Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Account Twitter hackerato: gli errori da non commettere, i consigli per metterlo in sicurezza

Ritrovarsi con l’account Twitter hackerato potrebbe comportare notevoli danni d’immagine e reputazionali, soprattutto se la piattaforma viene utilizzata in ambito aziendale o professionale. Ecco quali rischi si corrono e i consigli per metterlo in sicurezza

08 Nov 2019
I

Antonio Ieranò

Security and privacy architect


Non è così improbabile ritrovarsi con il proprio account Twitter hackerato, soprattutto quando questo stesso account appartiene ad una grande azienda, ad un marchio famoso o ad un personaggio noto.

Come ovvia contropartita per essere diventato uno strumento di comunicazione e condivisione di idee e informazioni di livello globale, Twitter è infatti diventato una piattaforma cardine anche per attività meno nobili, dal social engineering ai bot per influenzare movimenti di opinione, dalla diffusione di fake news agli hack verso aziende o persone influenti.

Account Twitter hackerato: capire i rischi

Quando usiamo Twitter ci sono diverse cose che possono andare storte, il problema è capire di cosa dobbiamo preoccuparci e perché, ed agire di conseguenza.

Abbiamo innanzi tutto due aspetti fondamentali da comprendere:

  1. Twitter e una piattaforma di distribuzione di contenuti: questo che sembra una ovvietà in realtà è la ragione sia del suo successo che dell’attrazione che ha per i “cattivi soggetti”;
  2. la piattaforma non ha come scopo primario la sicurezza, anzi nasce per dare un elevato grado di libertà, tanto e vero che il controllo delle identità dietro un account Twitter è estremamente carente.

Questo comporta, fondamentalmente, che su Twitter (come su molte piattaforme social del resto) non è immediato comprendere se i contenuti e la sorgente che twitta siano affidabili.

Questa inaffidabilità può essere legata al fatto che l’account che posta un certo contenuto sia legittimo ma compromesso o che sia un account fasullo creato con intenzioni malevole. A complicare la scena poi ci sono i retweet e gli hashtag che permettono di veicolare contenuti in maniera indiretta aggiungendo un livello di indeterminazione in uno scenario già fin troppo fluido.

Ora, un rischio presuppone che un attore malevolo abbia un interesse specifico ad agire sulla piattaforma o che un nostro errore (sì, ci sono anche quelli) inneschi una serie di problemi.

Per iniziare, soffermiamoci su un attore malevolo che voglia usare la piattaforma: quali possono essere gli scopi?

Account Twitter hackerato: attenti alle truffe

Non ci dovremmo stupire se ci sono su Twitter soggetti che cercano di ricavare benefici economici da un uso discutibile della piattaforma: d’altronde noi facciamo di tutto per aiutarli.

Esistono nell’animo umano dei potenti fattori che spingono a reagire in maniera quasi deterministica: cupidigia, lussuria, arroganza, presunzione sono noti ma anche sentimenti nobili come compassione e altruismo possono essere sfruttati per ricavare un beneficio economico, bene lo sanno coloro che usano il social engineering.

Dopo l’e-mail, Twitter è infatti diventato campo di gioco privilegiato per queste attività: le truffe (chiamatele come volete, #phishing, #scam, #mihannofregatoeiochemifidavoperchèquestecosecapitanosoloaglialtri) trovano sulla piattaforma terreno fertile per alcuni motivi:

  • molti contenuti vengono trasmessi sfruttando identità compromesse o fasulle;
  • hashtag e retweet consentono di allargare la platea di possibili vittime;
  • i DM (Direct Message, i messaggi diretti) consentono di sviluppare un attacco creando un canale di comunicazione personale.

Esempi classici di queste attività che consentono monetizzazione diretta da parte dell’attaccante sono: Love Scam, job scam, nigerian scam e via dicendo. Facciamo un paio di esempi per capire come si sviluppano questi attacchi.

Love Scam

Certamente siamo molto contenti se una bella ragazza (o un bel ragazzo o qualsiasi altra combinazione, vogliamo essere inclusivi) ci contatta ed inizia a mandarci messaggi diretti. Ovviamente nessuno di noi si preoccupa di fare un minimo di ricerca OSINT per verificare l’identità visto la foto eloquente e i messaggi allusivi e via via più intimi.

Magari l’account in questione posta contenuti assolutamente normali mediante retweet o non posta nulla, e non ha molti follower, ma perché soffermarci su questi particolari “secondari”. Poi però non stupiamoci se ci chiedono soldi per l’iPhone 11 pro, la madre ammalata, il biglietto per vernici a trovare. Il consiglio è ovviamente quello di non mandare mai soldi a chi non si conosce direttamente.

