In questo articolo vi parlo di una truffa che è capitata a parecchie persone che ho avuto modo di conoscere, ovvero di essere Hackerato il profilo Instagram. Grazie a questo articolo vi spiego un po come un truffatore potrebbe intercettare il vostro profilo Instagram.
Tipi di Attacchi che sfrutta un Cyber-criminale per accedere a Instagram:
- Bruteforce:
Uno dei tentativi più conosciuti che sfrutta un cyber-criminale è l’attacco di forza bruta o meglio conosciuto in inglese come bruteforce, cos’è un attacco bruteforce? Un attacco bruteforce o meglio conosciuto in italiano come attacco di forza bruta, è un tentativo che sfrutta un utente malintenzionato(cracker) d’impossessarsi di una password per accedere a un determinato servizio senza il consenso del proprietario, sfruttando tutti i tipi di combinazioni: lettere-parole, numeri e caratteri speciali finché non ottiene la password di accesso corretto. Questa tecnica avviene molto spesso con un file di testo pieno di parole o vocabolari appartenenti a lingue diverse di tutto il mondo, se la persona vittima viene presa di mira il malintenzionato può accedere all’account essendo solo in possesso dell’username o dell’email della vittima. Da li esegue diversi tentativi di attacchi finché il criminale non trova la combinazione corretta. Molto spesso noi siamo degli incoscienti e inseriamo la Password per più siti web, questo può essere un grossissimo errore in quanto se vi registrate ad esempio sul mio sito web e usate la stessa parola chiave vi ritrovate che se il mio sito subisce un attacco informatico al database principale dove sono salvate le Password possiamo essere molto più facilmente vittime di hackeraggi, in quanto il criminale può accedere tranquillamente a quelle credenziali avendo già tutto a portata di mano. In effetti oggi come oggi sentire parlare di DataBreach o perdite di dati è un fattore che a livello cyber-security sta causando problemi. Negli ultimi anni gli attacchi ai Databreach sono molto alti e di conseguenza anche le password che impostiamo noi oggi sono molto vulnerabili ad attacchi informatici. Uno dei tanti tipi di attacchi ai siti web è sicuramente SQL Injection. Questa vulnerabilità permette al cyber-attaccante di bucare un intero database e avere accesso molto spesso sia a ID, Utenti, Nomi, Cognomi, Email, Password ecc… Da qui l’attaccante raccogliendo email e password può sferrare un attacco di forza bruta e tentare di accedere ad altri servizi online per esempio i nostri Social-Network, avendo la stessa password per il cyber-attaccante può essere molto più semplice del previsto eseguire l’hackeraggio all’account.
- Phishing:
Il Phishing è un altro tipo di attacco che sfrutta un possibile attaccante nell’eseguire una falsa pagina web molto simile a una originale, in modo tale che alla vittima la truffa possa sembrargli reale. Però degli accorgimenti ci sono ovvero che molto spesso il link di appartenenza al sito originale non è mai identico, infatti molto spesso tutte le persone con poca esperienza a ogni SMS o Email contenente messaggi di pagamenti sospesi o di pacchi non arrivati si insospettiscono subito e credono direttamente a ciò che uno legge all’interno di un display, ma non è cosi che bisogna fare. In tutti i casi i link o sms da parte di banche poste oppure qualsiasi altro sistema non manda nulla al riguardo, anche perché se ci pensate chi entra in un sistema non è che vi viene ad esempio a dire guarda: “C’è stato un tentativo di intrusione nel vostro profilo per procedere nella maniera corretta premi qui al link sotto”. Diciamo che ogni tipo di attacco phishing o meglio di furto d’identità tentano sempre di spingervi a cliccare su link che molto spesso non assomigliano per niente a quello originale oppure molto spesso se facciamo esempio a un messaggio da parte di un criminale con un social network magari il link di appartenenza può essere così www.faceboook.com se notiamo il sito ufficiale non è identico a quello originale che corrisponde a questo www.facebook.com come vedete l’inganno e anche con le lettere stesse, abituati anche a leggere di fretta o magari di non badare al link con precisione possiamo essere vittime di questo tipo di attacco. Inoltre posso garantirvi al 100% che nessun tipo di Social-Network, Banche, Pacchi o servizi online. Non mandano mai link nel magari affrettarvi anche a cliccare nel minor tempo possibile.
Truffa Instagram:
Ora voglio raccontarvi una truffa che è capitata a un mio amico ignaro di quello che poteva fare un cyber-criminale. Un giorno un mio amico mi manda un messaggio su WhatsApp dicendomi che il suo account Instagram era stato violato, la mia prima domanda è stata avevi una password a parole o nomi di persone? Mi rispose: <<Sì>>. Eh già questa risposta non va bene, in quanto come spiegato in precedenza il criminale potrebbe avere sfruttato la tecnica di attacco bruteforce. Allora decisi di dargli i consigli migliori dicendogli di mettere l’autenticazione a due fattori sul profilo Instagram. Ovviamente lui è a conoscenza che il profilo era andato perso. Quindi decisi tramite i metodi di recuperi di Instagram di aiutarlo nei migliori dei modi nell’eseguire la procedura di assistenza del social-network. Dopo 10 ore circa Instagram gli ridà il consenso di accedere al profilo, quindi la prima cosa che gli dico io è la seguente:
- Imposta una password tra i 16-21 caratteri compresi quelli a caratteri speciali.
- Impostare l’autenticazione a due fattori sul profilo social attaccato.
- I codici di autenticazione non condividerli con nessuno.
Passate le 10 ore mi avvisa che Instagram come ho detto sopra gli ridà l’account in questione. Dopo circa 30 minuti mi avvisa che il profilo gli è stato rubato di nuovo, al che li mi dubita subito il fatto in quanto se aveva seguito i miei consigli l’autenticazione a due fattori non avrebbe dato accesso al cyber-criminale. Parlando per diverso tempo mi dice cri io ho mandato il codice di autenticazione via WhatsApp a Instagram, e io li subito ho detto guarda ti sei fatto fregare il profilo nuovamente. Per favore mi giri il numero di telefono con cui Instagram ti ha contattato? (Anche se io sapevo già che si trattava dei cyber-criminali ho voluto come giusto che sia farlo ragionare e fargli aprire gli occhi). Alla fine mi gira il contatto e noto subito che il numero è un numero dell’account WhatsApp appartiene a numeri Nigeriani. Infatti una volta in possesso del numero eseguo una piccola ricerca su Google e in effetti non mi sbagliavo:
Quindi con tutta la mia pazienza gli dico che aveva fatto una grossissima cavolata a dare il codice di autenticazione a due fattori a Instagram anche se Instagram in se non lo chiederà mai in nessun caso. Ma andiamo al dunque, un altra cosa che si notava dell’account WhatsApp (lasciamo perdere il fatto che l’assistenza era stata contattata via email e quindi era impossibile che ti contattavano su WhatsApp), ma inoltre mancava la spunta V quella che dichiara di essere il profilo WhatsApp ufficiale di Instagram in quanto esiste solo per l’autenticazione a due fattori via WhatsApp. Quindi rimandiamo l’email all’assistenza Instagram e alla fine recuperiamo di nuovo il profilo senza dover ricorre ad altri problemi. Quello che volevo mostrare a chi legge questa guida e che dovete stare molto attenti al vostro profilo e di non cadere in trappole simile a quelle elencante sia sopra alla prima parte dell’articolo e sia in questo accaduto.