Torna al blog
Spiare è diventato fin troppo facile

C’è un settore che da qualche anno sta vivendo un pieno boom e che non risente di alcuna crisi, perché il suo mercato è diventato enorme.

Si tratta degli spyware, quei software che appartengono alla categoria dei malware e che raccolgono informazioni sull'attività online di ignare persone, ovviamente senza il loro consenso.

In questo ambito opera almeno una quindicina di aziende, come ad esempio le internazionali NSO, Cytrox, Intellexa, Paragon, oppure le italiane RCS Labs, Memento Labs, Negg, Raxir.

I prodotti più noti si chiamano Pegasus, Predator, Graphite, Hermit (quest’ultimo è lo spyware italiano sviluppato da RCS Labs) ed essi si suddividono in due grandi categorie ben distinte :

  • spyware che hanno bisogno che le vittime li installino oppure li attivino accidentalmente sui propri dispositivi,
  • spyware che si installano autonomamente sui dispositivi delle vittime grazie a degli attacchi zero-click, che in gergo vengono anche chiamati “exploit zero-click”.
Il più pericoloso di tutti gli spyware comunque è Pegasus, proprio perché attualmente è l’unico che si installa senza necessità di clic o di azioni da parte delle vittime, visto che per attivare quel software malevolo basta un ben condotto exploit, che, sfruttando quelle vulnerabilità che sono presenti in tutti i dispositivi, faccia leva su qualche falla nel sistema di verifica dei dati per riuscire a entrare nel sistema di controllo dell’apparato (per molti utenti iPhone, ad esempio, è bastato aprire un iMessage per attivare quel software malevolo).

Gli attacchi zero-click
  • prendono molto frequentemente di mira quelle app che forniscono servizi di messaggistica o chiamate vocali, e gli autori degli attacchi, per riuscire a introdurre i codici capaci di compromettere i dispositivi delle vittime, di solito utilizzano dei dati che hanno creato appositamente, e che potrebbero essere dei files di immagini oppure dei messaggi di testo nascosti,
  • possono essere costituiti da una serie di pacchetti di rete, di richieste di autenticazione, di messaggi di testo, di MMS, di messaggi in segreteria, di sessioni di videoconferenza, di telefonate o di messaggi inviati tramite Skype, Telegram, WhatsApp, etc.
Una volta che un telefonino viene infettato da Pegasus, il malware può leggere i messaggi e le e-mail, può ascoltare le chiamate, può registrare le password e può persino tenere traccia delle posizioni visitate.

Tutte queste caratteristiche sembrerebbero rendere Pegasus un temibile oggetto di repulsione per la maggior parte degli individui, ma per fortuna per il momento non è ancora così, perché sia Pegasus sia gli attacchi zero-click sono decisamente costosi.
Infatti, Pegasus viene venduto agli stati nazionali ad un prezzo di vari milioni di dollari, e anche gli attacchi zero-click sono estremamente costosi, considerato che una catena di infezioni zero-click con persistenza può costare anche 2,5 milioni di dollari.

Personalmente non ho quindi nulla da temere da Pegasus, perché sono sicuro che nessuno spenderà cifre come quelle per spiare me e gli altri umili mortali come me.

Le centinaia di giornalisti, le centinaia di dissidenti, la quindicina di capi di stato che si sono ritrovati i telefonini infettati e intercettati da Pegasus invece fanno molto bene a sospettare di quello spyware, che era nato per il contrasto alla criminalità e al terrorismo, ma che sempre più spesso e da sempre più Paesi viene utilizzato per la sorveglianza di personaggi politici, di attivisti, di cronisti e di corrispondenti.

Ci sono diversi segnali che possono far capire se uno smartphone sia stato infettato da uno spyware.
Ad esempio, se si notano
  • lentezza nell’eseguire i comandi,
  • difficoltà di spegnimento,
  • importanti cambiamenti nella durata della batteria senza che siano cambiate le abitudini di utilizzo,
  • surriscaldamenti anomali anche in sessioni di lavoro leggere,
tutto ciò potrebbe indicare che lo smartphone stia inviando oppure ricevendo una anomala mole di dati e potrebbe far pensare che qualche malintenzionato ne abbia acquisito il controllo tramite uno spyware.

Alcune semplici regole che potrebbero essere d’aiuto:
  • riavviare il telefonino ogni giorno. Sembra che le infezioni di Pegasus si basino soprattutto su attacchi zero-click 0-days senza persistenza, pertanto il riavvio quotidiano dello smartphone aiuta a pulire il dispositivo e costringe gli aggressori a reinfettarlo più e più volte, e questo comporta dei costi che non tutti i manigoldi possono sostenere,
  • disattivare iMessage e Facetime. iMessage e Facetime sono integrati in iOS e sono abilitati di default, questo li rende degli attraenti vettori di sfruttamento che sono stati utilizzati da moltissimi attacchi zero-click,
  • mantenere aggiornato lo smartphone. È molto importante installare le ultime patch di iOS subito quando escono, perché non tutti i criminali possono permettersi gli attacchi zero-click 0-day, quindi molti malfattori si limitano a prendere di mira le vulnerabilità che sono già state risolte,
  • non cliccare mai sui link ricevuti nei messaggi. Si tratta di una regola semplice ma efficace, perché quei delinquenti che non possono permettersi gli alti costi degli attacchi zero-click si affidano agli attacchi 1-click, i quali arrivano sotto forma di messaggio,
  • eseguire regolarmente il backup dei sistemi. Quando si dispone di un backup di tutti i dati aggiornato, un eventuale processo di ripristino dello smartphone viene enormemente semplificato e accelerato,
  • abilitare il blocco dei pop-up oppure impedire la visualizzazione dei pop-up. I truffatori utilizzano abitualmente i pop-up per diffondere i loro malware, quindi regolare di conseguenza le impostazioni del browser è davvero molto utile e importante.

