#155 – Twitter e social engineering

#155 – Twitter e social engineering

 
Play/Pause Episode
00:00 / 10:24
Rewind 30 Seconds
1X

Hanno attaccato Twitter, lo hanno fatto per bene usando social engineering sia per attaccare, che per scatenare la truffa con i bitcoin. Questa puntata è per ricordare che si deve stare attenti a quel che si fa e si dice, sempre.

Pillole di Bit (https://www.pilloledib.it) è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay, il vecchio IBAN (contattami per chiedermelo) oppure i BitCoin (vedi QR code nella barra laterale del sito)
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram, un Forum, Twitter del podcast e Twitter personale (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio, puoi anche scrivere crittografato usando la mia chiave pubblica PGP)

Rispondo sempre

Se ti serve della consulenza tecnica, puoi avere tutte le informazioni alla mia pagina professionale

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!

Realizzo anche un altro podcast, sui videogiochi, facili, economici e affrontabili, si chiama Pillole di Videogiochi

Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 155 e io sono, come sempre, Francesco.

La settimana scorsa, più precisamente il 15 luglio 2020, Twitter è stata attaccata in maniera piuttosto brutale.
Alcuni degli account più famosi e seguiti, in seguito a questo attacco, hanno iniziato a twittare una cosa del tipo “mi sento buono, se mi mandi una quantità qualsiasi di bitcoin a questo indirizzo entro mezz’ora, te ne restituisco il doppio entro 24 ore”
Questo attacco ha fruttato poco meno di 200.000 dollari in bitcoin su quel borsellino.
Avrebbe potuto fruttarne molti di più, ma visto che la cosa è sembrata strana a tutti abbastanza in fretta, uno dei più importanti siti che gestisce borsellini bitcoin ha impedito il trasferimento di denaro a quello dei ladri.

Questo evento mi ha fatto pensare che, più che descrivere cosa è successo, chi è stato coinvolto e quali sono le cose tecniche che sono state fatte, è importante capire cosa si deve fare per capire come non abboccare a una truffa del genere.

In breve, a livello tecnico, i cattivi hanno avuto accesso ai sistemi di gestione degli account Twitter, hanno cambiato le mail di riferimento, hanno disattivato l’autenticazione a due fattori, hanno cambiato le password e li hanno usati per twittare.
Agli utenti non sono arrivate notifiche perché la mail di destinazione delle notifiche è stata cambiata.
Mi domando come possa succedere che cambi la mail e non parte una notifica di conferma a quella vecchia o una roba del genere.
E’ anche vero che se cambi la mail perché hai perso la vecchia ci va un modo alternativo per la sostituzione.
Quindi l’attacco è partito di sistemi interni di Twitter. Questa cosa è molto grave.
Di alcuni di questi account, i cattivi, hanno avuto accesso anche ai DM e di altri hanno fatto l’export totale dei dati dell’account.
Per informazioni molto più precise c’è il post sul blog di Twitter che spiega tutto per bene. Lo trovate come di consueto nelle note dell’episodio.

Ma oggi ci poniamo due domande un po’ diverse.
La prima: i cattivi come hanno fatto ad avere accesso ai sistemi interni di Twitter?
La seconda: davvero esiste gente che cade nella truffa del mi dai subito X e ti restituisco con comodo X per 2?

I cattivi, da quel che dice Twitter, hanno adescato alcuni dipendenti e con tecniche di Social Engineering sono riusciti a farsi dare gli accessi.
Non sappiamo nulla di più.
Il Social Engineering è una tecnica molto usata per accedere a sistemi informatici senza dover fare un attacco informatico dall’esterno.
Questo tipo di attacco prevede che si agganci la vittima in qualche modo, di persona, con una mail, via chat, con una pennetta USB, ad esempio e la si convinca a fare qualcosa che permetta di carpire informazioni utili all’accesso.
Detta così forse è un po’ complessa, faccio qualche esempio
Immaginiamo che Mario sia dipendente di una grossa azienda e che, parlando con gli amici venga fuori che ha accesso a dati molto sensibili. Ne ha parlato al bar e quindi qualcuno ha sentito che Mario, che lavora alla Acme, ha accessi di un certo tipo.
A quel qualcuno si accende una lampadina e inizia a pensare come sfruttare Mario.

Potrebbe fermarlo per la strada, dicendo di essere un suo vecchio collega del quale Mario non si ricorda e, con faccia di tolla e molta affabilità lo invita a raccontargli cosa sia cambiato in azienda cercando di carpire da lui una serie di informazioni. Se si è tranquilli e a proprio agio, si dicono cose anche che non si dovrebbero dire, come ad esempio delle vecchie credenziali o una password così complessa che non la ricorderà nessuno, tranne il registratore in tasca di qualcuno.
Oppure, ancora meglio, lo trova mentre fa smart working da starbucks e mentre parla, filma con una piccola videocamera quel che scrive al PC in modo da carpire utente e password della VPN

Potrebbe mandargli una mail, falsificando il mittente, dove lo invita a cliccare su un certo link che attiva un malware che fa prendere il controllo del PC.

Potrebbe chiamarlo in ufficio, facendo finta di essere il supporto tecnico, per farsi dare un accesso al PC aziendale per poi iniziare a scavare o a sfruttare le credenziali memorizzate

Potrebbe, con l’aiuto di un complice, lasciare una chiavetta USB sulla sua scrivania con la scritta “urgente” o “strettamente confidenziale”. Chi non resiste alla scimmia di infilarla nel PC?

