"La richiesta è arrivata da uno dei miei followers su Instagram. Lui è un fotografo ed è amico di molti miei amici: mi sono fidata" comincia così la storia di Catia, trentenne impiegata leccese che ha deciso di raccontare a Today la sua disavventura. Un link apparentemente innocuo, uno scambio di battute come tanti a cui fa seguito il furto delle proprie credenziali digitali senza che ci si accorga di alcunché.
"Mi diceva che stava partecipando a un concorso di fotografia e mi chiedeva di votarlo - spiega - Per farlo dovevo copiare e incollare in chat un link che mi sarebbe arrivato via sms: l'ho fatto senza pensarci. Tempo un'ora e mi scrive un'amica che mi fa notare che qualcuno si è impossessato del mio profilo Instagram e stava diffondendo messaggi di spam a tutti i miei contatti. A quel punto capisco che anche il profilo di chi mi aveva contattato era stato hackerato e che, purtroppo, c’ero cascata"..
La truffa che colpisce gli account Instagram
Per Catia è l’inizio di una piccola odissea che coinvolge anche la rete dei suoi affetti. Ancora non lo sa, ma è l’ennesima vittima di una truffa che, negli ultimi anni, si è diffusa a macchia d'olio. Il link che le è stato inviato via sms consente infatti di effettuare il login al social network anche senza specificare password e nome utente. È un comune metodo di ripristino predisposto anche da Instagram per coloro che hanno perso le proprie credenziali di accesso. Il problema è però che viene sempre più spesso utilizzato dai nuovi criminali digitali. Ed è una tecnica che continua a pagare, perché il messaggio ci viene spesso inviato da amici e conoscenti che sono a loro volta rimasti vittime del raggiro.
La sua diffusione è quindi potenzialmente esponenziale. E le motivazioni per cui si viene contattati possono essere diverse: dalle finte richieste di aiuto fino alla richiesta di voti online per improbabili concorsi. Una tecnica chiamata in gergo "phishing", una truffa che si basa sul convincere la vittima a fornire dati personali, codici di accesso o dati finanziari, fingendosi una persona o un ente affidabile.
Diventare un bot al servizio dei criminali digitali
"La prima cosa che è successa è che non sono più riuscita a rientrare nel mio profilo Instagram: avevano ovviamente cambiato nickname, password e numero di telefono per la doppia autenticazione - spiega Catia a Today.it - Ho quindi cercato di capire come fare per riprendere il mio account. Mi hanno consigliato di fare segnalare alla piattaforma la violazione a più 'amici social' possibili perché io di fatto non potevo dimostrarlo in alcun modo".
Nel frattempo il suo profilo si riempie di messaggi di spam, reel e link che rimandano a siti di dubbia origine dove sono prospettati guadagni facili con bitcoin. Per promuoverli viene sfruttata la sua immagine, la sua storia personale e ovviamente la sua identità. Sono messaggi spesso grossolani, ma qualcuno abbocca e la contatta chiedendole di questa nuova inaspettata attività. Qualcun altro viene contattato via messaggio privato da chi le ha rubato il profilo e convinto con link ed esortazioni. Una sua amica casca nel tranello e anche il suo account viene violato.
Come riavere il proprio account hackerato
Rientrare in possesso del proprio account non è tra le cose più semplici. "Alla fine scopro che Instagram dà la possibilità di riavere il profilo tramite il video-selfie" ci racconta Catia. È uno strumento che la piattaforma mette a disposizione per dimostrare di essere realmente la persona che si sta dichiarando di essere. È basato sul riconoscimento facciale: le foto vengono comparate con quelle presenti nel profilo. Alla fine Catia invia tutto a Instagram, che le fornisce un link per resettare i suoi dati: nickname, numero di telefono e password. Ma è una tecnica che funziona solo se abbiamo pubblicato sul nostro profilo vari selfie. Il suo amico fotografo, che foto personali non ne ha, dopo un po’ ci rinuncia e abbandona definitivamente l'account.