Si moltiplicano i furti di identità digitale

Secondo l’Ipsos addirittura il 28% degli italiani avrebbe subito una violazione della propria identità digitale, che può essersi concretizzata con

  • un furto di dati digitali sensibili,
  • un furto di foto digitali,
  • un accesso fraudolento al proprio profilo social.
Il numero indicato da Ipsos mi sembra francamente eccessivo, perché, ad esempio, nessuno dei miei amici mi ha ancora detto di aver patito qualcosa di simile, ma immagino che il numero delle persone che hanno dovuto sopportare quelle sventure sia comunque molto alto.

Il furto d’identità in sostanza è una forma di frode con la quale un soggetto finge di essere qualcun altro allo scopo di trarne dei vantaggi, che possono essere di natura economica oppure di altra natura.

Quel che è certo è che chi viene derubato della propria identità digitale va incontro a una serie di seccanti problemi che possono comportare
  • perdite di denaro,
  • danneggiamento della reputazione,
  • fastidi legali conseguenti al fatto che i ladri di identità commettono poi dei reati utilizzando i nomi delle persone alle quali avevano rubato l’identità.
Per essere precisi bisognerebbe parlare di clonazione dell’identità, perché di fatto le vittime del reato non vengono private delle loro identità, le quali invece vengono usate per commettere poi altri illeciti.

Infatti, dopo aver compiuto il furto, i criminali possono a nome della nuova identità
  • emettere assegni contraffatti fino a prosciugare il conto della vittima,
  • acquistare auto,
  • acquistare elettrodomestici e altri beni di consumo, anche a rate,
  • scrivere alla filiale di banca e modificare le coordinate bancarie (in questo modo gli estratti conto saranno quindi inviati a un diverso indirizzo),
  • aprire un nuovo conto corrente bancario.
Bisogna quindi rendersi conto che navigare online espone a dei rischi e che per evitarli la prima difesa sia l’autotutela, cercando di comprendere come proteggersi da attacchi simili.

Alcune semplici regole per difendersi dai furti di identità e dallo spam :
  • usare un software antivirus e aggiornarlo regolarmente,
  • non usare password banali,
  • utilizzare un firewall sul computer che si usa per navigare in internet,
  • non rispondere allo spam e ignorare i link contenuti nelle email,
  • non usare la modalità anteprima nel client di posta,
  • utilizzare indirizzi email secondari e fornire quelli primari solo a persone fidate,
  • non rispondere mai ai messaggi che chiedono informazioni finanziarie personali,
  • visitare i siti internet delle banche solo digitando l'indirizzo nell'apposita barra,
  • non cliccare sui pop up.

Occhio, anche le Pec possono essere false

L’operazione “Fidel Scam”, condotta dalla Polizia di Stato con la coordinazione della Procura della Repubblica di Brescia, ha fatto scoprire un’organizzazione che in tutt’Italia truffava le piccole e le medie imprese.
La laboriosa attività di indagine, che ha avuto inizio a Crotone, ha portato all’individuazione di una banda composta da almeno sette persone, che mediante l’utilizzo di e-mail e di Pec false, apparentemente riconducibili ai principali istituti bancari italiani, proponeva dei falsi finanziamenti per l’industria.

I registi di questa truffa sembrano essere due pensionati, un 80enne di Ospitaletto e un 60enne di Brescia, i quali contattavano i piccoli imprenditori italiani offrendo loro la possibilità di accedere a dei vantaggiosi contratti di finanziamento garantiti da Cassa Depositi e Prestiti.
L’unica condizione che i truffatori imponevano per l’erogazione di quel sedicente prestito era la sottoscrizione di una polizza assicurativa, che prevedeva il versamento di un premio unico iniziale, corrispondente a circa l’1,3% del valore della somma che avrebbe dovuto poi essere erogata.

Quando le vittime effettuavano il pagamento in vista della stipula del fantomatico contratto di prestito, ovviamente i membri della banda sparivano.

Questa truffa sembra aver fruttato in breve tempo addirittura 500.000 euro ai malfattori.

La Pec (la raccomandata del mondo digitale)

Con la sentenza n. 4 del 3 gennaio 2019 la Corte di Appello di Brescia ha chiarito che la Posta Elettronica Certificata (Pec) è uno strumento equivalente alla raccomandata con ricevuta di ritorno, considerato che a differenza dell’e-mail ordinaria, può garantire le stesse garanzie di ricezione che offrono le raccomandate.

