Archivi categoria: hacker

Cosa impari da un attacco hacker

hacker

Le webcam di casa sono violabili?

Se l’è chiesto la giornalista del Wsj Joanna Stern, 1 figlio piccolo, che ha dato il permesso all’hacker etico ed esperto di sicurezza Alexander Heid di violarle.

  • La brutta notizia è che è riuscito a entrare nella webcam del laptop Windows 10 e, da lì, nel Wi-Fi casalingo, crackando anche il MacBook Air;
  • la bella notizia è che entrambi i S.O. l’hanno protetta, finchè lei non ha sbagliato.

 

wsj1
Esito: una volta entrato nel PC Windows, l’hacker si è connesso al Wi-Fi e alla webcam IP Wansview.

 

Violare Windows

Joanna si aspettava mail di phishing ma di recente aveva anche inviato un tweet in cui annnunciava di voler assumere un produttore video. Il perfetto vettore di attacco (spear-phishing). Perchè l’hacker le ha inviato una mail con link a video contenente malware e CV allegato con le istruzioni per eseguirlo. Cosa puoi fare: improbabile che gMail avverta che una mail sia phishing ma stai in campana se un warning giallo dice che non ce la fa a scansionare l’allegato crittografato per capire se è un virus (gMail ha 3 classi di notifica a seconda del pericolo). Tra l’altro, quando apri il doc Word allegato, Windows Defender (l’anti-virus incorporato di Microsoft) lo confina e Microsoft Word si apre in vista protetta. E, se clicchi il link, il file scaricato viene subito riconosciuto come virus e cancellato. Il S.O. funziona a meno che non ne disattivi le impostazioni.

wsj3
L’indicatore luce si è acceso quando l’hacker ha raggiunto la webcam (e ha scattato foto), sullo schermo non è cambiato nulla.

Avendo lasciato i 2 file attivarsi per prova, il sig. Heid ha avuto accesso alla webcam in 15 minuti (anche al microfono).

Per fortuna Microsoft aveva patchato una vulnerabilità Microsoft Office nel 2017, altrimenti al sig. Heid non occorrevano 2 file.

Cosa puoi fare: assicurati di tenere attivi Windows Defender o un anti-virus. Se hai paura ogni volta che scarichi qualcosa, metti Windows 10 in S Mode, esegue solo app approvate da Microsoft e aiuta a vedere documenti solo in cloud (es. Office Online o Google Docs), quì nessun malware può nuocerti.

wsj4
Quando la giornalista ha tentato di scaricare il pericoloso file video, l’anti-virus incorporato Windows Defender l’ha capito e le ha impedito di installarlo.

 

Violare il Mac

Hackerare un MacBook Air del 2015 con l’ultima versione MacOS, il Mojave, ha richiesto più passaggi (e un errore della “vittima”). Stavolta il malware era embeddato in un documento .odt, un formato di file open-source. Per aprirlo, la giornalista ha scaricato il popolare LibreOffice e, per non pagarlo 14$ da App Store, ha disabilitato le impostazioni di sicurezza del Mac per installare la versione gratuita non verificata, dimenticando poi di riabilitarle.

 

wsj5.jpg
Per impadronirsi della webcam Mac, l’hacker ha scaricato alcuni file, incredibilmente è stata la stessa giornalista a dare l’ok a un pop-up.

 

Il sig. Heid ha poi fatto solo qualche foto.

Cosa puoi fare: Apple dà molti warning sul software non sicuro, meglio se scarichi sempre da Mac App Store o parti approvati dall’Apple Developer Program. Aggiorna sempre il S.O. e installa Malwarebytes, non disattivare mai le funzionalità di sicurezza.

 

wsj6.gif
Visto che non si sa mai, usa cover scorrevoli o un semplice post-it.

 

Ti starai già chiedendo se è possibile violare le camere del tuo smartphone. È dura – dice Dave Lewis – iOS e Android ci proteggono per bene.

Violare altri dispositivi

Una volta connesso al laptop, il sig. Heid ha scansionato altri device nel Wi-Fi di casa trovandone 2, una camera Nest + il baby monitor Wansview 1080p. Violare quest’ultimo non richiede alcun hacking, è sufficiente scrivere l’IP sulla barra degli indirizzi e inserire login/password che risultano da una banale ricerca su Google.

wsj7
Baby monitor IP della Wansview azionabile da app iPhone

La camera Nest si basa su cloud ed è controllata da profilo Nest, molto più sicuro (…).

Cosa puoi fare: LE PASSWORD SONO IMPORTANTI, cambia quelle di default appena puoi, usa un password manager per controllarle tutte e attiva dov’è possibile l’autenticazione a 2 fattori (richiede un’azione da smartphone).

Non ti serve reclutare un hacker etico per sapere se i tuoi account sono stati violati, controlla da te su haveibeenpwned.com. Per il resto, resetta i tuoi laptop alle impostazioni di fabbrica, copri le tue webcam e aggiorna sempre il software.