Il love scam su Twitter funziona molto bene grazie ai DM e alla possibilità di postare ed inviare foto, anche se solitamente l’attaccante cerca di spostarsi poi su piattaforme di chat che danno la sensazione di maggiore intimità.

Spesso, poi, thread di matrice politica o su eventi di grande visibilità sono un ottimo veicolo per questi truffatori, ed in questo senso gli hashtag sono fantastici: partecipiamo ad un thread, rispondiamo e/o commentiamo; i malintenzionati in qualche modo ci identificano come papabile bersaglio, iniziano a rispondere ai nostri commenti o menzionandoci, poi si passa ai DM ed il resto è storia.

In altri casi, la truffa è molto più semplice: riceviamo direttamente un DM dal nulla e da lì a ritrovarsi con l’account Twitter hackerato è un gioco da ragazzi.

Job Scam

Più insidioso del Love Scam, il Job Scam utilizza tweet provenienti da account fake o compromessi: anche in questo caso i contenuti sono spesso distribuiti via hashtag.

Qui la parte interessante dell’approccio all’attacco è che per distribuire i contenuti spesso si fa leva sul desiderio di essere utili a qualcosa da parte di utenti di buon cuore. L’idea è quella di far sì che qualcuno condivida una offerta di lavoro apparentemente appetibile ed irrinunciabile verso suoi follower che siano in stato di necessità, offrendo una certificazione indiretta sulla bontà della offerta.

Insomma, se sappiamo che il nostro ex collega sta cercando lavoro e ci capita sotto gli occhi un tweet con una offerta di lavoro che facciamo, non gliela giriamo? E chi la riceve visto che viene da una fonte affidabile che fa, non ci prova?

Questi due semplici esempi esemplificano come su Twitter la verifica delle identità è spesso difficile, e come sia facile creare una catena che “certifica” un contenuto perché girato da soggetti conosciuti o credibili.

Account Twitter hackerato: dati personali a rischio

Un attaccante malevolo potrebbe avere mire diverse dalla classica truffa estorsiva diretta, potrebbe mirare, ad esempio, ai nostri dati o ad estorcere informazioni. Ancora una volta il social engineering diventa strumento e veicolo fondamentale per portare avanti l’attacco.

In questo senso ci sono due meccanismi classici:

  • la creazione di un account fasullo simile ad uno legittimo (tanto che controlla cosa c’è dopo il “@”);
  • la compromissione parziale di un account reale.

Nel primo caso si tratta di creare un account con “look and feel” simile ad uno legittimo ed usarlo per ingannare la vittima. Ancora una volta vado di esempio sperando si comprenda l’idea di massima.

Immaginiamo di avere una azienda che offra supporto per le sue soluzioni su Twitter, di per sé è una ottima idea in questo modo si mostra attenzione e responsività pubblicamente alle esigenze dei clienti. Ora supponiamo che i prodotti di tale azienda rivestano un interesse per un attaccante (usate quello che volete, dai router per internet a prodotti, perché no, di sicurezza…). L’attaccante potrebbe creare un account di supporto simile a quello legittimo (magari invece di @supportoxyx si fa @xyzsupporto) e usarlo come piattaforma per carpire le informazioni che servono sia in maniera passiva (aspettando che siano contattati per errore dai possibili clienti) che in maniera proattiva contattando i clienti o inserendosi in un thread che fa riferimento ad un qualche problema del prodotto.

Va da sé che anche se pensiamo di parlare col supporto legittimo e questo ci chiede di mandare via mail o DM la password del nostro router per poter fare configurazioni da remoto, ce la stiamo cercando…eppure funziona.

Non pensiamo che gli attacchi debbano sempre essere sofisticati o esoterici, spesso è più facile far leva su candore o poca attenzione per ottenere i risultati voluti.

Il problema di account fake di questo tipo è che vengono scoperti abbastanza presto da Twitter (o riportati dai truffati se e quando se ne accorgono) e quindi per portare avanti attacchi più sofisticati spesso si sceglie di usare account legittimi ma compromessi.

In questo caso l’idea è di usare un account reale per veicolare contenuti pericolosi. Per fare questa cosa si cerca, di solito, di limitare il numero di azioni (Tweet, retweet, menzioni, DM) in maniera che il proprietario dell’account non si renda conto facilmente della compromissione e diventi inconsapevole cavallo di troia per un attacco.

Così si compromette un account Twitter

Purtroppo compromettere un account Twitter non è difficile, al di là della sicurezza offerta dalle password usate tipo “Qwerty!1”, nome di moglie/marito (almeno usate quello dell’amante, meno noto si spera) , figli cani gatti e/o altri animali, dalle liste di password disponibili sul mercato del Dark Web, il veicolo principe di compromissione sono le app che si connettono a Twitter e che consentono una compromissione indiretta: comprometto non il nostro account Twitter, ma il servizio che si autentica su Twitter e che può pubblicare post o compiere altre attività in nostra vece.

