Economia e mercato 30 Mar
Se per molti il primo aprile è stato un giorno come un altro, per altri un sabato dove pianificare alcuni scherzi e farsi quattro risate. C'è pero chi ha rischiato di passare una giornata con un forte mal di testa a causa di un tentativo di scam molto furbo e non facilissimo da individuare. Le vittime siamo stati noi di HDblog ma vogliamo parlarvene in quanto, oltre ad essere un tentativo molto ben fatto, ha come oggetto Instagram e l'infrazione di copyright che, guarda caso, diventa molto plausibile se consideriamo le ultime vicissitudini di meta.
Riteniamo quindi che non solo noi ma anche molti altri account possono essere stati presi di mira o potrebbero esserlo in futuro. Dunque, come sempre, non solo massima attenzione alla posta elettronica e agli indirizzi mail che vi richiedono interventi particolari o inserimento di password, ma utilizzate comunque un autenticazione a due fattori e magari un sistema tipo Google Authenticator per essere ancora più tranquilli.
LA MAIL ARRIVATA
Tutto parte da una mail arrivata al nostro indirizzo ufficiale di posta elettronica. Avendo a che fare con centinaia di contenuti pubblicati al mese che contengono audio, video e immagini, siamo abbastanza abituati a mail di infrazione di copyright automatiche generate dai sistemi di controllo di Youtube, Meta e non solo. Utilizzando dei servizi che consentono il download a pagamento e quindi l'acquisto di materiale audio e video (banalmente le musichette che sentite in sottofondo ai video), è abbastanza comunque che i sistemi non capiscono che la canzone è acquistata e venga richiesta la prova o comunque la conferma che non stiamo compiendo un'infrazione.
Dunque arrivata la mail, dopo un controllo rapido dell'indirizzo di posta del mittente, abbiamo iniziato a leggere il contenuto per capire quale fosse la contestazione.
Come vedete la mail sembra legittima, ha una buona impaginazione, ha i loghi corretti e il nome del nostro account. Diciamo che ad una priva visione non sembra nulla di diverso da altre mail simili che abbiamo ricevuto in passato. Avendo comunque una certa esperienza nel settore, abbiamo controllato la mail del mittente ma, essendo sabato tardo pomeriggio, lo abbiamo fatto tramite smartphone e non ci siamo accorti subito di un dettaglio nascosto.
Sopra vedete due screenshot che mostrano a destra guardando lo schermo, la mail ufficiale di Instagram e a sinistra la mail fake di questo tentativo di Scam. Avete visto la differenza? Vi aiutiamo:
- security@mail.lnstagram.com
- security@mail.instagram.com
Ora probabilmente l'avrete notata ma non è comunque facile da vedere anche scrivendovi le mail così, soprattutto se state leggendo questo articolo da smartphone o siete un minimo distratti. Avere "esperienza" in questo caso può anche essere controproducente perchè magari vi ricordate che la mail security@mail... è giusta perchè letta altre volte in altre mail e ci cascate in pieno.
Eppure basta scambiare una i con una I e il gioco è fatto. Ma cosa sarebbe successo se avessimo cliccato sul tasto blu della mail?
Si sarebbe aperta la pagina che vedete sopra che, guardacaso, non solo ha tutte le informazioni nostre corrette, ma mostra anche uno degli ultimi contenuti che abbiamo caricato su Instagram e una descrizione che ci invita a fare un ulteriore azione per dimostrare che non abbiamo violato alcuna regola.
Cliccando su Send ecco che si apre un'altra pagina, molto ben fatta e corretta, in cui veniamo invitati a inserire una password.
Anche in questo caso la pagina non solo sembra essere corretta, ma ci sono le informazioni giuste del nostro account e dunque la "voglia" di inserire la password per dimostrare che il video non ha infranto nessun copyright potrebbe essere alta.
Fortunatamente i campanelli di allarme ci sono, o meglio, ci sarebbero se uno fosse in grado di vederli. Il primo è che NON si mette mai una password di qualunque genere in un sito a fronte di una richiesta. Al massimo si sarebbe dovuta aprire l'applicazione, già molto più complessa da bypassare o simulare.
Il secondo è che nel controllare la mail ci siamo accorti subito di un "errore". Infatti sebbene la mail sia arrivata alla nostra casella di posta ufficiale, per i Social utilizziamo un alias e quindi una mail diversa che comunque arriva sempre nella stessa casella. In parole povere, la mail di Instagram sarebbe dovuta arrivare ad un indirizzo diverso ma dello stesso dominio. Questo a noi è bastato per accendere tutti i campanelli ancora prima di cliccare sulle varie sezioni della mail. Questo però per molti non accadrebbe visto che difficilmente avrete configurato mail diverse per servizi diversi con alias o simili.
Il terzo campanello è ovviamente quello di controllare la URL di destinazione del link presente nella mail.
https://fb-liveconfirm.com/453464574567/3273280376
In questo caso è facile capire che non si tratta di una url legittima anche se si potrebbe comunque cadere nel tranello in quanto è comunque presente la scritta fb (Facebook) e liveconfirm non aiuta in generale.
VIDEO E CONCLUSIONI
Vi abbiamo portato all'attenzione questo tentativo di pishing perchè rispetto a tanti altri che abbiamo ricevuto nel corso del tempo, questo è molto insidioso: da una parte sfrutta una novità, ovvero il "caso" Meta vs SIAE che per molti creator potrebbe avere piccole conseguenze nella scelta dei contenuti video e musicali da inserire e pubblicare, dall'altro la struttura della mail, l'indirizzo del mittente e il sito di destinazione sono comunque molto ben fatti e non facilissimi da identificare come illegittimi.