 

segretaria virtualeAutore: Il team di Segretariaincloud offre servizi di assistenza per privati, imprenditori, liberi professionisti e startupper. Dalla segretaria telefonica virtuale (90% più conveniente di quella tradizionale perchè abbatti i costi fissi!) che risponde a distanza a tutte le tue chiamate dalle h. 9 alle 19 notificandoti via App sms o email, allo sviluppo del business online con tutte le tecniche del Web Marketing moderno (SEO, search marketing, campagne banner, pay per click, social media marketing, spider web e direct email marketing).

Cosa sono le robocall e perchè i robocaller vincono anche se non rispondi

assistente virtuale, business online, hacker,

Dopo 4 anni di attività, quì a Segretariaincloud.it notiamo che sta lentamente crescendo un nuovo fastidioso fenomeno.

Non è tanto il telemarketing a cui riagganciamo subito ma sono squilli che abortiscono subito dopo. Spesso Google li riconosce come pubblicità ma a volte purtroppo no, il chè ci induce allora a richiamarli (“mai chiamate perse” è il nostro motto) solo per scoprire che non c’è nemmeno linea.

Sono robocall.

Le robocall sono chiamate automatiche, pensa a quando la Asl ti invia un promemoria per una visita medica o a quando Telecom ti scassa la minchia per ritornare.

In teoria le robocall dovebbero cmq essere pensate per recitare una frase.

E invece no…

Se ignori infatti una robocall non impedisci ad alcuni truffatori di fare soldi dai servizi di caller-ID.

Il Caller ID sta purtroppo accrescendo uno dei molti problemi che era stato sviluppato per fermare: le chiamate spazzatura.

Robocaller illegali, o congegni che sommergono i telefoni fissi americani con chiamate di marketing, usano un sistema di identificazione vecchio di decenni per far soldi, anche quando nessuno risponde.

Di solito gli scammer guadagnano un sacco se pescano il credulone che rivela il numero di carta di credito o dà info sul conto corrente, ma i robocaller guadagnano anche grazie a database poco conosciuti che cercano di identificare chi sta chiamando.

Ogni volta che viene visualizzato il nome di un chiamante, le compagnie telefoniche pagano piccole commissioni (frazioni di pochi centesimi) a database che archiviano tutto in record. Alcune di queste commissioni vengono girate al chiamante.

Con milioni di chiamate automatiche al giorno, gli importi crescono.

“Saranno anche pochi centesimi per gli scammer ma è più del costo di fare le chiamata”, dice Aaron Woolfson, presidente di TelSwitch Inc., una società che rilascia licenze per software di fatturazione per telecomunicazioni.

I cellulari hanno rimpiazzato le linee fisse in molte case ma secondo la Federal Communications Commission nelle case degli Stati Uniti ne resistono ancora circa 121 milioni e quelle linee fisse sono sempre più sul lato ricevente di robocall mascherati da telemarketing.

È difficile quantificare il numero di robocall recevute dai telefoni fissi ma applicazioni mobili mirate a rilevare e bloccare i robocaller danno  un’idea di scala. Ad esempio nel 1° trimestre del 2018 Hiya, una delle centinaia di app con funzioni di blocco delle chiamate, ha contato circa 5 miliardi di robocall fatte a cellulari USA, +10% rispetto al periodo precedente.

Molti robocaller sono diventati più sofisticati con lo “spoofing” o inventando il caller ID che un destinatario vede sul cellulare/fisso. Nel 1° caso i robocaller usano un prefisso locale per incoraggiare le vittime a rispondere. Nei primi 5 mesi dell’anno gli americani hanno sporto centinaia di denunce alla FCC,+100% rispetto allo stesso periodo dell’anno scorso.

La catena di transazioni in molti altri schemi di robocalling illegale funziona così: i truffatori acquistano un blocco di numerazioni inutilizzate e inviano ai database di caller-ID nomi e indirizzi fittizi per questi numeri.

Spesso assumono call center per fare milioni di robocall che attivano interrogazioni ai database di caller-ID. Alcuni database sono gestiti dagli stessi operatori come AT & T Inc. mentre altri sono gestiti da altre società come Neustar Inc.

robocaller-2

Il vettore del destinatario paga una piccola commissione per tale richiesta di informazioni quando consegna un nome, in genere tra 0.0025$ e 0.005$. Alcuni database quindi restituiscono una parte di tale micropagamento alla società che controlla il numero di telefono chiamante, la società che completa la chiamata o il loro cliente.

Un portavoce di AT&T dice che l’azienda offre ai suoi clienti strumenti per fermare le robocall e che “nel tempo abbiamo migliorato le nostre difese, modificando i requisiti per i pagamenti ai nostri clienti di database caller-ID, il chè ci ha permesso di controllare meglio il nostro database e rimuovere gli incentivi per attività vietate. ”

Neustar terminerà il suo programma di condivisione utili dalle interrogazioni al suo database con alcuni fornitori di servizi di chiamata.

