[Guerre di Rete - newsletter] Retroscena su Encrochat; Hong Kong; profili fake

Cybercrimine e BEC

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.78 - 12 luglio 2020

Oggi si parla di:

- saluti delle vacanze
- Encrochat, l’indagine e il mercato dei criptofonini
- Hong Kong
- profili fake
- muri virtuali e sorveglianza
- cybercrimine e BEC
- hacker nordcoreani e altro


SALUTI VACANZE
Prima un saluto a tutti. Questa newsletter – come già l’anno scorso – si prende una pausa estiva. Tornerà verso settembre, naturalmente. Vale anche per il neonato podcast (quello di domani sarà l’ultimo). Del resto dobbiamo tutti ricaricare le pile, e mica vorrete stare a seguire questo pazzo (vedi più sotto) mondo cyber anche sotto l’ombrellone?

Certo, ne abbiamo viste di tutti i colori da settembre (conto gli anni come a scuola, mi capirete): Bezos, gli spyware e il Medio Oriente; le app di contact tracing; lo scontro Usa-Cina; le battaglie sul riconoscimento facciale. Mai avrei pensato che il titolo Guerre di Rete per la newsletter (derivato per altro dal mio precedente libro) rimanesse anche nel tempo così appropriato. O di vedere esplodere temi che per anni erano rimasti (ingiustamente e ottusamente, lasciatemi togliere un sassolino) di nicchia. O di avere il problema, ogni settimana, non di trovare cosa mettere, ma di decidere cosa escludere, perchè i temi e le notizie erano sempre troppi. E poi, ogni tanto, quelle storie strabordanti e pirotecniche tra crimine e geopolitica che sembrano quasi irreali.
(Ah, volete sapere il numero che più ha fatto il botto, sbaragliando tutti per visualizzazioni, e tralasciamo le telefonate o il resto? Quello in cui mi addentravo nella disamina tecnico-politica dello scontro in Europa fra modello centralizzato e decentralizzato nelle app di contact tracing…. Roba che in certi giornali sarebbe stata cestinata prima ancora di arrivare nella casella di posta).

Non sto a farla troppo lunga su quanto questa newsletter sia cresciuta, sui messaggi continui dei lettori (o ascoltatori), su quante volte sia stata ripresa, citata, da altre fonti e siti di informazione. Dico solo che sono contenta del risultato e che alla fine l’entusiasmo dei lettori compensa molte fatiche. E che apprezzo tutte le segnalazioni, anche quelle che purtroppo non riesco a riprendere o seguire.
Buon riposo, amici. Quest’anno ce lo meritiamo proprio tutto e tutti.

CRIPTOFONINI
Dalle indagini hi-tech al mercato dei criptofonini: retroscena della maxiretata Encrochat contro la criminalità
"C’erano anche delle celle per prigionieri e delle camere di tortura, fra i materiali sequestrati. Sette container marittimi in un paesino vicino a Roosendaal, nei Paesi Bassi, che erano stati modificati per diventare delle prigioni segrete, una delle quali aveva anche manette appese al soffitto, una sedia inchiodata, pannelli per l’insonorizzazione, e vari strumenti. Secondo la polizia, sarebbero servite a seviziare membri di gang rivali. Ma si tratta della punta dell’iceberg. Un iceberg che si chiama Encrochat e contro cui una parte della criminalità organizzata europea è andata a sbattere e ad affondare".

Non potevo non approfondire i dettagli dell'indagine Encrochat, che ha intercettato 100 milioni di messaggi cifrati di 50 mila utenti, il 90 per cento criminali secondo le autorità. Come hanno fatto? Chi l'ha gestita? Che ricadute avute? e l'Italia? Quali sono i precedenti? E oggi chi sta su quel mercato e come li distribuisce? E ricordate il caso italiano di Diabolik? Tutto in questo pezzone pubblicato oggi su Valigia Blu.