Ottenuto l’accesso, il resto è un gioco da ragazzi.

La seconda domanda, pare banale, ma non lo è.
Cosa spinge una persona a dare dei soldi in cambio di una parola di uno sconosciuto che dice “ti rendo il doppio”?
Le basi della truffa ci sono tutte:
C’è la fretta, devi farlo entro mezz’ora, non hai il tempo di riflettere e devi farlo di impulso
Prima tu versi il denaro, poi io pago. Certo. Sto comprando casa. All’atto si fa tutto insieme, io fornisco un assegno circolare al vecchio proprietario e in cambio ottengo le chiavi, di fronte alla banca e al notaio.
Oppure, prendo una bottiglia di latte, pago alla cassa e vado via.
O ancora, ordino da Amazon, un ente che conosco e del quale tutti si fidano, so che la roba arriva. 

Poi c’è il modo di pagamento: il bitcoin, una moneta i suoi wallet sono anonimi e le transazioni, una volta confermate, non sono più annullabili. Se pago con carta di credito e poi mi accorgo che è una truffa, ho ottime possibilità che quei soldi tornino, con i bitcoin no.

Si deve stare attenti, sempre a tutto e a tutti.
In azienda non è un gioco, gli accessi sono personali, non vanno mai dati a nessuno, men che meno a parenti, urlati in piazza o forniti al supporto tecnico. Chi è il supporto tecnico? Li ho chiamati io? Perché mi stanno chiamando? Devo proprio dare accesso al PC a una persona che non conosco?
Fatevele queste domande, sempre. E fate in modo che nessuna, nessuna, nessuna informazione aziendale esca tramite di voi. 
Non dite le mail dei responsabili, potrebbero falsificarle e impersonarsi a loro.
Non scrivete, mandate via mail o dite la vostra password a nessuno.
Se in una mail di un fornitore c’è un link, prima di cliccarci su, chiamate il fornitore e chiedete il perché del link e dove vi dovrebbe portare
Se un allegato ha una scritta enorme, non quella nella barretta gialla in alto, che dice “attiva le macro”, ecco, non fatelo, mai.
Non inserite mai dispositivi nel PC, a meno che non siate certi della provenienza. 
Le chiavette USB che trovate in giro guardatele come se fossero una cacca di cane molliccia e puzzolente. Non si toccano e si lasciano lì dove stanno. Tutte. Sempre.
Le chiamate di assistenza tecnica devono originare da voi. Se un tecnico vi chiama e vi dice che si deve collegare al PC senza che voi abbiate chiesto nulla, nel 95% dei casi è una cosa che puzza, non fornite accesso, a rischio di risultare antipatici. Se è una persona che fa quel mestiere in azienda e lo conoscete, beh, lì non è un problema e se fate qualche domanda in più gli fate una piacevole sorpresa, un utente che sta attento alla sicurezza è un evento raro.
Attenzione alle mail, anche se arrivano da persone conosciute, falsificare il mittente di una mail è facilissimo.
Un occhio di riguardo a tutte quelle cose che “devi farlo entro 10 minuti”. Non siete chirurghi al pronto soccorso. Fermatevi e riflettete su quello che vi viene chiesto, come vi viene chiesto, domandatevi il perché e se non siete convinti, fate un doppio controllo, magari di persona.
E’ un mondo difficile e se vi fregano, poi dovete anche andare davanti a un giudice a giustificarvi, non è roba banale.

Chiudo con una cosa che io reputo banale, ma per molti, in effetti, non lo è.
Nessuno, davvero, nessuno, vi regala soldi o telefoni o automobili o qualunque altra cosa.
Se vi arriva una mail dove vi dicono che avete vinto un telefono o una ricca eredità e vi chiedono dei soldi in anticipo, magari con money transfer e non via banca, ma non fa differenza, oppure vi mandano a un sito dove fare accesso con le credenziali di qualche servizio noto, beh, è una truffa. 
Sempre, eh? Non ogni tanto. Sempre.
Nessuno regala cose o soldi, nessuno mai.
I contatti
Tutte le informazioni per contattarmi o sostenere il podcast li trovate su www.pilloledib.it
Mi trovate su twitter come pilloledibit o cesco_78 oppure via mail scrivendo a pilloledibit@gmail.com. Il gruppo telegram è comunque il miglior modo per partecipare.
Se volete donare qualcosa potete usare Paypal o Satispay, se donate più di 5€ vi spedisco gli adesivi, se vi abbonate a 5€ al mese vi mando la tessera numerata e arriveranno contenuti esclusivi.
Grazie a chi ha contribuito!

Se volete una consulenza tecnica in campo informatico trovate le informazioni su www.iltucci.com/consulenza e se volete sponsorizzare una puntata del podcast, le informazioni sono su www.pilloledib.it/sponsor


Il tip

Oggi vi consiglio una serie TV disponibile su Amazon Prime Video, si chiama Upload e tratta un argomento piuttosto complesso, come rendere una vita immortale, quando il corpo muore, spostandola in un mondo virtuale dove può continuare a funzionare e comunicare con il mondo dei vivi.
La serie è ben fatta, tocca argomenti tecnologici ed etici con gran qualità, il cast, a parte la bionda, è all’altezza. Ho solo trovato un po’ troppo invasivo il product placement. C’è ovunque, in qualunque scena.
Sono 10 puntate da mezz’ora, si guarda in un fine settimana, con calma

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata, che sarà, dopo una necessaria pausa estiva, a settembre. Grazie per avermi ascoltato e buone vacanze!

Ciao!