James Garvert, vicepresidente della gestione dei prodotti per il caller-ID a Neustar, ha dichiarato che la società non ha ricevuto alcuna compensazione dal suo database caller-ID utilizzato per campagne illegali di robocalling.

Voice Broadcasting Software, una società di Los Angeles che offre call center a noleggio, pubblicizza su sito la possibilità di effettuare fino a sei milioni di chiamate al minuto. Attraverso il suo programma di condivisione utili, i clienti possono fare 2500$-5000$ al mese per cinque milioni di query fatte ai database caller ID, recita sempre il sito. Ogni tentativo di parlare con qualcuno della società è stato inutile.

I regolatori monitorano tali accordi di condivisione utili. In una causa della Federal Trade Commission del 2015 contro aziende accusate di aver fatto miliardi di robocall per publicizzare crociere, la FTC ha affermato che la campagna era stata finanziata con 135000$ in commissioni da richieste a database caller-ID per quattro mesi.

Ad oggi, gli sforzi delle autorità di regolamentazione per reprimere i truffatori e i call center complici nelle loro campagne sono serviti a poco.

Un grosso ostacolo, dicono gli avvocati di telecomunicazioni, è che non tutte le robocall sono illegali. Alcune vengono fatte per scopi legittimi come i promemoria per visite mediche o le campagne politiche. I call center o i venditori di numeri assunti per scopi legittimi possono però essere anche utilizzati dai truffatori.

“L’intera rete è stata strutturata per inviare chiamate, non per bloccarle”, dice Jim McEachern, principale tecnologo di Alliance for Telecommunications Industry Solutions che sta lavorando su un metodo di verifica delle chiamate. “È progettato per non giudicare se si tratti di una buona chiamata o di una cattiva chiamata.”

Concludendo.

Anche in Italia stiamo forse iniziando ad osservare qualcosa di simile. Nei prossimi mesi integreremo nella nostra piattaforma tool automatici per respingere queste tecniche. Interrogheremo anche gli operatori Telecom/Vodafone/Tre/Fastweb/ecc. per capire se esiste una struttura di incentivi simile a quella americana e pubblicheremo quì le risposte.

Ad ogni modo, buon ferragosto 🙂

Noi continuiamo a lavorare.

 

segretaria virtualeAutore: Il team di Segretariaincloud offre servizi di assistenza per privati, imprenditori, liberi professionisti e startupper. Dalla segretaria telefonica virtuale (90% più conveniente di quella tradizionale perchè abbatti i costi fissi!) che risponde a distanza a tutte le tue chiamate dalle h. 9 alle 19 notificandoti via App sms o email, allo sviluppo del business online con tutte le tecniche del Web Marketing moderno (SEO, search marketing, campagne banner, pay per click, social media marketing, spider web e direct email marketing).

 

growth hacking

Più di una segretaria…

assistente virtuale, business online, hacker, startup, , ,

Fra i nostri clienti non ci sono solo Dottori e Avvocati che contano già su una clientela fidelizzata, ma spesso ci sono anche fragili start-up.

E noi non ti lesiniamo mai consigli su come crescere, perchè è anche nostro interesse che il tuo business prosperi e ricevi molte chiamate 🙂

A volte, però, non ci ascolti abbastanza.

Il mese scorso si è iscritto gustodicaffe.it, un sito che vende cialde e capsule per tutte le marche a ottimi prezzi. Siccome Sara e Isabella si sono accorte che le chiamate erano sporadiche, mi sono offerto di fargli un’analisi gratuita del sito. L’imprenditore aveva curato poco il web e aveva giusto tentato un massiccio volantinaggio di città. Ora, per chi è del mestiere come me, è immediato vedere cosa non va: struttura dei link sballata per cui i motori non scansionano, keyword non calibrate nè diversificate a sufficienza, nessun backlink, ecc.

Il problema è che, quando avvii un progetto, devi avere in mente un piano sul lungo periodo. Basta un budget minimo e saperlo allocare, ma dimentica le iniziative una tantum e cerca la continuità nel tempo:

  1. punta ad un numero minimo di visite organiche ogni mese che ti faccia guadagnare subito (altrimenti il 2% di conversione di zero visite è zero), sapevi che puoi conoscere questo numero in anticipo?
  2. sai cos’è un growth hacker? è uno come me o quelli del mio team, scansioniamo enormi banche dati in cerca di contatti (email, cellulari e telefoni) e poi avviamo campagne di lunga durata con newsletter, whatsapp e fax periodici.

Non esitare a chiederci aiuto. Scommettiamo che alla fine si accorgeranno di te?

 

authorAutore: Johnny T. è sviluppatore full-stack, seo, copywriter e specialista in marketing web. In aggiunta a creare interfacce user-friendly come spediamo.it e smartfix.it ed a lanciare progetti come la segretaria virtuale, Johnny si diverte a leggere libri eccezionali e a pensare di avere ancora del tempo libero. Contattalo su LinkedIn.