Ma le disavventure non sono finite. "Una volta rientrata nel mio profilo ho realizzato che chi mi aveva hackerato era un libico, o quantomeno qualcuno che usava un prefisso libico e aveva associato il mio profilo Instagram a vari profili Facebook che gestiva. Inoltre aveva scritto a quasi tutti i miei contatti e diffuso vari messaggi di spam. Quando ho provato a cambiare le credenziali probabilmente se ne era accorto e mi ha estromesso dall'account".
Catia aveva praticamente scoperto che il suo account - associato ad altri gestiti in modo simultaneo - era diventato di fatto tutti un bot, un programma utilizzato per simulare un essere umano che compie azioni ripetitive in serie, al servizio di un criminale digitale che vuole truffare i suoi contatti social.
A quel punto Catia è costretta di nuovo a eseguire la procedura di videoselfie e ricominciare nuovamente da capo. Passaggi non immediati resi ancor più difficili da una tensione nervosa crescente. Si avvale però questa volta dall'aiuto di un conoscente esperto di sicurezza informatica. "Senza di lui - ammette Catia - non so se ce l'avrei fatta. Alla fine è riuscito a farmi riavere le mie credenziali e restituirmi l’account in un tempo relativamente utile".
Prova a denunciare infine tutto alla polizia postale che però non le dà retta. Le consigliano di segnalare tutto sul sito, ma la denuncia vale solo se la violazione è ancora in corso.
"L’aspetto paradossale è che avevo i dati di un criminale, ma non sapevo a chi darli. La polizia, presa da altre urgenze, mi ha praticamente snobbato. Certo, non parliamo del furto di credenziali bancarie o di cose molto gravi come la pedopornografia, ma sono comunque dati che potrebbero essere utili anche per prevenire truffe più grandi, il problema è che l’interesse non c'è" denuncia.
Eppure, per il nostro codice penale, anche il furto di un account social è un reato. Chi sottrae ai legittimi proprietari profili social può essere punito fino a 3 anni. E le truffe sono in vertiginoso aumento e, sfortunatamente, non hanno a che fare solo con gli account social.
Un fenomeno in crescita che riguarda tutti
Per renderci conto dell'ampiezza del fenomeno basta ricordare che solo nel 2021 nel mondo sono stati sottratti 5 miliardi di dati tra email, carte di credito, carte di identità e passaporti. Ma bisogna fare attenzione a non confondere il furto di credenziali con il furto di identità: "Quando parliamo di furti di identità parliamo di persone o gruppi criminali che utilizzano i nostri dati personali per realizzare azioni concrete sostituendosi a noi, come aprire conti correnti o linee telefoniche" ci spiega il professor Stefano Zanero, esperto di sicurezza informatica e professore ordinario del Politecnico di Milano. "Una volta che sono in possesso dei dati personali di un'altra persona posso organizzare attività criminose di vario tipo. Ad esempio posso accendere una carta di credito dove fare transitare i proventi della mia attività illecita: se la Guardia di Finanza lo scopre la responsabilità sarà della persona a cui è stata rubata l'identità e non del cybercriminale".
Diverso è il caso che abbiamo raccontato sopra. In questo caso parliamo di furti di credenziali che possono avere comunque conseguenze gravi (ad esempio se hanno a che fare con i nostri dati bancari), ma che non hanno a che fare formalmente con la violazione della nostra identità.
E la sottrazione degli account social è una piaga in crescita. Riuscendo a rubare l'account di una persona si ha una leva molto forte per indurre in tranelli gli amici della vittima, come abbiamo visto nella storia di Catia.Non sono attacchi veri e propri, ma mezzi per ottenere qualcosa. E il furto delle credenziali social è sicuramente funzionale ad azioni che vanno dal semplice spam fino alla truffa vera e propria.
