Blog di "Il Disinformatico"

Truffa della falsa assistenza Microsoft, arresti in India

30 de Novembro de 2018, 8:56, por Il Disinformatico

Buone notizie sul fronte della lotta alle truffe online che seguono lo schema della falsa assistenza Microsoft: in India, segnala ZDNet, sono state arrestate 63 persone dopo che la polizia ha visitato 26 call center nei quali gli addetti telefonavano a persone a caso in tutto il mondo spacciandosi per rappresentanti dell’assistenza tecnica di Microsoft, Google, Apple e altre aziende molto conosciute e convincevano le vittime a pagare da 100 a 500 dollari per servizi fasulli o inesistenti.

Microsoft ha dichiarato di aver ricevuto oltre 7.000 segnalazioni da una quindicina di paesi a proposito di questi call center presso il suo apposito servizio. Le perquisizioni hanno permesso di sequestrare copioni per le chiamate, registrazioni di telefonate e dati dei “clienti” di questi raggiri, che secondo i dati raccolti da Microsoft ha toccato tre su cinque utenti Windows nel 2017. Il dato è leggermente in calo, ma c’è ancora molta strada da fare.

Per incamminarsi lungo questa strada valgono le solite raccomandazioni:

Ricordate che Microsoft non vi chiamerà mai per offrire assistenza tecnica non richiesta; è il cliente che deve chiamare se ha bisogno.
Diffidate di qualunque telefonata inattesa o di qualunque messaggio pop-up inaspettato che compare sul vostro schermo di computer, tablet o telefonini.
Non telefonate a eventuali numeri che compaiono negli avvisi e non cliccate su inviti a scaricare software o effettuare scansioni del vostro dispositivo.
Non cedete mai il controllo del vostro computer a terzi se non siete in grado di confermare che si tratta di legittimi rappresentanti di un’azienda informatica di cui siete già clienti.
Se avete il minimo dubbio, prendete nota del nome e del numero della persona che vi ha contattato e segnalatelo alle autorità locali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

MELANI: usare la stessa password ripetutamente aiuta i criminali

30 de Novembro de 2018, 8:35, por Il Disinformatico

Più chiaro di così non si può: la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) della Svizzera dice esplicitamente che “Chi utilizza la stessa password più volte agevola i cyber criminali”. Lo fa annunciando la pubblicazione del suo ventisettesimo rapporto semestrale, che racconta i maggiori incidenti informatici avvenuti in Svizzera e all’estero nel primo semestre del 2018.

MELANI sottolinea che molti utenti “hanno la cattiva abitudine di utilizzare la stessa password per accedere a diversi servizi online come webmail, e-banking e negozi online. Ciò semplifica di molto il lavoro dei criminali e consente loro di tentare sistematicamente di accedere ai servizi internet di diversi fornitori con i dati ottenuti da varie fughe di dati. In un caso gli hacker hanno utilizzato quasi un milione di queste credenziali provenienti da differenti fonti per tentare di accedere a un portale online.”

Il rapporto spiega che i siti di e-commerce e altri servizi Internet vengono regolarmente violati per rubare i dati dei clienti. Se il furto include le password, i criminali tentano di usare la stessa coppia nome utente/password anche su altri siti, e siccome gli utenti tendono a usare la stessa password ovunque, di solito i malviventi hanno successo.

Se volete sapere se il vostro indirizzo di mail è stato oggetto di furto di credenziali, potete digitarlo nell’apposito strumento di controllo offerto da MELANI presso www.checktool.ch, che vi avviserà se il vostro indirizzo è presente nei vari database di dati rubati di cui la Centrale è a conoscenza.

La raccomandazione di questi esperti è di usare password sufficientemente lunghe, in modo che siano difficili da indovinare, e di adoperare password differenti per ciascun sito di e-commerce e/o servizio, attivando se possibile l’autenticazione a due fattori.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Se chattate con un servizio clienti online, attenti a quello che scrivete prima di premere Invio: lo potrebbero leggere

30 de Novembro de 2018, 8:15, por Il Disinformatico

Molti siti di commercio elettronico offrono oggi un servizio di chat in tempo reale con il servizio clienti. Normalmente ci si aspetterebbe che quello che si scrive venga trasmesso all’interlocutore soltanto dopo aver premuto Invio. In fin dei conti, il tasto si chiama Invio, no?

Non sempre: Tom Scocca di Hmm Daily segnala di aver notato che alcuni degli operatori di queste chat di assistenza rispondevano in modo incredibilmente fulmineo. In un caso, una domanda piuttosto tecnica ha ricevuto una risposta dettagliata, completa di link al prodotto in oggetto, un secondo dopo che la domanda era stata inviata.

