Violazioni di massa di account Twitter in corso: prendete precauzioni

Marzo 15, 2017 5:28, by Il Disinformatico

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora.

Da qualche ora è in corso una serie di violazioni di account Twitter in tutto il mondo. Sembrano violazioni fatte a caso e in maniera automatica, al ritmo di qualche decina al minuto. Sono coinvolti anche account molto popolari e verificati, da Italotreno a Eni a Forbes a Boris Becker a Justin Bieber.

Le prime indicazioni suggeriscono un possibile nesso con l’uso dell’applicazione TwitterCounter.

Per farvi un’idea della portata delle violazioni, potete seguirle in tempo reale qui su Twitter. 

Cose da fare: 

1. Guardate se avete Twittercounter fra le vostre applicazioni: https://twitter.com/settings. Se sì, revocate il suo accesso.

2. Attivate la verifica in due passaggi: https://twitter.com/settings/account. Abilitate sia Verifica le richieste d'accesso, sia Richiedi informazioni personali per reimpostare la password.

3. State calmi :-)


Fonti aggiuntive: CNBC.

Ho risposto a un annuncio di compravendita di reni (quarta parte): i nomi e gli indirizzi reali dei truffatori, e come contrastarli

Marzo 12, 2017 11:40, by Il Disinformatico

Grazie Stefano!

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Pubblicazione iniziale: 2017/03/11 17:27. Ultimo aggiornamento: 2017/03/12 15:30.

Questa storia è più comprensibile e godibile se ne leggete le puntate precedenti (prima, seconda, terza), ma in sintesi, oggi pomeriggio, dopo che ho mantenuto un misterioso silenzio per un paio di giorni, ho ripreso contatto con il truffatore che dice di voler comperare un rene da me (o meglio, dalla giovane donna che sto simulando di essere).

In attesa di un’eventuale risposta, comincio a pubblicare qui i nomi, gli indirizzi e gli altri dati effettivamente usati dal truffatore. Per non rendere visibile in Google questo articolo, li pubblico in forma di immagine. Mi scuso con chi non può leggere le immagini: pubblicherò i dati in forma testuale a fine indagine.


Questi sono alcuni link a pagine che contengono riferimenti a questi dati: Disqus, Google Plus, Experience Project, Gianluca Grossi, Mfisk.org.

Questo, invece, è l’header di uno dei messaggi del truffatore: potete divertirvi ad analizzarlo. Ho omesso soltanto i nomi degli utenti per evitare che questo articolo sia googlabile dai truffatori e ho sostituito i simboli di maggiore e minore con le parentesi graffe.

