Mi è capitato in passato di divertirmi a rubacchiare qualche password per accedere al profilo facebook o twitter di qualche account chiaramente fasullo e devo ammettere che oltre che risultare attività banale ci si divertiva pure. Ma questo accadeva quasi dieci anni fa (un’eternità) nel pieno periodo della diffusione dei social network. Con Facebook era piuttosto facile dal momento che molti utenti lasciavano in chiaro la casella email sottostante, della quale, con qualche centinaio di tentativi, si poteva scoprirne la password. Era un attimo poi far partire la procedura di recupero password del social via email. Bastava poi cancellare le email ricevute dall’ignaro titolare della casella email ed il gioco era fatto.

Sistemi sofisticati

Oggi è tutto molto più complicato: i sistemi di sicurezza dei vari social ti avvisano in caso di accesso non autorizzato o addirittura di accesso da altri browser o altri pc, poi c’è il doppio sistema di verifica via sms con tutti gli altri dati di contatto che di default  non vengono mai pubblicati. Diciamocelo, o sei un bravissimo hacker che sfrutta qualche falla a livello di firewall e server – allora puoi possedere in un attimo migliaia se non milioni di password – o scoprire l’identità che si cela dietro ad un account, se non si ricorre alla polizia postale per giustificati motivi (diffamazione, pubblicazione di materiale illecito, violazione della privacy, ecc.), o a qualche bravo hacker dietro giusto corrispettivo, è quasi impossibile.

Bitcoins e Deep Web

A meno che una pazzesca botta di fortuna unita alla negligenza dell’utente proprietario dell’account, non venga in tuo aiuto nei modi umanamente più classici. Come? Per esempio qualcuno sbircia il vostro smartphone e scopre la vostra vera identità oppure l’amico intimo a cui svelate tutti i segreti spiffera con nonchalance i vostri più reconditi pensieri o magari un bell’elenco di passwords annotate su carta finiscano in mani sbagliate o addirittura la password dell’account è  banale. La probabilità che ciò accada è davvero molto bassa.

Come si fa allora a scoprire l’identità di un utente fasullo? Esclusa la polizia postale rimangono due modi: o mi rivolgo ad un hacker (gli israeliani sono bravissimi) pagando in anticipo con bitcoins usando il deep web, oppure sfrutto le mie amicizie. Nel primo caso devo pagare sia l’hacker che il tecnico senza nessuna garanzia che il lavoro venga svolto; nel secondo caso, devo poter avere indirettamente accesso ai gangli delle telecomunicazioni. Userei certamente il secondo sistema.

Dal momento che l’ignaro utente da colpire usa i social con lo smartphone, tenterei di fargli cliccare un link che lo porti ad una pagina web che legga il suo indirizzo ip. A quel punto chiamerei il mio amico ingegnere di telecomunicazioni che lavora in qualche colosso di settore e mi farei dare <<sottobanco>> il numero di telefono associato alla sim utilizzata sperando che la stessa sia intestata effettivamente alla persona reale; oppure il mio amico potrebbe dirmi dove si trova in quel momento quella persone nel raggio della cella di telefonia mobile.

Stile James Bond

Sfortunatamente il mio amico in Telecom mi vuole effettivamente  bene, ma non così tanto da rischiare il posto di lavoro mentre l’ignaro utente forse non è poi così stupido da cliccare sul primo link che gli capita o di associare il proprio indirizzo email, con nome vero, al proprio account.

Forse sono fortunato e l’utente possiede un vecchio smartphone con android come sistema operativo e sperando che non sia aggiornato, potrei allora rivolgermi ad una agenzia che opera nel settore delle telecomunicazioni per fargli installare un cavalo di troia; ma anche qui ci vorrebbe  tempo, denaro e una bella botta di fortuna. E se l’ignaro utente usasse un iphone? Allora rimarrebbero i vecchi sistemi di pedinamento, microspie e diavolerie varie alla James Bond.

Massimo Manarini
Esperto di Internet Security