Incuriosito, Scocca ha scoperto con una semplice ricerca in Google che esistono società che offrono servizi di chat che permettono agli operatori di leggere in anteprima quello che stanno scrivendo i clienti:

“Prima che il cliente clicchi su ‘Invia Messaggio’, potete vedere in tempo reale quello che sta digitando il cliente. Questo vi dà più tempo per preparare una risposta o una soluzione al problema del cliente. I clienti apprezzeranno le vostre risposte rapide e precise.”

Gizmodo ha confermato questo fenomeno chiedendolo direttamente a uno degli operatori di un sito di e-commerce. Altre società che offrono questo tipo di anteprima dicono di lavorare per McDonalds, Ikea e PayPal.

Le intenzioni sono buone, insomma, ma il fatto di non dichiarare che le digitazioni vengono trasmesse immediatamente finisce per sembrare piuttosto inquietante, e la presenza del pulsante Invio è sostanzialmente un inganno. Fate insomma attenzione a quello che scrivete nelle chat commerciali.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Riconoscimento facciale in Cina e controllo sociale

30 de Novembro de 2018, 7:34, por Il Disinformatico

La recente trasmissione della RSI Dataland ha raccontato il sistema di controllo sociale automatizzato adottato in alcune città della Cina, dove telecamere dotate di riconoscimento facciale identificano chi attraversa le strisce pedonali quando ha il semaforo rosso. Il volto e il nome della persona vengono mostrati istantaneamente su un megaschermo.

A Shenzen, per esempio, chi viene colto a commettere ripetutamente questo comportamento vietato viene punito perdendo punti nel proprio “credito sociale”: perde l’accesso a prestiti, non può prendere un aereo o un treno ad alta velocità, e altro ancora. No, non è una puntata di Black Mirror: questa è la realtà resa possibile dai costi bassissimi dei sistemi di sorveglianza di massa.

Gli amanti dell’ordine sociale potrebbero dire “Beh, ma dove sta il problema? Basta rispettare la legge.” Ma cosa succede quando questi sistemi automatizzazi sbagliano e riconoscono una persona che non c‘entra nulla?

È successo proprio questo, secondo quanto riporta il South China Morning Post: nella città portuale di Ningbo, il sistema ha colto in fallo la signora Dong Mingzhu, perché ne ha riconosciuto il volto, e l‘ha denunciata pubblicamente facendo comparire il suo volto e il suo nome sul megaschermo della vergogna.

Ma Dong Mingzhu non aveva affatto attraversato le strisce col rosso: il suo volto era presente nella pubblicità sulla fiancata di un autobus che transitava sul passaggio pedonale. La signora, infatti, è una notissima imprenditrice che dirige una grande azienda di impianti per l’aria condizionata.

La polizia locale si è prontamente scusata e ha detto che il sistema è stato completamente aggiornato. La signora Dong ha orwellianamente ringraziato la polizia per il proprio lavoro e invitato la popolazione a rispettare le regole del traffico. Ma viene da chiedersi cosa sarebbe successo se la persona erroneamente riconosciuta non fosse stata una celebrità capace di far sentire la propria voce.

Fonte: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Installare cuffie Sennheiser rende(va) vulnerabili i PC

30 de Novembro de 2018, 5:26, por Il Disinformatico

Quando pensi di averle viste tutte in informatica, arriva sempre qualche notizia ancora più bizzarra. Installare un software di gestione per cuffie rendeva permanentemente vulnerabili i computer Windows.

L’azienda di sicurezza informatica Secorvo ha scoperto che Headsetup e Headsetup Pro, i programmi che installano i driver per le cuffie Sennheiser, installavano anche due certificati digitali di root malamente configurati (tanto per dirne una, la chiave privata e la passphrase per usarla erano scritte in chiaro in due file, e la passphrase era SennheiserCC).

Questo consentiva a qualunque criminale informatico di generare certificati digitali con i quali creare siti-trappola che si spacciavano perfettamente per Google, Apple, Microsoft o una banca, rendendo facili gli attacchi informatici sui computer nei quali era stato installato il software Sennheiser.

Cosa peggiore, i computer restavano vulnerabili anche dopo che era stato disinstallato il software, perché la disinstallazione non rimuoveva i certificati digitali difettosi.

Sennheiser ha pubblicato un aggiornamento correttivo e Microsoft ha diffuso un aggiornamento che disabilita i certificati digitali erronei. Chi usa le cuffie di questa marca dovrebbe quindi aggiornare il software; chi ha installato il software in passato dovrebbe eliminare il certificato digitale fallato seguendo queste istruzioni per Mac e queste per PC Windows.

Fonti aggiuntive: BoingBoing, Bleeping Computer, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.