Che si usi l’integrazione con LinkedIn o altri social media, IFTTT o altri servizi che consentono di postare su evento, o altri software di gestione degli account Twitter, è possibile arrivare a postare contenuti senza l’autorizzazione del proprietario dell’account Twitter in diversi modi.

Il pericolo sotteso in questo caso è che il contenuto prende legittimità dalla sorgente che lo emette. Ecco un altro esempio:

“manager 1 a manager 2 … rispondi manager 2”

Immaginiamo che io voglia spingere un manager di un’altra azienda che so essere sedotto da Twitter a fare qualcosa per me.

Compromettendo l’account di un suo superiore o di qualcuno nella sua cerchia di fiducia potrei, ad esempio, mandare un DM opportuno con un link ad un sito fantastico (zeppo di malware, phishing o peggio) o suggerirgli un contatto che ha delle informazioni preziosissime e inavvicinabili, o dirgli che devo chiedergli di fare una cosa “particolare” per cui non posso usare i canali aziendali (tipo “trasferisci un po’ di milioni di euro su una banca cinese per oliare un’acquisizione in asia”).

In questo modo, l’attaccante potrebbe fare leva sulla credibilità dell’account compromesso per certificare il contenuto malevolo inviato.

Non pensiamo che queste cose accadano nei film: anche la recente cronaca ha riportato attacchi simili con vittime anche aziende italiane che hanno perso milioni di euro.

Ovviamente un attore malevolo su Twitter potrebbe avere una infinità di altri scopi, non necessariamente sono economici.

Troll, reputazione e altri dolori

Tutti hanno sentito parlare dei Troll, no non parlo dei mostri norreni o della fantasy ma di quei simpaticoni che infestano i social media e secondo Wikipedia possono essere descritti come:

“Un troll, nel gergo di Internet e in particolare delle comunità virtuali, è un soggetto che interagisce con gli altri tramite messaggi provocatori, irritanti, fuori tema o semplicemente senza senso e/o del tutto errati, con il solo obiettivo di disturbare la comunicazione e fomentare gli animi”

I troll sono parte integrante della comunicazione su Twitter (e i social media in genere). Dal cyber bullismo allo sviluppo del fenomeno delle fake news, gli account troll da persone spesso detestabili si sono evoluti e non sempre sono associati ad esseri viventi in senso stretto: spesso sono account associati a sistemi di publishing automatico (bot), in alcuni casi guidati da software intelligenti in grado di utilizzare meccanismi di Intelligenza Artificiale per determinare cosa e dove scrivere.

Tutti abbiamo sentito parlare della questione delle elezioni americane ove Twitter e altri social media sono stati utilizzati per cercare di influenzare i risultati proprio attraverso la diffusione di notizie false, insulti e amenità varie.

I troll sono un pericolo per diversi motivi: in primo luogo rendono estremamente difficile capire cosa sia vero o meno. Il fact-checking non è una attività che l’utente medio di Twitter utilizza, il che comporta che la diffusione di notizie false, leggende metropolitane, teorie astratte rendano “vere” cose che vere non sono.

Dato che i messaggi su Twitter sono brevi, i risultati sono più emozionali che con dati concreti, il fact-checking è ancora più difficile, con la relativa tendenza a fidarsi del “gruppo” senza controlli.

L’altro aspetto pericoloso del trolling è la sua dimostrata capacità di creare “mood” nei confronti di soggetti, aziende, movimenti politici, estremizzando le controparti ed offuscando i fatti.

In realtà, i meccanismi comunicativi usati sono in parte comuni anche al digital marketing (non troll ma il duale Influencer): in questo senso aziende di grande esposizione mediatica potrebbero incontrare problemi anche seri proprio sui canali che utilizzano per promuoversi.

Il caso dell’incidente con la Cina di Dolce & Gabbana in questo senso è emblematico: dei tweet opportunamente postati sugli account corretti possono creare grossi problemi. Assumendo che siano stati effettivamente compromessi, è evidente come una tecnica di trolling abbia provocato un “mood” negativo nei confronti della azienda in Cina, con una escalation di rara violenza nei social media cinesi e come controparte la difesa strenua, tipico effetto del trolling, da parte di soggetti italiani con reciproco scambio di insulti e nonsense con riferimenti culinari negativi da entrambe le parti di delirante comicità.

Il trolling può essere un serio pericolo per la reputazione di un soggetto e/o una azienda. Vista la “propensione” della piattaforma alla compromissione e all’uso di bot account, il problema non è di poco conto o secondario: il rischio da quanto visto può essere legato ad una campagna esterna e/o compromissione dei nostri account.

