Attacco ai profili Social dei politici? Anche noi siamo a rischio. Scopriamo perché

Mentre molti italiani sono usciti di casa per votare tra referendum e tornate elettorali, qualcuno, tranquillamente seduto sulla poltrona di casa ha pensato bene di spendere il proprio tempo libero per tentare di hackerare i profili social di alcuni politici italiani. Negli ultimi giorni sono state vittime di tentativo di attacco il governatore del Veneto Luca Zaia e il Ministro dell'Istruzione Lucia Azzolina. Un atto politico? Un atto di vandalismo? Un atto di protesta? …?

La polizia postale è all'opera e aspetteremo gli esiti delle attività investigative. Quello che è successo o sta succedendo alle figure pubbliche e politiche è in realtà un rischio e una minaccia che può colpire ognuno di noi. Attaccare un profilo social è facile e non servono competenze tecniche elevate. Di seguito mostreremo concretamente come sia possibile senza avere competenze tecniche e senza usare strumenti o software da "Hacker".

Per dimostrare la semplicità di questo attacco - che si chiama Account Take Over (ma che potremmo anche chiamare furto dell'identità) - ripercorreremo i passi che potrebbe effettuare un ipotetico aggressore.

Furto dell'identità

Per iniziare un attacco di Account Take over, furto dell'identità, di una malcapitata vittima, è necessario:

1. Conoscerne i profili social

2. Avere username e password

Trovare i profili social di un personaggio pubblico? Nulla di più semplice da identificare. Basta accedere su Facebook, Linkedin, Twitter, Instagram,… inserire il nome e cliccare "cerca". Per le figure non pubbliche è forse leggermente più complicato. In questo caso è sufficiente controllare l'immagine, la sezione informazioni per avere la certezza che il profilo che stiamo visionando sia quello corretto. Come diceva Giovanni Muciaccia "Fatto?". A questo punto dobbiamo identificare username e password. Il primo coincide quasi sempre con la mail dell'utente. Quindi dobbiamo scoprire la mail… Difficile? Assolutamente no…o quasi.

Ognuno di noi ha diverse mail - come minimo abbiamo 2: una aziendale e una personale

Come scoprire la mail aziendale? È sufficiente conoscere il "format" o struttura di composizione delle mail aziendali. Il più delle volte è sufficiente leggere nella sezione informazioni dei profili per conoscere e sapere dove lavora la vittima oppure cercando il profilo direttamente su Linkedin. Prendendo come esempio il caso del Ministro e del Governatore in questione le mail aziendali potrebbero essere collegate a @governo.it , @regione.veneto.it …. e a quella del partito di appartenenza. Come risolviamo il problema del formato della mail? Per intenderci, sarà nome.cognome@ oppure inizialenome.cognome@ o inizialenomecognome@?

Le mail aziendali hanno strutture di composizione standard per tutti gli utenti. Abbiamo diverse soluzioni che possono risolvere questo dilemma. Le due più semplici sono sicuramente:

• Conosciamo la mail "aziendale" di qualcuno che lavora nella stessa struttura/azienda. In questo caso sappiamo il modello usato per il format della mail;

• Cerchiamo su Google;

Oppure possiamo chiedere aiuto ai database dei DataBreach passati.

Parliamo degli attacchi informatici subiti da diversi portali che hanno di fatto reso pubblico o semipubblico l'elenco degli utenti iscritti. Parliamo di un totale di circa 15 miliardi di coppie di email e password. Questi database sono disponibili non solo nel DARKWEB, ma molti anche nel Web con una semplice ricerca su Google. Identificato uno di questi DB, è sufficiente cercare nell'elenco una qualsiasi mail della stessa azienda per scoprire il format corretto. Tre soluzioni che ci permettono di raggiungere e completare il primo obiettivo.

Passiamo al secondo.

Come scoprire la mail personale? Qui la cosa diventa leggermente più complicata. Abbiamo bisogno di pazienza e di una parziale dose di fortuna. Iniziamo la ricerca:

- Controllare nelle informazioni dei vari profili social delle vittime

- Cercare su Google • il nome e cognome con la chiave CV o Curriculum vitae

- Cercare possibili combinazioni del nome e cognome associato alle mail più in uso: @gmail, @email, @yahoo.com,…• …

- Verificare le possibili combinazioni del nome e cognome sui database dei DataBreach che abbiamo analizzato prima.

