E' passato probabilmente un pò in "sordina" l'attacco hacker subito dal brand bolognese Elisabetta Franchi alcuni giorni fa, forse perchè l'azione criminale ha preso di mira "solo" il profilo Instagram dell'azienda, pubblicando messaggi (sotto forma di testo, video e soprattutto foto) vicini al mondo turco.

Questo articolo nasce con l'obiettivo di tentare di capire come si sia svolto l'attacco e cos'abbia comportato, al fine di tenere sempre alto il livello di guardia.

Il target

Elisabetta Franchi è un brand italiano di successo, un'azienda in crescita nel settore della moda. Conosciuto in tutto il mondo, possiamo considerarla un'autentica eccellenza italiana, guidata dall'omonima imprenditrice. L'azienda che controlla il marchio - Betty Blue SpA - è sul mercato da più di 20 anni, con un fatturato che supera i 100 milioni di € e conta più di 300 dipendenti.

Per Elisabetta Franchi, così come per tutti i brand di livello, la comunicazione riveste un ruolo fondamentale e, nell'era moderna, i canali di comunicazione digital rappresentano uno strumento imprescindibile da gestire con cura.

Elisabetta Franchi presidia ed utilizza in modo assiduo ed efficace questi media:

la home page del sito e-commerce di Elisabetta Franchi

C'è anche l'account su Tik Tok, ma al momento non è verificato e non sembra molto attivo, probabilmente non è ancora entrato nella strategia di comunicazione dell'azienda.

In particolare, per quanto riguarda gli account social, non ho dati sufficienti per sapere se vengano gestiti direttamente dall'imprenditrice, da un team interno all'azienda o da una società esterna. Escludendo il primo caso, posso ipotizzare il coinvolgimento di un apposito team (interno o esterno all'azienda fa poca differenza ai fini di questa analisi).

Voglio sottolineare un aspetto importante: considerato il tipo di attività svolto dal brand, i social hanno un ruolo strategico nella comunicazione e nelle attività di marketing, non sono solo media dove "devo esserci perché va di moda". Tra questi Instagram è, attualmente, quello di maggior peso, in quanto basato su una comunicazione visuale.

L'attacco

Iniziamo subito dicendo che l'attacco ha interessato "solo" l'account Instagram del brand. Ma, come dicevo prima, questo è un asset tra i più importanti:

  • +11.000 post
  • 1.9 milioni di follower
Il profilo Instagram dell'azienda

Esiste anche un account Instagram personale, ovvero utilizzato (presumo) dall'imprenditrice per comunicare in maniera diretta e senza filtri, governando in prima persona i messaggi:

Tipologia e modalità di attacco

Possiamo dedurre che l'attacco all'account Instagram sia avvenuto attorno alle 22:30 del 13 Gennaio 2020: non ci sono sufficienti informazioni per sapere se sia opera di un singolo o di un gruppo di criminali informatici.

La modalità usata è quella di effettuare il login con le credenziali di accesso originali dell'account, prendendone così il controllo.

Questo ha permesso al malitenzionato di pubblicare post come se fosse l'account originario: possiamo definirlo un furto di identità digitale.

Pochi minuti dopo, infatti, sono state sostituite:

  • l'immagine del profilo
  • la biografia

e sono state caricate alcune foto. Ma, come vedremo, sono state fatte anche altre azioni.

la home page dell'account di Elisabetta Franchi subito dopo il furto delle credenziali di accesso

Troviamo riscontro dell'orario da alcuni tweet pubblicati alle 22:46 e 22:55 da alcuni "fan" (immagino):

Alcuni Tweet pubblicato subito dopo l'attacco.

La matrice turca dell'attacco si evince dalle bandiere messe in bella mostra, oltre che dalla scritta "Hacked by Turkish Army".

Alle 22:50 viene anche trasmesso un video in diretta, come riportato dall'account di Annalisa Costanzo su Twitter:

Il video in diretta trasmesso (premi Play per vederlo)

L'audio è pessimo ma si intuisce che la lingua non sia quella italiana.

Due sono gli elementi ulteriori che si possono analizzare. Il primo è un account taggato nella descrizione del profilo: @bilalbalci35. Facendo alcune ricerche, scopriamo che il profilo Twitter è stato cancellato, rimane invece quello su Instagram:

Il profilo Instagram indicato nell'account hackerato di Elisabetta Franchi

Non ho trovato in rete altre informazioni rilevanti sull'account. Il sito web indicato bilalbalci.com risulta essere "in costruzione". Possiamo però vedere che nei dati del registrant del dominio viene indicato:

Domain Status: clientTransferProhibited
Registrant Organization: BILAL BALCI
Registrant State/Province: Adalar
Registrant Country: TR

Questo potrebbe confermarne la nazionalità: Adalar è un'isola di un arcipelago a poche miglia da Instabul.

Facciamo un passo avanti e cerchiamo ulteriori informazioni: quello che viene indicato come "Founder" (nel profilo Instagram Bilal Balci), ha come account @dijitalyardim:

A questo nome possiamo trovare un sito web: http://www.dijitalyardim.com/ registrato sempre tramite un provider di Instabul, ad ulteriore conferma di quanto sopra.

Il numero di telefono indicato come contatto WhatsApp risulta invece essere un numero polacco: nel momento in cui scrivo però, i messaggi inviati via WhatsApp sono recapitati ma non vengono letti.

