Nelle ultime ore avrete probabilmente letto notizie che riportavano un furto di informazioni da Facebook, in particolare "i dati di più di 533 milioni di utenti".
Vediamo esattamente cosa è successo e cosa fare.
Partiamo dall'inizio: effettivamente un mega-data base è stato sottratto a Facebook e messo in vendita, nei soliti canali del cybercrime. La prima notizia è stata pubblicata da Arturo Di Corinto - giornalista sempre attento al mondo del cybercrime - già il 15 Febbraio.
Si tratta di un DB esfiltrato nel 2019, quindi non recente, ma contenente comunque preziose informazioni. Ma come mai in queste ultime ore c'è stato un tam-tam così frenetico sui media e sui social network?
Per il "semplice" motivo che l'archivio è stato pubblicato su alcuni forum, in maniera completamente gratuita e quindi accessibile potenzialmente a chiunque.
A memoria, non ricordo ci siano casi del genere: una così importante mole di dati personali di norma ha un valore economico che i cybercriminali tendono a monetizzare.
Cosa contiene esattamente il data base sottratto a Facebook?
Il file contenente i dati di utenti italiani, conta circa 37 milioni di righe. 1 riga = 1 utente. Queste le informazioni presenti:
- Numero di telefono cellulare
- UID Facebook (codice numerico del profilo Facebook)
- Nome, Cognome
- Sesso
- Città e provincia di nascita
- Data di nascita (formato data + ora, anche se non visibile sul profilo FB)
- Attività lavorativa
- Email: sono pochissimi gli indirizzi email presenti dei file
Nonostante gli indirizzi email siano presenti solo in piccola parte, gli altri dati - soprattutto il numero di telefono cellulare e il codice UID del profilo Facebook - possono mettere in condizione un criminale informatico di predisporre varie tipologie di attacco.
In particolare il rischio di più grosso è quello del phishing, ovvero campagne mirate che hanno l'obiettivo di ingannare il bersaglio al fine di fornire ulteriori informazioni riservate.
Non mi meraviglierei se nei prossimi giorni o settimane arrivasse un SMS con un link dove, magari chiamandoci proprio per nome e cognome, ci chiede di cambiare la password di Facebook.... quindi massima attenzione, mi raccomando.
E' quindi molto probabile che attività di Social Engineering saranno messe in campo per tentare attacchi fraudolenti.
Cosa fare?
Al momento possiamo ipotizzare che i dati siano oramai stati condivisi su più piattaforme. Intelligence X, una piattaforma di raccolta informazioni dal dark web, ha annunciato di aver già iniziato l'indicizzazione dei data base oggetto di furto.
Su Telegram al momento è possibile scaricare il DB in chiaro, senza troppi sforzi.
Quello che possiamo fare è prima di tutto verificare se le nostre informazioni fanno parte del data base: sia Intelligence X che I Have Been Pwned mettono a disposizione i loro motori di ricerca in modo da poter effettuare la verifica.
Attenzione però che - come detto prima - essendo il numero di email compromesse molto limitato, è probabile che la ricerca non vada a buon fine anche se i nostri dati sono all'interno dei data base.
A questo punto, quello che va fatto è essere prudenti:
- Cambiare la password di accesso a Facebook e a tutti social correlati (Instagram in primis), attivando l'autenticazione a due fattori. Questa azione non è correlata al furto del DB che non contiene la password di Facebook, ma serve solo ad aumentare la sicurezza sul nostro account (ovviamente scegliete una password robusta...)
- Verificare se sia possibile impostare il profilo in modalità "privata" in modo che un eventuale attaccante non possa vedere le nostre informazioni (o comunque limitarle al minimo), per diminuire la raccolta dati durante attività di social engineering
- Porre massima attenzione all'arrivo di email, SMS, messaggi su chat nelle prossime ore/giorni.
Quali informazioni possono essere recuperate (e come) con questi data base?
Le attività di social engineering posso essere di vario tipo, volte principalmente a recuperare informazioni per profilare il target.
Eccone un esempio: proviamo a cercare il numero di cellulare di una persona presente su Facebook. Prima di tutto va recuperato il Facebook ID (UID) ovvero il codice numerico che identifica ogni singolo profilo Facebook.
E' molto semplice: basta, ad esempio, cliccare sulla immagine del profilo di una persona ed il gioco è fatto: il numero presente alla fine dell'URL è il codice che cerchiamo.
Una volta trovato il codice basta effettuare una ricerca del data base: il profilo è presente sarà possibile recuperare il numero di cellulare ed eventualmente altre informazioni.
NOTA: vi ricordo che scaricare e manipolare data base oggetto di furto può implicare conseguenze sotto il profilo legislativo vigente.