HONG KONG
In attesa della stretta digitale

La controversa legge sulla sicurezza nazionale a Hong Kong, varata dalla Cina, che ha l’intento di prevenire, fermare e punire comportamenti assimilabili a sovversione, secessione, interferenza straniera e terrorismo, e che è stata giudicata da molti attivisti pro-democrazia come la pietra tombale sull’autonomia della città asiatica, sta producendo effetti anche a livello digitale. Gli attivisti infatti si aspettano anche un inasprimento della repressione e del controllo su questo fronte, tanto più che a maggio la leader locale Carrie Lam aveva dichiarato che la polizia avrebbe avuto più poteri per monitorare i social media al fine di gestire “voci” e “informazioni false e malevole”. E la stessa legge sulla sicurezza nazionale permetterà di aumentare la sorveglianza digitale.
Così, sono cresciuti a Hong Kong i download della app di messaggistica cifrata Signal, che nel weekend era la prima app in cima all’Android store. Cresciuti anche i download delle VPN. Mentre un’altra app cifrata e già molto usata dagli attivisti, Telegram, ha fatto sapere per prima di voler rifiutare la collaborazione nelle richieste di dati da parte delle autorità di Hong Kong finché non emergerà un consenso internazionale sui recenti cambiamenti politici. In indagini legate a terrorismo infatti e di fronte a un mandato, Telegram può rivelare l’indirizzo IP e il numero di telefono alle autorità. (HKFP).

Ma a trovarsi in difficoltà potrebbero essere vari servizi online, a partire dai social media e i fornitori di servizi internet (Isp) che, sulla spinta della nuova legge, potrebbero essere obbligati a collaborare con la polizia, Questa non dovrà più ottenere il mandato di un giudice per chiedere a un fornitore di servizi internet di rimuovere una informazione o ottenere dati per una indagine. Secondo il presidente della Hong Kong Internet Service Providers Association, le aziende non avranno altra scelta che ottemperare alla legge, riferisce il South China Morning Post. E questo potrebbe avere ricadute anche a livello di business, nello spingere alcune imprese a riconsiderare eventuali espansioni nella città.

Rimane poi un punto interrogativo su come si comporteranno società tecnologiche quali Facebook e Twitter, le cui piattaforme sono state molto utilizzate dagli attivisti. Per ora hanno fatto dichiarazioni piuttosto caute e, verrebbe da dire, un po’ cerchiobottiste, del tipo, collaboriamo con le autorità ma stiamo attenti a preservare la libertà di espressione.

Tuttavia, Facebook (e Whatsapp) hanno sospeso il trattamento delle richieste sui dati degli utenti da parte delle autorità di Hong Kong, rinviandole a seguito di una valutazione dell’impatto della nuova legge sui diritti umani. Lo stesso hanno fatto Twitter, Microsoft e Zoom. TikTok ha addirittura annunciato di uscire da Hong Kong (TechCrunch). Anche se la sua mossa, secondo alcuni osservatori, sarebbe finalizzata soprattutto a proteggere se stessa. “La società madre, ByteDance, ha la maggior parte dei suoi dipendenti e dei suoi ricavi in Cina. Una percezione di non-ottemperanza da parte di una delle sue piattaforme potrebbe portare l’azienda ad attirarsi addosso l’ira di Beijing”(Quartz).

Ma soprattutto, come racconta questo articolo del Guardian, la nuova legge sfrutta il senso di ambiguità, novità e incertezza. “Non ci sono precedenti cui ispirarsi, esperti da consultare. Il fatto che nessun funzionario di Hong Kong - nemmeno la governatrice Carrie Lam - avesse visto la legislazione prima della sua imposizione significa che non ci sono fonti di autorità per fornire una guida. Ci sono solo avvertimenti”.
Così, mentre molti utenti cancellano i propri profili da Twitter e Facebook, viene censurato lo slogan più popolare delle proteste - una frase cinese che significa “Liberare Hong Kong, rivoluzione dei nostri tempi” - perché farebbe riferimento a una indipendenza della città. Questa frase ha iniziato a sparire dai social, anche se molti la rimpiazzano con iniziali, numeri o simboli.

