Oramai è soprannominato dalla stampa online "il collezionista di dorsi": Filippo Bernardini, 29 anni, italiano, residente a Londra, è stato fermato all'aereoporto JFK di New York con una accusa pesante: tentativo di frode e furto di identità.

Bernardini lavora per una casa editrice inglese, la Simon&Schuster. L'accusa a suo carico - ovviamente da accertare - è quella di aver ingannato dal 2016 molti scrittori, famosi e non, fingendosi un editore e facendosi consegnare i loro manoscritti prima ancora di essere pubblicati.

Da quanto è emerso, l'FBI ha seguito le tracce di Bernardini fin dal 2016, riuscendo poi pochi giorni fa a fermarlo a New York contestandogli le accuse.

La vicenda ha comunque un alone di mistero, infatti nessuno dei manoscritti che Bernardini avrebbe sottratto alle vittime sembra essere mai stato pubblicato: da qui la domanda, perché l'avrebbe fatto?

Come rubare un identità.

Quello che mi interessa però di questo caso sono le modalità e gli schemi che Bernardini avrebbe applicato per fingersi un editore, sempre diverso, in maniera talmente credibile che le vittime (sembra più di 100) gli avrebbero consegnato i loro manoscritti originali.

Se ci pensiamo un attimo, doveva essere molto convincente.

Da quanto si apprende dal documento pubblicato dalla corte USA, la tecnica messa in campo sarebbe stato un mix perfetto di phishing e typosquatting.

un estratto del documento della corte USA

Nel corso degli anni Bernardini avrebbe registrato più di 160 domini, simili a quelli originali di aziende o persone delle quali voleva impersonare l'identità.

Nel documento contenente le accuse viene riportato a titolo di esempio, una delle tecniche utilizzate, ovvero quella di sostituire la lettera "m" con ""rn". Per capirci, se il dominio da clonare fosse stato "campoeditori[.].com" avrebbe registrato "carnpoeditori[.]com".

Moltiplicate questo esempio per 160 domini differenti e... prima o poi qualcuno ci casca. Una volta registrato il dominio fake, Bernardini avrebbe iniziato a scrivere email da quel dominio spacciandosi per editore, manager o comunque una figura di alto profilo dell'azienda, contattando le potenziali vittime.

Ma non solo: l'FBI dichiare che tutti gli indirizzi email utilizzati per contattare le vittime erano impostati in modo tale che le risposte arrivassero tutte ad un solo indirizzo controllato dal Bernardini, così da avere un accesso immediato alla corrispondenza.

Sembra che alcuni domini fossero usati anche per creare vere e proprie landing page di phishing, dove la vittima veniva invitata a registrarsi oppure ad inserire le proprie credenziali, che così venivano rubate.

Lo schema.

  1. Scelta dei domini da impersonificare in funzione delle vittime.
  2. Registrazione domini simili con alcune lettere sostituite (typosquatting).
  3. Invio email con i nuovi domini e creazione landing page (phishing).
  4. Contatto con la vittima per estorcere il manoscritto.

Conclusione.

Questo caso è emblematico: l'errore umano è sempre dietro l'angolo e nessuno ne è esente. Quello che possiamo fare è alzare le nostre difese.

Una delle attività che consiglio sempre, ad esempio, in ambito aziendale è quella di  monitorare se qualcuno ha registrato domini "simili" a quello della propria azienda: potrebbe trattarsi proprio della prima fase di una attività di phishing mirata che, utilizzando domini simili, cerca di trarre in inganno qualcuno che lavora all'interno dell'organizzazione.

Perché, ricordiamocelo, basta che solo uno dei nostri colleghi ci caschi. Uno solo.