Delivered-To: g****@gmail.com
Received: by 10.80.183.175 with SMTP id h44csp877324ede;
Wed, 8 Mar 2017 07:05:14 -0800 (PST)
X-Received: by 10.36.90.194 with SMTP id v185mr25738042ita.85.1488985514347;
Wed, 08 Mar 2017 07:05:14 -0800 (PST)
Return-Path: {i****@gmail.com}
Received: from mail-it0-x22b.google.com (mail-it0-x22b.google.com. [2607:f8b0:4001:c0b::22b])
by mx.google.com with ESMTPS id c26si3876858iod.194.2017.03.08.07.05.13
for {g****@gmail.com}
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Wed, 08 Mar 2017 07:05:14 -0800 (PST)
Received-SPF: pass (google.com: domain of i****@gmail.com designates 2607:f8b0:4001:c0b::22b as permitted sender) client-ip=2607:f8b0:4001:c0b::22b;
Authentication-Results: mx.google.com;
dkim=pass header.i=@gmail.com;
spf=pass (google.com: domain of i****@gmail.com designates 2607:f8b0:4001:c0b::22b as permitted sender) smtp.mailfrom=i****@gmail.com;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gmail.com
Received: by mail-it0-x22b.google.com with SMTP id h10so97478951ith.1
for {g****@gmail.com}; Wed, 08 Mar 2017 07:05:13 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=20161025;
h=mime-version:in-reply-to:references:from:date:message-id:subject:to;
bh=mjTam2pvNWz0EqHHxrmxc8ntMR7DstkoDMubK5uvMBg=;
b=EbOsCEQO4MVmlRgyfHIQXdrp8pkcYDsqE8St1ae444d43zDmZ37CT/hH+x8AY7Lnax
NVEXkCjudFizK2d1RRSyKu9SXewogZzyAMngQcEws+zLhOl3ldE2ZtBB9L5Dhwh+4t0L
EqwHasvsRltErcQ2IxQ2IuyH3taxElk+MCsCxj7cjFtUP39C0Pi73VwH8l/Z/oOEjptV
F0QZ6iXLAdNuKLBYTjDsyhd4g2XyvANR3ZHRu9zOS+HtNNP6uceAU4oNjAGl72ITB0U5
n76WJkDb6Xr2nt274+C5+lmbWpVn/qpPeJj+43DpFIus3j/S5QDXHC75V/5FsnfObVdk
cqBQ==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20161025;
h=x-gm-message-state:mime-version:in-reply-to:references:from:date
:message-id:subject:to;
bh=mjTam2pvNWz0EqHHxrmxc8ntMR7DstkoDMubK5uvMBg=;
b=bRfHbTCXaa72+v4C7n9RiCRlQPhcLcJ5LMqxkcKGVyC7ongdJWT/zixh/AO7wwG68M
BWAQ8MT33ul0l75ZClqzMXAbDoxdaLs5Ap5Wb0ChVy9LoOWnl/3YuFY4mGABsWXrVuY5
IU1oDZkS6WYkI7KHYBvMrx3QySoDmvClsepwZxq8RXJU8DRYI9hREh7bVLoWMWKVu3pZ
DBY1t21MfP7QWjuhEbwbd8d4L2+HuSY1uzfGhiBZheSxCOxx1efVkqfw+qVIcoANkEPE
3rKcrFeHNTQKFhsm313pKjh8X+smiSe/sUVlM9QjLexTpNUzRNb0l+XBjvCCcndNQkUI
I4aQ==
X-Gm-Message-State: AMke39lqklfi/NRhwUEy2XLjU4bQeS8dZ8MZ4amcGsmXN/2HuvG2uCwMGTKFdjkhboG8M9sa4EIJ8JHwWXcUbQ==
X-Received: by 10.107.186.67 with SMTP id k64mr7681392iof.28.1488985477775; Wed, 08 Mar 2017 07:04:37 -0800 (PST)
MIME-Version: 1.0
Received: by 10.79.18.132 with HTTP; Wed, 8 Mar 2017 07:04:37 -0800 (PST)
In-Reply-To: {CAPya2+U_kdvP7LwbppmOW5_1BrEOn-_zHau8EbGdsWgbgROXpQ@mail.gmail.com}
References: {CAPya2+VwDYgJK3WtNwk17_PqmCnwAPXOFS2Vb9JkmggTQw4rfA@mail.gmail.com} {CAH=zpPZ_shjj2JEHRJk-O5C42EXJ9zBBEH=Fy9a9Kvb+qc_4iA@mail.gmail.com} {CAPya2+VWVU2k2dWG1x3cMN9wxSzXqvsj6i3fh6bwQM7VhGog7g@mail.gmail.com} {CAH=zpPbC3F4RU4Rq+xj+F5Po01gJhsCOrA2GLEdTvOgX8CGJ0g@mail.gmail.com} {CAPya2+VOFPP6TgcWg0DCmCR3-zyQ=Ne4d-vh2OUJQ-kk+EGYyw@mail.gmail.com} {CAPya2+U93k-rbM+6Li6k0YUO8OgshwR6BCn7BbdSD-Gi=A0OZg@mail.gmail.com} {CAH=zpPZDxub_QOSF=AGePU_MUFWBN8tpi15MKRYn16B2jj1kUg@mail.gmail.com} {CAPya2+U_kdvP7LwbppmOW5_1BrEOn-_zHau8EbGdsWgbgROXpQ@mail.gmail.com}
From: R** K**** {i****@gmail.com}
Date: Wed, 8 Mar 2017 16:04:37 +0100
Message-ID: {CAPya2+X6JAZXLM8bWzwtDgNAoFHsSzZ94ARsDkyRmu7HfFkhHA@mail.gmail.com}
Subject: Re: RICHIESTA RISPOSTA URGENTE
To: [omissis] {g****@gmail.com}
Content-Type: multipart/alternative; boundary=94eb2c07701e7a90a1054a397276