Come capire se i nostri account sono stati violati
Quello che è certo è anche il web comune è cosparso dei nostri dati, anche a causa delle nostre cattive abitudini. "Ci sono già miliardi di password che si trovano gratuitamente online perché molti utenti non hanno l’abitudine di cambiarle e magari sono state sottratte durante un'aggressione informatica. Spesso sono elenchi e database accessibili pubblicamente" ci spiega il professor Zanero. Per vedere se il nostro account compare in una di queste liste basta andare su questo sito e digitare cosa si desidera controllare. Il sito haveibeenpwned tiene infatti traccia delle aggressioni informatiche e rilascia liste aggiornate sulle credenziali violate.
Ma in generale, il consiglio è quello di fare sempre attenzione alle password: "Cambiare le password è una pessima idea. Le password devono essere tutte diverse, non cambiate spesso e in modo uniforme per tutti i nostri account - ci spiega il professor Zanero - Il miglior investimento che si può fare per la propria sicurezza è usare un password manager. La password migliore è quella che non si riesce a ricordare perché è stata creata casualmente. Non siamo in grado umanamente di creare chiavi di accesso sensate per tutti i siti".
Si scrive Sim Swap si traduce in conto corrente svuotato
L'operazione Ghost Money che, nello scorso mese di maggio, ha fatto scattare le manette per sei cybercriminali dislocati tra Roma e Torino è la dimostrazione di quello che possiamo rischiare con la diffusione delle truffe on-line. La banda, dopo aver sottratto le identità digitali, riusciva a clonare le sim e saltare i sistemi di doppia autenticazione dell'internet banking che utilizziamo comunemente. I criminali rubavano le identità digitali, riciclavano denaro e - soprattutto - truffavano cittadini e banche riuscendo a sottrarre fino a tre milioni di euro. Soldi che venivano subito trasferiti in Svizzera e finivano poi a Dubai.
Una tecnica sempre più diffusa: "C'è una prima fase di pishing che porta alla sottrazione delle nostre credenziali statiche, ma siccome tutti ormai utilizziamo sistemi a doppia autenticazione questo non basta più - spiega Stefano Zanero - Quindi c’è un secondo attacco chiamato di sim swap, ovvero scambio della Sim. Per ricevere il codice mandato dalla banca ci si fa fornire una copia della Sim da un operatore connivente o attraverso varie tecniche, come il vero e proprio furto di identità digitale. Ed è esattamente il motivo per il quale molti operatori bancari si stanno spostando sulle app per garantire la sicurezza degli utenti".
Le frodi creditizie, realizzate tramite furto di identità, nel 2022 livello a livello nazionale hanno provocato un danno di circa 124,6 milioni di euro. Cifre che invitano a riflettere. E se sul deepweb (la parte di internet non indicizzata dai comuni motori di ricerca) i nostri dati personali sono in vendita preferibilmente a "mazzi" per permettere a chi le acquista di agire su grandi quantità di account e profili, è tutto il cybercrime a dover essere riconsiderato.
"Molte delle attività dei criminali informatici sono ormai altamente specializzate - ci spiega il professor Zanero - Abbiamo quest’idea romantica del ragazzino con la felpa e il cappuccio davanti a un pc che realizza tutta la catena che porta fino all'azione criminale vera e propria, ma non funziona certo così".
E la realtà è che in criminali informatici lavorano su singoli pacchetti. Qualcuno può, ad esempio, occuparsi solo di sistematizzare le singole liste di identità digitali, mentre un altro può creare il malware per rubare i dati degli utenti. Questi pezzi vengono poi rivenduti sul deep web e messi a disposizione di chi vuole portare avanti l’azione criminale vera e propria.
"Ma sono solo due piccoli esempi di una filiera ormai molto complessa: siamo di fronte a una vera e propria industria" conclude Stefano Zanero. Un'industria criminale con cui tutti noi, direttamente o indirettamente, siamo purtroppo chiamati ad avere a che fare.
Continua a leggere su Today.it...