Vedi anche: Gli Usa potrebbero vietare TikTok (che lascia Hong Kong) - Corriere

STORIE PAZZE
Giornalisti e opinionisti fake

Oggi inauguro (la tengo buona per quando riapre la newsletter) la rubrica Storie Pazze, che mi è stata ispirata direttamente da questa vicenda. Ancora lo scorso 3 luglio, sulla testata belga New Europe, il consulente sul rischio geopolitico Raphael Badani - occhieggiando sorridente dalla fotina del suo profilo, con aria informale e sportiva - dispensava consigli sull’emergenza Covid e il rischio che le proteste di piazza vanificassero gli enormi sacrifici fatti per contenerlo. Come esempio citava le proteste di Hong Kong “che rischiavano di minacciare il delicato senso di unità della città”. Una posizione, una scelta delle parole e un esempio che potevano apparire peculiari, ma in tal modo la pensava Badani, esperto di questioni mediorientali e di Asia, che viveva a Copenaghen e che contribuiva con le sue sottili analisi a pubblicazioni come Newsmax, Real Clear Markets, The American Thinker e altre. Così diceva la sua bio su New Europe.
Su Newsmax, ad esempio, Badani aveva scritto di come l’Iraq dovesse scrollarsi di dosso l’influenza iraniana e di come Dubai fosse un’oasi in mezzo a quella regione instabile. Badani è un autore prolifico: ha scritto anche sul Washington Examiner e The National Interest. Si tratta perlopiù di testate conservatrici, con cui molte opinioni espresse da Badani sono probabilmente in sintonia. Il punto però non sono le sue idee qua, più o meno discutibili. Il punto è che Badani è un fake. Non nel senso che ha finto una laurea o ha plagiato un libro, tanto per restare tra gli italici usi. No no, Badani stesso non esiste. La sua immagine? Ripresa dal profilo di un inconsapevole startupper di San Diego (e modificata in modo da non essere facilmente ricercabile su Google Image). Il suo profilo Linkedin in cui si diceva avesse studiato all’università di George Washington? Inventato e poi cancellato.

Badani è infatti parte di una rete di almeno 19 finte identità online che nello scorso anno sono riuscite a piazzare 90 articoli di opinione su 46 pubblicazioni, inclusi The Jerusalem Post, Al Arabiya, South China Morning Post, come rivelato da una inchiesta di The Daily Beast. A giudicare da quanto scritto, il filo conduttore di molti di questi personaggi inventati (le cui foto in alcuni casi erano rubate, in altri generate da un programma di AI) era un elogio degli Emirati Arabi Uniti ma soprattutto la richiesta di un approccio internazionale più duro contro Qatar, Turchia, Iran e i loro gruppi alleati in Iraq e Libano. Ma c’è anche una angolatura asiatica che meriterebbe di essere approfondita. Dopo l’inchiesta, molte delle testate coinvolte hanno cancellato gli articoli, alcune scrivendo di stare valutando i dubbi sull’autore, altre senza dire nulla. Twitter ha sospeso il suo account.
Alcuni di questi personaggi online si spacciavano proprio per giornalisti, come Salma Mohamed, una ex reporter di AP che stava a Londra, diceva la sua bio, anche se poi suoi articoli con AP non se ne trovavano. Uno di questi fake diceva di essere addirittura un collaboratore (inesistente) di The Daily Beast, la pubblicazione che ha fatto lo scoop.
“Non è che dobbiamo stare attenti alle fake news qui, ma proprio ai giornalisti fake”, ha commentato Marc Owen Jones, professore alla Hamad Bin Khalifa University in Qatar, che per primo ha notato le stranezze di certi profili. E che poi su Twitter ha aggiunto: “quello che trovo particolarmente inquietante è la facilità con cui molte testate globali pubblichino articoli senza una sufficiente verifica di chi siano gli autori”.
Già, e restano ovviamente alcune domande: chi è il soggetto dietro a questi fake? È una singola operazione statale o è una sorta di agenzia che crea questo genere di profili per più committenti?
E poi: come hanno fatto a piazzare gli articoli nelle varie testate? Come si sono introdotti o sono stati introdotti? Su questo sarebbe bello avere delle risposte dai vari media.

Nota di servizio: lo so che ora vi state domandando se l’autrice di questa newsletter sia una fake persona o no… Si chiama paranoia e viene fornita come contenuto premium ai lettori assidui. Per cui non farò proprio nulla per togliervi questo dubbio.

GERMANIA
Trojan di Stato e di Isp

La Germania vuole ampliare, attraverso una proposta di legge, la capacità della propria intelligence di spiare/indagare sui cittadini attraverso l’uso di trojan, cioè spyware che di nascosto intercettano tutte le attività di un dispositivo, attivando anche microfono o videocamera. La nuova legge obbligherebbe i fornitori di connettività (Isp) a installare nei loro data center un hardware governativo che all’occorrenza reindirizzi il traffico internet sotto il controllo delle autorità, ovvero, scrive l’avvocato Stefano Mele, “verso i sistemi informatici delle agenzie di intelligence e da lì alla destinazione prevista, realizzando così un cosiddetto attacco di ‘man in the middle’”.
L’obiettivo qui è facilitare l’infezione del dispositivo con il trojan (ad esempio attraverso un update per un software o modificando il download di un file) senza che l’utente sospetti nulla (perché non dovrebbe neanche cliccare su un link, per capirci). L’azienda che fornirebbe la tecnologia utilizzata dalla Germania è la tedesca FinFisher (se mi seguite da un po’ la conoscete). Amnesty ha notato che si tratterebbe di un metodo molto simile a quello usato contro giornalisti marocchini (se tornate indietro di un paio di newsletter trovate pure questa storia). In ogni caso, diversi gruppi e settori della società tedesca sono pronti a dare battaglia. (PrivateInternetAccess)

