Come si fa a sottrarre un account da migliaia di dollari? Basta un po' di ingegneria sociale.
[ZEUS News - www.zeusnews.it - 03-03-2014]
Non è da tutti avere un account Twitter valutato 50.000 dollari; eppure pare che quello di Naoki Hiroshima - blogger, sviluppatore e, appunto, utente di Twitter - li valga tutti.
A renderlo così prezioso è una sua particolarità, piuttosto rara: è composto da una sola lettera, ossia N.
Il rovescio della medaglia è che questa popolarità ha reso l'account un bersaglio appetitoso per molti, dagli hacker che hanno provato a forzarlo fino a coloro che hanno tentato di acquistarlo legalmente, offrendo fino a 50.000 dollari.
Di recente, Naoki Hiroshima e il suo account Twitter sono diventati ancora più popolari per via di una complicata vicenda.
Utilizzando «semplici tecniche di social engineering», infatti, qualcuno è riuscito a impossessarsi proprio dell'account Twitter di Naoki, mettendo in luce il vero punto debole dei sistemi di identificazione adottati in Rete: il fattore umano.
L'intera vicenda è raccontata dalla vittima stessa nel proprio blog con un post dal titolo Come ho perso il mio username Twitter da 50.000 dollari.
A cadere vittima dell'ingegneria sociale non è stato Naoki Hiroshima; nella trappola del ricattatore è invece caduto qualche dipendente di PayPal (presso cui Naoki Hiroshima ha un account) che è stato convinto a rivelare per telefono le ultime quattro cifre della carta di credito di Hiroshima.
|
Una volta in possesso di questi numeri, il ricattatore ha contattato GoDaddy, provider che ospita alcuni siti di Hiroshima, e si è fatto passare per la sua vittima: GoDaddy ha ritenuto che i quattro numeri fossero sufficienti per provare l'identità del chiamante.
Ottenuto il controllo dei siti e delle caselle email di Hiroshima (servizi forniti da GoDaddy), il criminale ha potuto richiedere a Facebook e Twitter il cambio della password e ha in questo modo avuto anche l'accesso agli account sui social network.
A quel punto è partito il ricatto: rinunciare all'account @N in cambio della restituzione di siti e caselle email.
Non riuscendo a farsi riconoscere da GoDaddy come il legittimo proprietario dell'account sottratto, inizialmente Hiroshina s'è arreso e ha consegnato il proprio account Twitter, ottenendo in cambio la password per i siti e gli indirizzi di posta elettronica.
Poi, per fortuna, ha contattato dei dipendenti di Twitter disponibili e intelligenti, riuscendo così a recuperare @N: l'intera vicenda l'ha tenuto occupato per oltre un mese.
GoDaddy, nel frattempo, ha cambiato le proprie politiche in merito alla sicurezza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator