Furto e recupero di un account Facebook

Indice

Ultimi post

Post cover

Automating Threat Intelligence series
4 Maggio 2025

Post cover

Palo Alto Networks automation serie
26 Febbraio 2025

Post cover

Fondamentali sull'automazione di rete
25 Febbraio 2025

Post cover

Scegli il tuo percorso di apprendimento: sblocca la potenza dell'automazione
22 Febbraio 2025

Post cover

OT/ICS serie
18 Febbraio 2025

Categorie

Category cover

Automazione
28 posts

Category cover

CISO
15 posts

Category cover

Corsi
9 posts

Category cover

Sicurezza Personale
9 posts

Category cover

Infrastruttura
5 posts

Category cover

Sicurezza
5 posts

Category cover

Libri
3 posts

Category cover

Vita
1 posts

Category cover

OT/ICS
1 posts

Category cover

UNetLab
1 posts

Category cover

Write-up
1 posts

Furto e recupero di un account Facebook

Andrea Dainese
26 Settembre 2023
Sicurezza Personale
Post cover

Questa è la storia di Vittoria (nome di fantasia, da qui V). Qualche giorno fa V mi chiama per un’emergenza: il suo account Facebook è stato rubato da Nhang (nome di fantasia, da qui N). Il furto di identità è un reato penale, sanzionato dall’articolo 494 del codice penale. Questa informazione ci tornerà utile più avanti.

Evidence 4

L’evento, per chi usa Facebook per il proprio lavoro, risulta estremamente traumatico e va trattato con tutte le cautele del caso.

I fatti

  • Mercoledì, V riceve delle notifiche su Facebook che la avvisano che ci sono dei comportamenti anomali sul suo account. V ha seguito le indicazioni notificando l’attività anomala, ma agendo da cellulare non è riuscita a cambiare la password o ad attivare l’autenticazione a più fattori.
  • Giovedì, ore 19:37: Verifica il tuo metodo di pagamento per ricominciare a pubblicare le inserzioni ( Allegato 1 )
  • Giovedì, ore 19:39: Hai appena aggiunto un indirizzo e-mail? ( Allegato 2 )
  • Venerdì, ore 00:38: Hai appena rimosso il tuo numero di telefono? ( Allegato 3 )
  • Venerdì, ore 00:39: Hai appena rimosso il tuo indirizzo e-mail? ( Allegato 4 )

Da qui in poi V non può più accedere al suo account né da computer né da telefono. In più V si accorge che l’account riporta ora nome e cognome di N.

Possiamo immaginare cosa sia successo:

  • La password di V è stata rubata. Questa azione è possibile mediante numerose tecniche che vanno dal semplice portale di phishing, dall’uso di data breach più o meno pubblici, dall’uso dei cosiddetti Infostealer.
  • L’account di V non era protetto con l’autenticazione a più fattori (MFA).
  • N ha potuto accedere all’account di V e, modificando password, email e cellulare ha tagliato fuori V.

Il primo fallimento di Facebook

Per chi lavora nell’ambito della sicurezza informatica, questo genere di eventi rappresentano una serie di indicatori che, dato il comportamento classico di V, indicano una compromissione (in gergo sono detti Behavioral indicators of compromise o BIoC). Cercando di descrivere il meccanismo in modo semplice, ciascun evento riceve uno score, e il gruppo di eventi viene valutato non singolarmente, ma per lo score di gruppo.

Nello specifico:

  • Se un profilo italiano, con accessi solo dall’Italia, viene acceduto dal Vietnam, l’evento è molto sospetto e gli attribuiamo uno score 9/10.
  • Se un utente cambia la password del proprio account e non l’ha mai fatto prima, l’evento può essere sospetto e gli attribuiamo uno score 1/10.
  • Se un utente sostituisce una email, l’evento può essere sospetto e gli attribuiamo uno score 6/10.
  • Se un utente rimuove o sostituisce il proprio numero di cellulare, l’evento può essere sospetto e gli attribuiamo uno score 6/10.
  • Se un utente sostituisce nome e cognome del proprio profilo in modo radicalmente diverso, l’evento è molto sospetto e gli attribuiamo uno score di 9/10.

Non serve un esperto di sicurezza per capire che questi 5 eventi, presi nel suo insieme, determinano con certezza una compromissione dell’account.

Primo tentativo e il fallimento di Facebook

Per ciascun evento descritto nel paragrafo relativo ai fatti, Facebook ha inviato un email a V: premendo sul link Non l’ho fatto io si innescava una procedura che avrebbe dovuto permettere a V di annullare le azioni e ritornare in possesso del proprio account.

Ma non è andata così.

V ha dovuto inviare a Facebook, tramite webcam, una ripresa live del proprio documento d’identità. Ma il sistema automatico di Facebook ha ritenuto che le informazioni fossero insufficienti per riconoscere V e restituirle l’accesso dell’account, lasciandolo a N.

Anche qui non serve un esperto di sicurezza per capire che se V utilizza una email ufficiale di Facebook per segnalare l’evento fraudolento, è assai probabile che l’evento sia stato davvero fraudolento e che le azioni di modifica dell’account dovrebbero essere annullate.