SORVEGLIANZA E FRONTIERE
E Trump ora scommette sui muri virtuali

L’agenzia americana per le dogane e la protezione delle frontiere (CBP) ha firmato un contratto con una startup della Silicon Valley per costruire un “muro di frontiera virtuale” con cui controllare e impedire l’ingresso illegale di persone al confine meridionale degli Stati Uniti. La società in questione, Anduril, è stata fondata da Palmer Luckey, già fondatore di Oculus, la società di realtà virtuale venduta a Facebook per 3 miliardi di dollari tre anni fa. Anduril ha appena raccolto 200 milioni di dollari in finanziamenti portando la sua valutazione a 1,9 miliardi. Prende il nome dalla spada di Aragorn, personaggio de Il Signore degli Anelli, e ha tra i suoi investitori anche Peter Thiel, consigliere di Trump, cofondatore di Paypal ma anche della società di analisi e intelligence di big data Palantir.
Dunque la società ha appena ottenuto un contratto di cinque anni e di centinaia di milioni di dollari per fornire delle torrette mobili di sorveglianza che dovrebbero individuare veicoli o figure umane in movimento, intente ad attraversare il confine (distinguendole dagli animali). Queste torrette sono dotate di una serie di sensori per catturare dati, come scanner LIDAR (tecnologia che usa i laser per misurare distanze e profondità), e utilizzano tecnologie di AI (il sistema Lattice) per distinguere il movimento di oggetti o esseri viventi diversi. Sembra di capire che questo apparato debba affiancare e non sostituire la costruzione fisica di muri e barriere (The Verge).
“L’ultima cosa di cui abbiamo bisogno sono altri soldi dirottati a un muro virtuale da una agenzia che ha già una storia di sprecare i soldi dei contribuenti in tecnologie che non funzionano e che violano i nostri diritti”, è stato il commento dell’organizzazione per i diritti civili americana ACLU. “Troppo spesso abbiamo visto questa agenzia usare il pretesto delle frontiere per estendere infrastrutture di sorveglianza invasive e inaccettabili dal confine al resto del Paese, come si è visto nelle recenti proteste”.
Infine una postilla che viene fatta notare da Business Insider: come è questa ossessione di una parte della Silicon Valley per Il Signore degli Anelli? Basta usarlo per rinominare in modo suggestivo progetti e tecnologie di sorveglianza, commentano alcuni fan.

IRAN
Un nuovo cybersabotaggio a Natanz?

C’è stato un incidente all’impianto per l’arricchimento dell’uranio di Natanz, in Iran, dove si è sviluppato un incendio. Le cause non sono state ancora pubblicamente rivelate ma le autorità iraniane hanno detto di essere pronte a rispondere a qualsiasi Paese che conduca cyberattacchi contro i suoi siti nucleari, facendo così intendere o sospettare che l’incidente sia stato provocato proprio da un attacco informatico. Secondo fonti governative iraniane, riportate da Reuters, l’incendio - scoppiato nello stabilimento dove si assemblano le centrifughe - sarebbe stato indotto da un cyberattacco. Ovviamente questa indicazione riporta subito alla memoria l’attacco informatico che colpì proprio il sito di Natanz nel 2010 attraverso il malware Stuxnet, considerato una pietra miliare della cyberwarfare, la prima “cyberarma”, il primo attacco pubblico in cui un software malevolo (in quel caso, americano-israeliano) fu in grado di sabotare fisicamente un impianto. Ma è ancora presto per trarre conclusioni, la causa dell’incendio potrebbe essere diversa. Tra l’altro non si tratta solo di quell’incidente. In Iran negli ultimi tempi ce ne sono state diverse di esplosioni. Il New York Times ipotizza un rilancio della pluriannuale strategia americano-israeliana di lavorare ai fianchi il programma nucleare iraniano.