Questo fatto quindi tutela chi invia le Pec, ma non deve far pensare che gli indirizzi delle Pec siano sempre veritieri, perché, come si è visto con questa truffa, purtroppo non è sempre così.

L'Indice nazionale della posta elettronica certificata

Per scoprire se l'indirizzo di una Pec ricevuta sia vero oppure falso è sufficiente visitare il sito ufficiale di INI-PEC, che
  • è l'Indice Nazionale degli Indirizzi di Pec istituito dal Ministero dello Sviluppo Economico,
  • raccoglie tutti gli indirizzi di PEC delle Imprese e dei Professionisti presenti sul territorio italiano,
  • è stato realizzato da InfoCamere in attuazione del decreto legge del 18 ottobre 2012, n.179.



L'indice nazionale degli indirizzi di Posta Elettronica Certificata di imprese e professionisti
https://www.inipec.gov.it/cerca-pec

L’operazione “Dream earnings” ha portato alla luce una frode milionaria

Dopo due anni di un’articolata e complessa attività investigativa coordinata dalla Procura della Repubblica di Pordenone, la Polizia di Stato ha potuto portare alla luce una lunga serie di truffe, che venivano compiute mediante del falso trading online da un’organizzazione di truffatori abilissimi nell’utilizzo di convincenti tecniche di persuasione e plagio, con le quali riuscivano a indurre le vittime a indebitarsi e a versare loro nel corso del tempo anche svariate centinaia di migliaia di euro su dei conti correnti esteri.

Si stima che l’organizzazione malavitosa abbia truffato diverse centinaia di cittadini italiani residenti in tutto il territorio nazionale per un ammontare che potrebbe aggirarsi intorno ai 60 milioni di euro.

La truffa iniziava con un annuncio pubblicato su internet, oppure con una telefonata, oppure con una email con cui veniva proposto un primo piccolo investimento, che riguardava l’acquisto di azioni Amazon per il modesto importo di 250 €, e di osservarne il rendimento per una settimana.

Alle vittime, attraverso la consultazione di piattaforme di trading opportunamente configurate, veniva quindi fatto vedere che il loro investimento si triplicava nel giro di pochi giorni; ciò rendeva più credibile "l’affare" e convinceva molti cittadini che i rendimenti stratosferici che erano stati promessi fossero reali.

I truffatori avevano messo in piedi anche due veri e propri call center con più di 60 postazioni dotate di computer, nei quali agivano almeno due diverse tipologie di figure:

  • gli operatori che gestivano il primo contatto con le vittime e verificavano la loro disponibilità ad investire,
  • gli operatori che operavano come consulenti e che guidavano le vittime verso gli investimenti a loro dire più vantaggiosi.
L’intensa attività di intercettazione dei flussi informatici sul server che i truffatori utilizzavano per gestire i call center ha evidenziato che essi si servivano della tecnica del tunnelling VPN per oscurare gli indirizzi IP albanesi realmente utilizzati, permettendo così ai truffatori di aggirare i sistemi di allerta degli istituti bancari italiani.

L’abilità di quei furfanti era talmente elevata che la maggior parte delle vittime acconsentiva a farli operare direttamente sui propri personal computer per disporre da remoto i bonifici esteri, mediante l’installazione di un software di controllo a distanza denominato “Anydesk”, che poi si è rivelato essere uno spyware che consentiva ai truffatori di spiare i documenti riservati delle vittime per capire la consistenza delle loro reali disponibilità economiche.

Inoltre, i truffatori, dopo aver acquisito il libero accesso ai computer delle vittime, molto spesso controllavano le loro email, le loro fotografie e i loro documenti, sfruttando poi tutte queste informazioni per fare del social engineering per il plagio dei malcapitati, quando essi diventavano restii a effettuare degli ulteriori investimenti.

Quando poi le vittime chiedevano di incassare i loro illusori profitti, i truffatori accampavano un sacco di ragioni e per lo sblocco del denaro pretendevano perfino il pagamento di una fantomatica commissione da versare a una sedicente agenzia dell’Unione Europea (per ottenere il pagamento di queste cosiddette commissioni i componenti della banda sono addirittura arrivati a contattare le vittime presentandosi come addetti di una società di recupero crediti).

Gli strabilianti guadagni da sogno che in tanti si erano illusi di poter realizzare in tempi rapidi si sono però trasformati in pesantissime perdite totali, perché i tuffatori ovviamente non hanno mai restituito neppure la somma “investita” inizialmente

Per avere un’idea di quanto sia stata vasta e complessa l’indagine basta dare uno sguardo ai seguenti numeri:
  • nella banca dati della banda sono stati trovati circa 90.000 contatti telefonici di cittadini italiani pronti per essere contattati con le false proposte d’investimento,
  • sono state effettuate più di 42.000 intercettazioni telefoniche,
  • è stato analizzato circa 1 terabyte di traffico telematico passante per il server dei truffatori.