--94eb2c07701e7a90a1054a397276
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Ciao,

Come stai? Qual =C3=A8 la situazione delle cose in questo momento, Aspetto =
una
tua risposta.

*[omissis] ospedale specializzato di insegnamento.*

--94eb2c07701e7a90a1054a397276
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

{div dir=3D"ltr"}{div class=3D"gmail_extra"}{div class=3D"gmail_extra"}{fon=
t face=3D"verdana, sans-serif"}Ciao,{/font}{/div}{div class=3D"gmail_extra"=
}{font face=3D"verdana, sans-serif"}{br}{/font}{/div}{div class=3D"gmail_ex=
tra"}{font face=3D"verdana, sans-serif"}Come stai? Qual =C3=A8 la situazion=
e delle cose in questo momento, Aspetto una tua risposta.{/font}{/div}{div =
class=3D"gmail_extra"}{font face=3D"verdana, sans-serif"}{br}{/font}{/div}{=
div class=3D"gmail_extra"}{font face=3D"verdana, sans-serif"}{b}[omissis] osped=
ale specializzato di insegnamento.{/b}{/font}{/div}{/div}{/div}

--94eb2c07701e7a90a1054a397276--

Lo strumento di analisi degli header offerto da Google mostra questo percorso del messaggio del truffatore:



2017/03/11 18:10. Questo è il testo del messaggio che ho inviato al truffatore oggi alle 14:27.

Sir,

I am Officer M*** N*** of the Swiss Federal Crime Office in Zurich. I am contacting you confidentially because your name was found in recent e-mail correspondence with Miss G*** C*** by my colleagues of the Forensics Department during a search of her home. You were the last person to whom she wrote.

I am very sorry to say that Miss C*** was found dead in violent circumstances yesterday morning. I cannot discuss details of the case by e-mail. Please give me a telephone number where I can speak with you confidentially. I speak English, German and Italian.

Please do not be alarmed. My duty is only to establish the facts regarding Miss C***'s death and I am contacting all persons who were in contact with her over the last week. Currently you are not accused of any crime: you are merely a person of interest.

I would like to ask you some questions:

1. Can you provide details of the financial transaction between you and Miss C*** in relation to a kidney donation?
2. Miss C*** sent you intimate photographs and you responded. Could you explain the nature of your personal relationship with Miss C***?
3. What information can you provide about a Mr. Gonzales of NKF, with whom Miss C*** was communicating and to whom she was sending money?

I would be very grateful if you could respond promptly so that I can close this matter and, if appropriate, exclude you from this investigation. Your cooperation is most welcome.

Sincerely,

M*** N***
SFCO Zuerich

Il messaggio è decisamente implausibile, lo so (e oltretutto l’ho spedito dalla mail di “Deb” e il nome del funzionario svizzero è una storpiatura di “rene” in tedesco). Ma lo era anche la storia di Deborah, imbalsamatrice russa e ragazza madre, con una figlia di nome Radegonda (o Ludmilla), eppure questo non ha impedito al truffatore di tentare il dialogo. Secondo voi risponderà?