Il nome "dijital yardim" tradotto dal turco all'italiano significa "Aiuto digitale": abbastanza generico per tentare un approfondimento cercando sul web.

Curioso il fatto che le foto presenti nell'account @dijitalyardim (in totale 6) riportino tutte un "Mi piace" dell'account di Elisabetta Franchi: questo significa che l'hacker, una volta entrato in possesso dell'account dell'azienda bolognese, ha anche posto un "Mi piace" sulle proprie foto:

Notare il "Mi piace" dell'account hackerato, con ancora la bandiera turca.

Perchè? Probabilmente per cercare di avere più visibilità, considerato il numero di follower che detiene la maison (personalmente penso sarebbe forse meglio cancellare questi "Mi piace" per non avere link interni ad Instagram tra i due account).

Considerazioni: finalità dell'attacco e modalità di difesa.

Quale fosse l'obiettivo reale di un attacco di questo tipo non è possibile saperlo: potrebbe essere stato richiesto un pagamento per riavere l'accesso al proprio account, ma è comunque un'ipotesi remota, perché in questi casi il supporto di Instagram permette di rientrare in possesso del proprio profilo seguendo una procedura di emergenza.

A volte queste attività criminali hanno un fine dimostrativo: vogliono far vedere a qualcuno (e non è detto che sia il bersaglio oggetto dell'attacco) di cosa sono capaci.

Oppure, potrebbe essere una attività ingaggiata da un concorrente, per portare un danno d'immagine (ma non solo): oggi il mercato del Cybercryme As A Service è ormai una realtà e non è difficile "commissionare" cyber attacchi di qualsiasi tipo, pagando pochi dollari.

Infine, non va esclusa l'ipotesi che possa trattarsi di un'azione di disturbo, per distogliere l'attenzione del personale di cybersecurity dell'azienda mentre si cerca di portare a termine un attacco più strutturato (si veda il caso di questi giorni del Ransomware che ha colpito Cefla, azienda sempre nel bolognese)

Gli effetti di un attacco informatico: il tempo e la reputazione

In  linea generale valgono per tutti coloro che utilizzano i media digitali, non solo per i grandi brand. Chiunque - dalle PMI ai singoli professionisti freelance - utilizzi canali digitali nel proprio business deve tenere conto di queste considerazioni.

Durante il "blackout", il proprietario dell'account non ha più il controllo del suo canale di comunicazione con il pubblico.

Avrebbero potuto cancellare fotografie, inviare messaggi politici - l'unico limite è la fantasia (criminale)- . Se tale account fosse stato anche utilizzato (ma non è questo il caso) come mezzo principale per una piattaforma di vendita online, il danno sarebbe probabilmente stato anche di ordine economico.

Per quanto riguarda la reputazione la questione è anche più complessa: essere vittima di un attacco hacker quando si ha molta visibilità, potrebbe avere effetti negativi verso i propri follower, clienti, fornitori e soprattutto i concorrenti.

Come difendersi?

Il secondo elemento interessante è la scritta che il criminale informatico mette in bella vista sul profilo dell'account:

"I think you should increase your security a little more" (Penso dovresti aumentare un pò la tua sicurezza)

Probabimente (questa è ovviamente una supposizione) l'attacco è stato portato a termine trovando la password di accesso. Questo è possibile se:

  • la password non è sufficientemente "robusta"
  • non è attiva l'autenticazione a due fattori
E' plausibile pensare che sull'account non fossero quindi presenti questi due - basilari - sistemi di difesa.

Grave errore.

La password

Utilizzare password robuste, ovvero adeguate al sistema che devono proteggere, è un obbligo imposto anche dal GDPR. Ma soprattutto dal buon senso.

Anche perché, in caso contrario, i criminali informatici hanno vita facile e possono - utilizzando tecniche di social engineering e brute force - scoprire la password oggetto del loro target.

Come consiglio anche nel mio e-book, considerato oggi il numero elevato di password che ciascuno di noi e di conseguenza ciascuna azienda - grande o piccola - deve gestire, la soluzione migliore è affidarsi ad un Password Manager.

Autenticazione a due fattori

Oggi la maggior parte delle piattaforme consente l'autenticazione a due fattori. In primis i social network, per mitigare il furto di identità. Instagram non fa eccezione.

In cosa consiste? Quando si deve accedere, viene inviata ad un dispositivo in nostro possesso una Password temporanea (via email, via SMS, etc). Utilizzando questo sistema, per riuscire ad impossessarsi di un account è necessario non solo trovare la password ma anche in qualche modo "intercettare" l'invio di quella temporanea: cosa non impossibile ma molto difficile.

Nel caso dell'account di Elisabetta Franchi non sappiamo se l'autenticazione a due fattori fosse attiva: personalmente credo di no.

Cosa possiamo imparare da questa storia?

Proteggere i nostri canali social e,  più in generale, le nostre reti ed i nostri dati, deve diventare una azione automatica: il mondo è cambiato, i nuovi criminali colpiscono spesso utilizzando sistemi automatizzati, senza neppure sapere in anticipo quale sia il target.

E' solo una questione di tempo. Prima o poi tutti subiremo un attacco informatico. L'importante è essere preparati.