Recupero dell’account e il fallimento di Facebook

A V rimanevano altre due email di Facebook con relativi link per tentare il recupero dell’account. Un ulteriore tentativo fallisce ma, con non poche difficoltà V riesce ad attivare la terza procedura di recupero. V sceglie ora di utilizzare non il documento d’identità che appariva sempre sfuocato, ma il passaporto: con il cellulare si prende il tempo di fare una buona ripresa del documento e questa volta Facebook riconosce l’identità di V e le invia due email per il recupero:

  • Nuovo indirizzo e-mail aggiunto su Facebook ( allegato 5 ).
  • Ora puoi accedere nuovamente al tuo account ( allegato 6 ).

Queste due email vanno utilizzate nell’esatto ordine descritto sopra: prima deve essere confermato l’indirizzo email con il relativo codice di conferma, poi è possibile accedere nuovamente all’account con la password e il PIN temporanei inseriti nell’email.

Ma non è finita qua.

V riesce ad accedere all’account, ma la procedura del cambio email non va a buon fine. Si trova quindi un account:

  • del quale non conosce la password (quella nell’email è una password temporanea da usarsi una volta);
  • associato al email di N;
  • associato al cellulare di N.

V si rende presto conto che qualsiasi tentativo di cambio password, sostituzione di email o del numero di cellulare richiede una password, ma non quella in suo possesso, la password richiesta è quella usata da N per tagliare fuori V.

Tuttavia c’è una procedura per procedere anche senza conoscere la password, ma richiede un PIN di conferma, inviato all’email o al cellulare di N.

Missing account

In un momento di disperazione e di intuizione allo stesso tempo, V riprova ad aprire la app di Facebook dal cellulare che accede in automatico a Facebook ma richiede una conferma da una sessione già aperta. Ora V può autorizzare l’accesso del cellulare utilizzando la sessione aperta precedentemente sul computer e in poco tempo V riesce a cambiare email, cellulare e ad impostare l’autenticazione a più fattori.

Ma V non può cambiare nome e cognome per due mesi: è una politica di sicurezza di Facebook. V si presenterà ai suoi amici come Nhang per due mesi.

Altri fallimenti di Facebook

A posteriori posso dire che V, nonostante dica di avere difficoltà con la tecnologia, ha reagito bene: ha avuto un buon grado di autonomia, ha avuto ottime intuizioni e non si è scoraggiata. E si, visto come non funzionano i sistemi di sicurezza di Facebook, è stata anche molto fortunata.

Vediamo quindi gli altri fallimenti di Facebook:

  • Esiste una procedura ufficiale di Facebook per il recupero di account rubati: tuttavia viene richiesto di inserire l’indirizzo email o il numero di telefono associati all’account rubato. Essendo stati cambiati da N, V non li conosceva.
  • L’invio del documento viene fatto mediante Facebook: per qualche motivo la ripresa del documento d’identità veniva sfuocata, nonostante V avesse un cellulare di ultima generazione. Riprendere il passaporto, molto più grande della carta d’identità elettronica, è stata un’intuizione geniale di V.

Reato penale

Il furto d’identità è un reato penale che va denunciato. Non tanto perché ci sia una speranza che le autorità italiane possano agire su Facebook, ma perché il profilo rubato potrebbe essere usato per crimini. Occorre quindi poter dimostrare di non essere più in possesso di quell’account da una specifica data.

V si è recata presso le autorità per denunciare il fatto, ma non è riuscita a far valere i suoi diritti.

Lesson Learned

Ultimamente sto avendo spesso a che fare con quello che chiamo tecnofascismo delle piattaforme social, dove una serie di automatismi mal scritti e uno spiccato interesse alla sorveglianza cancellano in modo arbitrario o causale i diritti delle persone.

Tuttavia comprendo che alcune persone scelgano di usare tali piattaforme per specifici motivi. E a queste persone mi rivolgo pregandole di prevenire eventuali truffe.

Nel mio modo di approcciare la sicurezza digitale, esistono due tipi di account:

  • quelli collegati alla mia identità che devono essere protetti con password sicure, uniche e, laddove possibile, autenticazione a più fattori;
  • quelli usa e getta, non collegati alla mia identità personale, che proteggo con dati fittizi, password sicure e, laddove possibile, autenticazione a più fattori.

Si dice che prevenire è meglio che curare e in questi casi è più vero che mai: come si evince da questo articolo, recuperare un account rubato è un mix di testardaggine e fortuna. Per essere estremamente trasparente: sono pochi gli account che vengono recuperati.

Per riassumere, se vi dovessero rubare l’account:

  • chiedete aiuto;
  • non operate in emergenza, prendetevi il tempo per operare correttamente (per noi è stato fondamentale operare da computer tenendo il telefono di appoggio);
  • utilizzate le email di recupero inviate dalla piattaforma;
  • una volta recuperato l’accesso tagliate fuori il vostro aggressore (chiedete consiglio);
  • se possibile, usate la procedura ufficiale, attivandola quotidianamente e, se necessario, per mesi.

Una questione aperta

C’era una questione aperta che inizialmente non era chiara: che senso ha rubare un account Facebook, cambiargli nome senza chiedere un riscatto? Ovvero: dov’è il vantaggio economico nel fare questo tipo di operazione?

La risposta è arrivata dopo qualche giorno: il criminale aveva utilizzato l’account Facebook aggiungendo una carta di credito, sconosciuta a V e probabilmente rubata, per creare e pagare campagne promozionali.