Alcuni giorni fa ho trovato un sito che si propone di riuscire a "spiare" un account Telegram: basta inserire il nome utente od il numero di telefono ed il software inizia una serie di attività "speciali" che riescono a trovare la password dell'utente, a superare l'autenticazione a due fattori e a copiare tutti e quanti i dati contenuti nell'account Telegram preso di mira: chat, rubrica, file.
Tutto ciò è possibile grazie Tgtracker:
Fermi tutti: è una truffa.
Partiamo dall'inizio. Innanzitutto va ribadito un concetto importante: spiare un account di un altra persona è un reato se non si hanno le relative autorizzazioni.
Detto questo, il caso in questione - Tgtracker - è un esempio interessante su come spesso ci si possa imbattere in applicazioni che crediamo legittime ma che in realtà sono dei siti truffa (scam site).
Tgtracker infatti è uno di questi: una piattaforma realizzata appositamente per trarre in inganno curiosi e rubare credenziali di accesso, soldi e probabilmente anche le password di wallet di criptovalute.
Vediamo come è strutturato, per capire quali possono essere le tecniche usate per trarre in inganno ignari utenti ma anche per trovarne i punti deboli ovvero quei "segnali" che devono metterci in guardia.
Parte tutto dalla curiosità (e dalla semplicità).
Chi no ha mai sognato di poter spiare un account Telegram di un altra persona? Amici, partenti, mogli/mariti, colleghi etc: tutti, prima poi, siamo presi dalla voglia di "sbirciare" - per motivi personali o di business - nell'account di qualcun altro.
Anche se sappiamo che è una attività illegale, è nella natura umana cercare scorciatoie soprattutto se abbiamo la ragionevole certezza di non essere scoperti.
La home page di Tgtracker è stata costruita proprio per fornire agli utenti informazioni dettagliate ma si facile comprensione:
- "Tgtracker is a spy software for monitoring Telegram activity of other people. Using the app, you can track IP via Telegram, track location of authorized devices, find out who the person is communicating with in Telegram."
- "The software uses a combination of unique technologies to intercept the verification code. Tgtracker instantly accesses the code by using a vulnerability in the data transfer protocol applied to deliver the verification code, and uses it to authenticate to the account on a virtual device."
- "The software provides a positive result in more then 90% of hack requests."
Se ci pensiamo bene, il fatto di ammettere che il software funzioni nel 90% dei casi (e NON nel 100%), aumenta la credibilità della home page.
La semplicità di utilizzo la fa da padrona. Nel box in alto a sinistra è sufficiente inserire un nome utente di un account Telegram e magicamente tutta la macchina-spia si avvia:
Come potete vedere in questo breve video, Tgtracker mostra all'utente una serie di step che stanno ad indicare lo stato di avanzamento della violazione dell'account preso di mira ed tutti i dati al suo interno che vengono copiati.
Ovviamente tutto è fasullo: l'unica cosa reale è la foto dell'account Telegram che viene recuperata dall'account.
Una volta terminato questo "cinema", Tgtracker ci dice quanti dati ha copiato dall'account violato. Anche in questo caso, i numeri sono inventati.
E qui scatta la truffa vera e propria: per poter leggere questi dati è necessario effettuare un pagamento.
Come potete vedere, tutto è stato disegnato e costruito a regola d'arte, con un design che fa invidia alla maggior parte dei siti leciti che incontriamo quotidianamente.
Questo aspetto deve farci riflettere su come spesso chi costruisce siti di scam o phishing abbia competenze di design e marketing elevate.
Quali minacce presenta un sito del genere?
In questo caso specifico diciamo che i pericoli sono principalmente due. Innanzitutto per accedere alla "dashboard" è necessario registrarsi su Tgtracker: questo processo comporta il dover fornire un indirizzo email ed una password.
E' molto probabile che questi dati siano poi rivenduti nel dark web. Questo comporta un rischio aggiuntivo per l'utente se ha utilizzato una password simile - o peggio ancora - uguale ad altre.
C'è poi la ragionevole certezza che il pagamento, una volta effettuato, non porti al risultato sperato, con la conseguente perdita del denaro inviato. Nota: il pagamento può essere fatto solo in cryptovaluta.
Come capire che si tratta di un sito truffa?
Il primo punto è quello relativo al servizio erogato. Non lasciamoci prendere dalla curiosità o dal prezzo decisamente invogliante per una attività che tecnicamente è molto complicata ed ha quindi costi elevatissimi.
E' come comprare un Rolex da 100.000€ a 500€: poniamoci delle domande.
Per quanto riguarda invece la struttura del sito, alcuni "campanelli di allarme" ci sono:
- I link social non funzionano: quello verso YouTube non esiste e quello verso Twitter porta ad un account dubbio...
- La pagina delle review è vuota.
- Nella privacy policy si fa riferimento a WhaSpy, una app (sempre truffa) che ha lo stesso fine per WhatsApp.
Aggiungo che WhaSpy è una applicazione che è possibile scaricare direttamente sui telefoni Android tramite alcuni AppStore non ufficiali: massima attenzione quando installiamo applicazioni che non sono rilasciate da sviluppatori "certificati" o che si trovano al di fuori del PlayStore di Google.