È il primo di giugno del 2020. Sono passati solo 6 giorni dalla morte di George Floyd, cittadino afroamericano morto nel corso di un fermo di polizia in cui gli agenti hanno utilizzato la famigerata tecnica di soffocamento attraverso la pressione del ginocchio sulla gola. Negli Stati Uniti la vicenda provoca una vera rivolta da parte della società e numerosi gruppi e associazioni per la tutela dei diritti civili avviano campagne di sensibilizzazione. In Maryland, Stato in cui è avvenuto il fatto, una bambina sta attaccando manifesti in favore delle proteste che stanno animando il Paese. Un ciclista le si avvicina e la aggredisce e, in seguito, si dà alla fuga urtando un passante.
La caccia (digitale) all’aggressore
Per individuare l’autore del gesto, la polizia pubblica su Twitter il video della scena. Pochi giorni dopo, l’aggressore ha un nome e un cognome. Si tratta di Peter Weinberg, che sui social media viene indicato come il colpevole e viene subissato di insulti. Weinberg è un professionista che opera nel settore finanziario e ha la passione del ciclismo. Molti utenti dei social lo collocano sul luogo dell’evento proprio nel momento in cui è stato girato il video. Com’è stato possibile? Come molti appassionati di sport, Weinberg utilizzava un’app per misurare le sue prestazioni durante gli allenamenti in bici.
Quello che non sapeva era che i dati raccolti dall’applicazione erano pubblici e, di conseguenza, accessibili da parte di chiunque. È stato questo lo strumento utilizzato dai “vigilantes digitali” per inchiodarlo. Peccato che Weinberg, in realtà, fosse innocente. Nell’appello pubblicato su Twitter la polizia aveva sbagliato a indicare il giorno dell’aggressione, datandola al 2 giugno e non al 1° giugno. L’errore era stato poi corretto in un tweet successivo, ma chi ha avviato la caccia all’aggressore non se n’è accorto e ha individuato la persona sbagliata, avviando una vera e propria gogna mediatica da cui il malcapitato Weinberg è uscito tra mille difficoltà. Tutto per non aver dato il giusto peso alla privacy nell’uso di una semplice app.
La vulnerabilità della nostra impronta digitale
Il caso di Peter Weinberg è un esempio perfetto dell’impatto che può avere la nostra impronta digitale, cioè quella serie di informazioni derivanti dall’interazione con strumenti digitali che mettono a rischio la nostra privacy. Si tratta di dati di ogni genere, sempre più spesso distribuiti sui social media o su piattaforme in cui sono accessibili a chiunque. Informazioni che, nelle mani sbagliate, possono trasformarsi in un micidiale strumento di attacco. Sempre più spesso, per esempio, i cyber criminali sfruttano l’impronta digitale per portare attacchi di phishing. La tecnica, che prevede l’invio di messaggi ingannevoli con lo scopo di “agganciare” la vittima designata per poi colpirla con un malware, in questo caso viene declinata nella sua variante di spear phishing. Si tratta di un attacco “mirato”, attraverso il quale i pirati informatici sfruttano l’impronta digitale del bersaglio per individuare i suoi interessi, ricostruire la sua rete di relazioni e mettere a punto un’esca che abbia la massima efficacia. Un esempio pratico chiarisce meglio come può funzionare.
Anatomia di un attacco di spear phishing
Immaginiamo di essere un cyber criminale e di voler compromettere il computer di Stefano Bianchi (nome di fantasia) per poter accedere ai dati dell’azienda per cui lavora. Possiamo provare a inviargli un malware via e-mail, sperando che sia così sconsiderato da aprire un link inviato da uno sconosciuto. Ma se Stefano Bianchi ha una minima preparazione a livello di cyber security, è difficile che faccia il fatidico clic sul collegamento malevolo. Il nostro bersaglio, però, non ha impostato le regole di privacy sulla sua pagina Facebook, che è quindi aperta a tutti. Spulciandola, scopriamo che è un appassionato di motociclette e troviamo anche qualche commento del suo amico Mario Rossi, che condivide la stessa passione. Ecco, quindi, che il gioco è fatto.
Oggetto: Ti interessa una Ducati Monster 600 del 2020?
Buongiorno Stefano,
mi chiamo Andrea Verdi, mi ha dato il tuo contatto Mario Rossi, un amico comune.
Per questioni legate alla mia salute (ho una brutta tendinite) mi trovo costretto a vendere la mia amata Monster, che avevo comprato solo due anni fa. Mario mi ha detto che forse ti potrebbe interessare.
A questo link puoi vedere un po’ di fotografie della moto.
Se ti interessa vederla dal vivo puoi contattarmi a questo indirizzo.
Il collegamento, naturalmente, avvia l’installazione di un trojan sul computer della vittima. Quante probabilità ci sono che faccia clic?