.CYBERCRIMINE
Arrestati nigeriani che gestivano truffe BEC

“Un residente di Dubai che ostentava il suo stile di vita esorbitante sui social media è arrivato negli Stati Uniti per affrontare l’accusa di aver riciclato centinaia di milioni di dollari da frodi online”. Inizia così, con un taglio alla Faulkner, il comunicato del dipartimento di Giustizia Usa sull’incriminazione di uno dei due nigeriani arrestati ed estradati negli Stati Uniti per aver rubato milioni di dollari attraverso scam del genere Business Email Compromise (BEC). Sono quel genere di truffe in cui i criminali - di solito attraverso l’invio di una mail o altra comunicazione - si fingono un fornitore o anche il Ceo o il manager di un’azienda, e convincono un dipendente a fare dei pagamenti su conti bancari sotto il loro controllo. I due nigeriani arrestati negli Emirati e spediti a Chicago sarebbero responsabili, secondo l’accusa, di aver preso di mira in questo modo varie aziende americane, una banca straniera, e anche un club di calcio della Premier League. Uno dei due uomini, Ramon Olorunwa Abbas, 37 anni, noto come “Ray Hushpuppi”, non nascondeva sui social di avere grandi disponibilità di denaro, pubblicando foto in cui girava con macchine, vestiti ed orologi di lusso. Ma quei soldi arrivavano, secondo gli inquirenti, da un network cybercriminale di cui l’uomo faceva parte e specializzato in truffe BEC.

L’altro nigeriano incriminato, Olalekan Jacob Ponle, 29 anni, di Lagos, noto anche come Mr Woodbery o “Mark Kain,” sarebbe stato invece uno di quelli che orchestrava le truffe. Ponle aveva messo in piedi anche una rete di muli, di prestanomi che si aprivano dei conti a nome delle aziende impersonate e che ricevevano i soldi dirottati dalle vittime di queste truffe e poi li convertivano in bitcoin, per infine inviarli a un portafoglio online gestito dallo stesso Ponle. Una azienda di Chicago avrebbe perso in questo modo oltre 15 milioni di dollari.

Nella loro forma più elaborata le BEC nascono dalla compromissione della mail o del computer di qualcuno; a quel punto il truffatore blocca o ridirige le comunicazioni a e da quell’account e lo usa per comunicare con un’altra azienda, in genere un cliente, chiedendo che i pagamenti siano effettuati su un altro conto. Ma la BEC può avere molte varianti. Di sicuro, tra le varie truffe, è quella che permette di portare a termine colpi sostanziosi da parte dei truffatori, incassando in una botta anche milioni di dollari. E lasciando le due aziende colpite (quella impersonata e quella che ha pagato) a disputarsi le responsabilità. Secondo l’FBI questo tipo di truffa è quella più costosa finanziariamente tra quelle riportate alle autorità americane: la stessa agenzia federale stima che nel 2019 si siano registrate 1,7 miliardi di dollari di perdite da parte di aziende e individui vittime di BEC.

HACKER NORDCOREANI
Lazarus ha messo gli occhi sulle carte di credito

Sentivamo un po’ la mancanza di notizie sugli hacker nordcoreani. E puntuali sono arrivate. Pare infatti che un gruppo, noto come Lazarus, identificato da vari Stati e ricercatori come una unità di hacker statali al servizio di Pyongyang, abbiano diversificato ulteriormente le loro attività cybercriminali, tese cioè a fare cassa (ricordo che è abbastanza un caso atipico fra i gruppi considerati “statali”, ne ho scritto molto in #Cybercrime). Dunque dopo le incursioni ai danni alle banche e di cambiavalute online, dopo l’uso (catastrofico, Wannacry, remember?) di ransomware e via dicendo, ora si starebbero dedicando anche ai negozi online, cercando di rubare direttamente i dati delle carte di credito dei clienti. Si tratta di attacchi noti come "web skimming," "e-skimming," o "Magecart attack” (dal nome di un gruppo specializzato in questo genere) dove l’obiettivo è accedere al server di backend di un negozio online, o risorse e widget collegati, e installare del codice malevolo che permetta di registrare i dettagli di pagamento mentre questo viene effettuato al momento del checkout. I dati così raccolti sono poi venduti nei mercati underground. A sostenere che Lazarus sia coinvolto in questo nuovo schema criminale è il report dell’azienda SanSec (qui disponibile). Vedi anche Zdnet.


TELENOVELA 5G
Huawei, tutti i subbugli sul 5G fra Italia e Regno Unito
Startmag
Quanto costerebbe all'Italia il blocco del 5G di Huawei
AGI

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!