità di Hollywood, come riporta la testata Fusion.
In pratica Collins avrebbe violato gli account personali delle oltre cento vittime inviando loro delle email fraudolente. Le mail sembravano provenire da Apple o da Google e arrivavano da indirizzi come e-mail.protection318@icloud.com, secure.helpdesk0019@gmail.com e così via. Collins chiedeva alle vittime di reinserire le loro credenziali Gmail o iCloud con una scusa e queste evidentemente hanno abboccato in massa, credendo che la mail arrivasse dal loro legittimo fornitore di posta o da Apple. In questo modo, facendo incetta di credenziali, Collins sarebbe entrato in 50 account iCloud e 72 account Gmail, quasi tutti appartenenti a Vip. Non solo: in alcuni casi l’uomo è riuscito a scaricare l’intero backup delle vittime, usando probabilmente uno dei programmi – come Elcomsoft Phone Password Breaker – impiegati anche dalle forze dell’ordine per acquisire prove dai telefoni.
NON SOLO APPLE E VIP: MA BANCHE, SUPERMERCATI, TELEFONIA
Ma il phishing non colpisce solo le celebrità di Hollywood. È una tecnica versatile usata contro molti target diversi. A cominciare da utenti e consumatori, che non sono presi di mira in genere per le loro foto ma per i loro conti bancari e le carte di credito. “Il phishing nei confronti di utenti Apple si è molto diffuso negli ultimi due anni anche in Italia”, spiega a La Stampa Denis Frati, che dal 2009 esamina campagne di email fraudolente e relativi siti posticci, e che con la sua azienda D3Lab lavora con le imprese colpite da tali attacchi. La Stampa ha visitato due siti di phishing italiani mirati a clienti Apple. Le varie schermate di accesso e la grafica sono riprodotte bene. Anche se ovviamente l’indirizzo del sito è diverso da quello originale.
In genere funziona così: i cybercriminali mandano finte email di Apple, in cui dicono che ci sono dei problemi sull’account del cliente, o che questo è stato bloccato e vanno reinseriti i dati per sbloccarlo; mettono un link che manda a un sito clone della casa di Cupertino con una finta pagina di login; e si rubano sia l’accesso a iCloud sia i dati della carta di credito.
Un esempio di mail di phishing che prende di mira clienti Apple
A finire oggetto di questi attacchi, sempre di più anche in Italia, non sono ovviamente solo utenti Apple (o di altre aziende tech come WhatsApp). Ma anche i clienti di operatori telefonici, supermercati e perfino distributori di carburante, oltre alle banche. Con le banche, come vedremo, anche chi utilizza dei token, le chiavette con cui si generano codici al volo per entrare nei propri account, non è più al sicuro.
OCCHIO ALL’OFFERTA VIA SMS
Gli attacchi di phishing via Sms si sono intensificati in Italia negli ultimi due anni. Come funzionano? Arrivano dei messaggi di testo sui cellulari degli utenti con l’invito ad aderire a una qualche offerta, ad esempio l’acquisto scontato di carburante al costo di un solo euro al litro. A inviarli, apparentemente, una noto fornitore di gas. Nel messaggio c’è il link a un sito web per poter accedere e usufruire dello sconto. Ma quel sito è un falso, è un clone di quello vero, e quando l’utente inserirà i dati della propria carta di credito per acquistare il carburante a buon prezzo, questi andranno in mano ai truffatori. Oppure si tratta di un’offerta imperdibile inviata, apparentemente, da un centro commerciale o un supermercato. Anche qui stesso percorso su sito clone, inserimento dati, furto.
«L’uso degli Sms come veicolo di attacco risulta molto insidioso anche perché rende più complessa l’attività di monitoraggio. L’Sms transita al di fuori dei canali di ascolto delle società impegnate nel controllo di spam e frodi, con la conseguente difficoltà a identificare la truffa e a procedere con la messa offline del sito clone», prosegue Frati. Anche per questo motivo, la reazione migliore di una società colpita da campagne di phishing sarebbe quella «di avvisare i clienti sul web e sui social network, spiegando di essere sotto tiro di cybercriminali, ricevendo in risposta dai visitatori le segnalazioni dei siti cloni contro cui intervenire. Purtroppo non è una reazione così scontata». A volte sono proprio gli stessi utenti a segnalare online per primi la campagna d’attacco.
I TOKEN E L’INTERNET BANKING
Nel caso degli attacchi all’online banking, i sistemi che usano token OTP (One Time Password) aggiungono ovviamente uno strato di protezione aggiuntiva, perché per loggarsi nel proprio account l’utente deve inserire, oltre a una password, un codice generato all’istante da una chiavetta fornita dalla stessa banca. Tuttavia negli ultimi anni alcuni truffatori hanno affinato le loro tecniche, sottraendo in tempo reale anche questi codici. «Usano dei pannelli di gestione nel sito clone che permettono di interagire con le azioni della vittima», spiega ancora Frati. «Quando questa inserisce i suoi dati, il criminale viene avvisato da un suono, corre a vedere i dati inseriti e li usa per loggarsi nel profilo della banca, mentre al contempo manda avanti l’utente sul sito finto». È anche possibile mandare messaggi di errore e far reinserire un’altra volta il codice se alla prima non si riesce. Tutto ciò accade molto rapidamente: il criminale procede così sul sito reale usando le credenziali prese all’utente, mentre questo continua a muoversi sul sito fasullo.
Ecco un esempio di come appare il pannello di gestione di un’azione di phishing anche di fronte alla presenza di token. A sinistra ci sono gli indirizzi IP degli utenti, poi i loro codici di accesso, i PIN e infine i codici generati dalle chiavette.