2017/03/12 15:30. Finora nessuna risposta diretta da parte del truffatore. Ma sorprendentemente ho ricevuto oggi in questo blog due altri commenti che promuovono la stessa truffa, fatta usando lo stesso indirizzo di mail e lo stesso nome del truffatore che descrivo qui. Il bello è che il commento è arrivato all’articolo che state leggendo. Ne allego qui sotto uno screenshot:


Questo sembra indicare due cose: chi invia i commenti promozionali non considera assolutamente il contesto del post al quale li invia, e chi invia questi commenti non si coordina con chi invece segue coloro che rispondono ai commenti promozionali. Sembra insomma abbastanza chiaro che queste truffe non sono gestite da singoli o piccoli gruppi di criminali, ma sono in mano a una vasta organizzazione truffaldina i cui vari livelli non si parlano affatto.

A questo punto mi pare di capire che il punto più vulnerabile dell’intera organizzazione sia l’indirizzo di mail. Se questo indirizzo venisse bloccato (segnalandolo a Google, per esempio, oppure intasandolo di finte offerte di donazione), la campagna di spamming sarebbe vanificata (tutti i commenti postati sarebbero inutili perché porterebbero a un indirizzo inesistente o inservibile), le trattative in corso verrebbero interrotte e i truffatori dovrebbero abbandonare quell’indirizzo, attivarne uno nuovo, disseminare il cambiamento nell’organizzazione e ricominciare la campagna di spamming da capo.

Ci sono due modi fondamentali per segnalare a Google un indirizzo Gmail usato per truffe se avete ricevuto almeno un messaggio del truffatore:

• Il primo è andare qui e compilare il modulo, immettendo l’indirizzo del truffatore alla voce Indirizzo Gmail completo della persona interessata dal problema e copiaincollando il titolo, gli header e il corpo del messaggio del truffatore.
• Il secondo, più semplice, è consultare via Web la propria mail su Gmail:, visualizzare il messaggio del truffatore, cliccare sul triangolino accanto alla freccia di risposta e far comparire un menu dal quale scegliere Segnala phishing, come mostrato qui sotto (sì, si sceglie questa voce anche se la compravendita di reni non è phishing in senso stretto, perché Gmail dice che “Il phishing è un tipo di attività fraudolenta con cui il mittente di un messaggio cerca di truffare il destinatario portandolo a divulgare informazioni personali importanti come una password o un numero di conto bancario, effettuare trasferimenti di denaro o installare software dannosi. Di solito il mittente si finge rappresentante di un'organizzazione legittima”).

In sintesi:

1. Usate un indirizzo Gmail sacrificabile (potrebbe finire in mano a spammer).
2. Accedete via Web a questo vostro indirizzo.
3. Inviate un messaggio all’indirizzo del truffatore (in questo caso, irruaspecialisthospital20@gmail.com).
4. Se il truffatore vi risponde da questo stesso indirizzo, segnalate la sua risposta come phishing (non come spam) a Google (come mostrato qui sotto).
5. Se il messaggio che avete inviato all’indirizzo del truffatore viene respinto perché l’indirizzo non esiste più, vuol dire che Google ha bloccato l’indirizzo e la campagna del truffatore è vanificata: scrivetemi e avvisatemi, così festeggiamo.
6. Ripetete dal passo 1 per ogni indirizzo di truffatori su Gmail che incontrate.
7. Buon lavoro!

È importante aver ricevuto almeno una mail dal truffatore, altrimenti la segnalazione non è possibile.

Se non avete un indirizzo Gmail ma ne avete uno su Yahoo o Hotmail, procedete così:

• su Yahoo: tramite l’interfaccia web per la mail, segnalate come phishing la mail che avete ricevuto dal truffatore
• su Hotmail: inoltrate a abuse@hotmail.com la mail che avete ricevuto dal truffatore

Aggiornerò ancora questo articolo man mano che ci saranno risposte e novità.