Essere su Twitter richiede, facendone un uso consapevole, di essere in grado di riconoscere questi meccanismi per poter discernere la menzogna dalla verità, l’interpretazione dalla oggettività. Più facile da dire che da fare me ne rendo conto, ma un controllo e monitoraggio di quello che postiamo (o pensiamo di aver postato) può toglierci da seri guai.

Account Twitter hackerato: cosa fare

Non me ne preoccupo, tanto non capita a me capita agli altri.” Quante volte chi si occupa di sicurezza informatica ha sentito questo delirio?

Su Twitter questo approccio può essere pericoloso, soprattutto se non si tengono sott’occhio le regole d’uso della piattaforma che nessuno legge ma accetta nel momento in cui crea un account.

Che sia compromissione o errore e possibile incontrare la cosa più temuta da un utente Twitter dopo essere superati come follower dal vicino: la sospensione dell’account.

Ci sono diverse ragioni per cui un account Twitter può essere sospeso in maniera temporanea o definitiva e tutte possono essere legate a nostri comportamenti errati o a compromissioni dirette o indirette.

Le descrizioni precedenti di possibili incidenti su Twitter dovrebbero già averci dato un’indicazione di quali siano le possibili ragioni.

I casi principali per cui si rischia la sospensione vengono dalle seguenti casistiche:

  1. si scrivono cose contrarie alle regole (quali incitazione all’odio ed alla violenza, pedopornografia, terrorismo e cose del genere);
  2. si hanno comportamenti assimilabili ad un bot (eccesso di follow, eccesso di like, eccesso di retweet per citare i principali);
  3. si usano impropriamente hashtag associandoli a contenuti non inerenti all’hashtag stesso;
  4. qualche utente ci denuncia alla piattaforma per violazione delle regole;
  5. varie ed eventuali.

In tutti i casi la colpa potrebbe essere di un account compromesso o di un nostro uso non consapevole.

Nel secondo caso, in cui la colpa è nostra, potremmo essere vittime o di un eccesso di entusiasmo (tutti vogliono più follower, tutti vogliono emergere ed essere visibili) o del fatto che non controllando il contenuto e la origine dei tweet finiamo per distribuire contenuti discutibili o pericolosi.

In questo caso fare ricorso contro la sospensione, probabilmente temporanea, con Twitter potrebbe risolvere il problema, ma occhio: una volta entrati nel mirino di Twitter se ne esce molto lentamente, quindi occorre fare attenzione o la reiterazione dei comportamenti errati porterebbe a nuove sospensioni temporanee o ad una definitiva.

Il primo scenario, invece, quello del nostro account compromesso, si presta a valutazioni più complesse. Se abbiamo ancora accesso e controllo dell’account il suggerimento immediato è ovviamente fare ricorso contro la sospensione e contestualmente eliminare tutti i servizi terzi che possono interagire con il nostro account Twitter, giusto per capire dove sta il problema.

Lo scenario più complicato da risolvere è se l’attaccante ha fatto il takeover completo dell’account cambiando anche password, e-mail di recovery ed eventualmente telefono.

Ci troviamo nella sgradevole situazione di pubblicare contenuti che non vogliamo e di non poter neanche intervenire facilmente o rapidamente (a meno che non siamo VIP): infatti, se l’attaccante ci cambia e-mail e telefono anche l’attività di ricordo con Twitter diventa complicata, dal momento che questi sono gli elementi usati dalla piattaforma per verificare la identità.

In questo caso potrebbe diventare necessario fare una denuncia alle autorità competenti per la compromissione dell’account ed usare questa poi per giustificare il ricorso a Twitter e richiedere di rientrare in possesso del proprio account (ammesso e non concesso che Twitter accetti il ricorso).

Nel frattempo, se siamo fortunati Twitter sospenderebbe l’account altrimenti rischiamo di pubblicare nolenti contenuti che potrebbero compromettere la nostra reputazione digitale o quantomeno essere di nocumento a terzi che si fidino delle nostre comunicazioni.

Concludendo

Twitter è una piattaforma formidabile, ma non scevra da problematiche e rischi. I rischi che possono rovinare la nostra esperienza possono essere raggruppati in 3 categorie:

  • rischi per me: che mi truffino, ingannino o danneggino la mia reputazione
  • rischi per gli altri attraverso il mio account a causa di un mio uso non consapevole della piattaforma o incolpevole vittima di una compromissione
  • rischi di sospensione legati al mio uso non conforme alle regole di Twitter.

Conoscendo cosa si rischia si può fruire di un’esperienza gratificante e anche utile professionalmente, nel caso ci interessi questo aspetto.

L’unico dubbio che ci deve rimanere a questo punto è: come riassumo tutto questo in 280 caratteri?

@RIPRODUZIONE RISERVATA

Articolo 1 di 5