L'abbiamo trovata? Allora anche il secondo obiettivo è completato. Ci manca la password.

Abbiamo menzionato e usato i database di Databreach. La cosa particolare, che non ho detto prima, è che in questi Database non ci sono solo le mail ma anche le informazioni che abbiamo dato nell'atto di registrazione al sito che ha subito il data breach. Parliamo di dati che possono far riferimento a numeri di telefono, cellulari, indirizzi, amici, conti correnti e infine anche la password.Se siamo quindi fortunati potremmo scoprire non solo il format della mail ma potrebbe imbatterci direttamente nella mail della vittima scelta con tanto di password che ha usato per iscriversi a rispettivi siti che hanno subito il Data Breach.

L'attacco è completato?Non ancora. Ma il più è fatto e sempre con un po' di fortuna potremmo provare ad accedere ai vari social usando proprio le varie combinazioni di username e password che abbiamo appena raccolto. Sarà un tentativo di attacco o un attacco riuscito? Sarà un attacco riuscito se la vittima non ha mai cambiato la password e che usi la stessa password su diversi profili social. Ma se non trovo la password?

Nessun problema, in questo caso è sufficiente inviare una mail di phishing alla mail della vittima e sperare che cada nel tranello. Come? Imposteremo una mail che possa attirare l'attenzione puntando sugli interessi che abbiamo a disposizione visionando semplicemente i vari profili social. Dove trovo un sistema che mi permetta di inviare una mail di phishing? Sempre cercando su Google. Abbiamo appena dimostrato come, senza alcuna competenza tecnica, armati di pazienza, di una dose di fortuna, una scrupolosa attività di ricerca e analisi di fonti pubbliche sia potenzialmente possibile rubare un profilo social. I possibili impatti? Enormi come potete immaginare. Praticamente l'attaccante potrebbe pubblicare, commentare, inviare messaggi… dal vostro profilo social.

Una minaccia che riguarda ognuno di noi

Gli attacchi ai profili dei personaggi pubblici sono spesso legati a diverse motivazioni, per la maggior parte politiche, socio-economiche, protesta,…Ma ognuno di noi corre lo stesso identico rischio di finire vittima di Account Takeover, anche senza essere particolarmente sotto la luce dei riflettori. Il motivo? Questa tipologia d'attacco non è sempre così mirata da comprendere tutti passaggi che abbiamo elencato. La fase di ricerca delle informazioni (email e password) viene utilizzata solo quando il Criminal Hacker ha in mente un preciso obiettivo. Ma l'abbondanza di coppie di informazioni disponibili – come dette oltre 15 miliardi! – rende possibile per i Criminal Hacker automatizzare molti di questi passaggi per prendere il controllo di anche centinaia di account per volta.

Questa tecnica, nota come Credential stuffing, utilizza gli elenchi di dati rubati e li "passa" in un software apposito per tentare di accedere a tutti gli account che potrebbero essere collegati a quella particolare accoppiata di credenziali. E non stiamo parlando di un lavoro "certosino", ma di strumenti in grado di compiere anche 500 tentativi al secondo!

Questo significa che se malauguratamente una delle nostre accoppiate è finita online, potrebbe facilmente essere usata per prendere il controllo di tutti i nostri social! Ma per fortuna ci sono dei rimedi per scongiurare questo rischio.

Come Tutelarci?

1. Utilizzare SEMPRE i sistemi a doppia autenticazione che ormai tutti i portali mettono a disposizione degli utenti;

2. Cambiare periodicamente le proprie password;

3. Condividere il meno possibile le informazioni personali sui social;

4. Attenzione alle mail di Phishing e oggi anche al smishing ( link malevoli tramite sms o whatsapp)

5. Se ricevete messaggi sui social contenenti link ….

Verificate e controllate attentamente prima di cliccare;"L'unica difesa contro il mondo è approfondire la sua conoscenza"(John Locke). Non abbassiamo la guardia!