Fate sempre quindi molta attenzione, controllare ogni singolo elemento di una mail di questo tipo, attivate tutti i sistemi di protezione password e, in ultima analisi, non mettete mai password su siti che si aprono da un qualsiasi link in mail a meno che non abbiate verificato con estrema attenzione la legittimità di quel sito/mail.
Infine, ecco il video oggetto della mail, perfettamente in tema con il primo di aprile...
Commenti
perfetto, ti ringrazio! Parlando di cassaforte (vault) pensavo che funzionasse anche da gestore password! Provvedo a scaricare Aegis! Grazie infinite!
Aegis è solo un app per generare codici due fattori non gestisce le password. Se vuoi attivare la 2fa per Bitwarden ti basta entrare nelle impostazioni del tuo account bitwarden e attivarla... quindi poi dovrai inquadrare con l'app Aegis il QR code che bitwarden ti mostrerà a schermo, salvarlo, e inserire il codice... ed è fatta
Giusto ma ho risolto con un paio di foto :D
Ciao Eric, ne approfitto dato che vedo che sei ben informato. Io sto usando BITWARDEN. Non ho capito però come attivare il 2FA. Posso usare Aegis per attivare 2FA su Bitwarden? Dal sito di Aegis vedo che funziona anche da gestore password. Ho capito male? Grazie!
Io mi sono sempre chiesto come possono aver pensato che fosse una buona idea fare la i maiuscola così simile alla l minuscola
no vedi che non te lo fa fare lo screen, dice che è una schermata protetta, devi vedere se con qualche app screenshot esterna te lo fa fare o blocca comunque
Ottima domanda, io penso di no, ovviamente
Si certo ma è sufficiente screenshottare i 2 qrCode e tenerli come backup; se perdi il telefono devi preoccuparti di altro mi sa, per il reset uso lo screenshot
Provare altri servizi comunque validi ci sta
Se perdi il telefono o se devi resettarlo a causa di qualche problema hw non puoi fare questo passaggio.
a differenza tua non ho usato un assolutismo quindi non è valida la tua tesi
Non ci sono più gli scherzi del pesce di aprile di una volta!
No, tu hai scritto "non sono sensibili nemmeno ai punti e puoi aggiungere alla fine dell'indirizzo +qualsiasicosa@dominio.com", come se lo facessero tutte e non è così.
no, credevi che solo google fornisse questo servizio, mentre io non ho scritto che tutti i domini funzionassero così.
Ma non ho mai detto che sia un sistema inutile, ho detto che non è una funzione presente universalmente su tutti i domini mail.
L'unica funzione mancante è il backup automatico sul cloud ma per tutto il resto è perfetta così com'è. Fatico a trovarle un difetto
è un sistema utile per capire chi vende i tuoi dati. Es: mi iscrivo su disqus con jonknow+disqus@gmail.com. Mi arriva spam all'indirizzo jonknow+disqus@gmail.com e so che disqus vende i miei dati
Azz allora è perfetta per me visto che uso praticamente bitwarden da sempre. Grazie per il consiglio di stamattina, altro mondo rispetto a quelle Google e ms, spero che aggiungano più funzioni nel corso del tempo su aegis
2FAS anche se open source è comunque poco controllata da revisori esterni, Aegis è più usata dalla comunità e consigliata in particolar modo da Bitwarden.
Sisi ho fatto così, l'unica scocciatura è dover ogni volta caricare il file manualmente sul cloud ma vabbè, già il fatto che faccia davvero un backup e un restore vero dove ricarica tutto ogni volta che si installa da 0 l'app vale tutto il resto. Nello store ho visto che c'è pure 2fa authenticator che ha anche widget e estensione browser, tu la conosci? Com'è?
Aegis se imposti la crittografia tramite password esegue un backup automatico in locale ogni volta che c'è una modifica al database. Poi basta prendere il file JSON salvato nella memoria del telefono e salvarlo in cloud
Pure su Instagram, che barabini che sono.
quali sarebbero i domini che non hanno questa funzione?
Dipende dai singoli provider, non è una regola universale.
Ok ma comunque non è una regola universale, dipende dai singoli provider.
no, anche su proton funziona.
provato anche proton e funziona, sia con i punti, sia con il tag +
installata e impostata, fantastica l'esportazione dei backup(testata e funziona alla grande), peccato solo si debba fare manualmente l'operazione sul cloud ogni volta
Credo solo Gmail abbia questa funzione.
Che io sappia solo Gmail non è sensibile al punto prima della @
la sto provando
Domanda tecnica. In caso di inserimento della password ma con autenticazione a due fattori attiva, non arriva l’autenticazione giusto?
nemmeno io, l'ho scoperto per caso e poi ho fatto dei test
Questo non lo sapevo, grazie.
non sono sensibili nemmeno ai punti e puoi aggiungere alla fine dell'indirizzo +qualsiasicosa@dominio.com
Lascia perdere Google/Microsoft authenticator. Usa Aegis ti crei un backup e lo conservi dove vuoi ad esempio su OneDrive, Google drive ecc...
la suite good lock mi stupisce sempre di più, la modifica della voce non l'avevo proprio vista hahahhaha a me di ste mail ne arrivano a decine ogni settimana, da qualche mese arriva puntualmente una mail della polizia con un pdf dentro da aprire per "multe" o robe del genere, e gli indirizzi sono sempre stranissimi. comunque io mi trovo meglio con ms authenticator per la gestione del backup, una volta ho disinstallato google Au e si è incasinato tutto all'installazione successiva, non trovava più nulla. ho spostato tutto su quello ms ed è molto più semplice la questione installazione/disinstallazione soprattutto se si deve formattare o partire da 0.