News

Instagram spam: Il più grande attacco hacker dalla nascita del Social Network

L’hanno chiamato l’attacco della dieta miracolosa o anche lo spam a base di frutta… resta il fatto che quanto è accaduto nello scorso weekend è forse il più grande attacco hacker in termini di pervasività ed invadenza mai lanciato fino ad oggi ai danni di Instagram. Ma andiamo con ordine e ripercorriamo le tappe.

Instagram e le App di terze parti

È sera inoltrata quando sabato scorso l’amico Antonio Ficai (aka @c4antonio) mi manda via WhatsApp una serie di screenshot da cui si deduce che Instagram gli sta imponendo di resettare il token per tutte le app di terze parti.

Funziona così. Quando con Instagram diamo l’assenso affiché ad un’applicazione di terze parti (un’app tipo Fotogramme oppure un servizio web tipo Followgram, che ora si è fatto pure app) possa accedere alle nostre informazioni, di fatto le permettiamo di ottenere da Instagram una chiave che riporta una sorta di nostra impronta digitale con la quale è possibile portare a termine alcune operazioni come per esempio aggiungere e cancellare propri commenti, dare e togliere i like, seguire o meno gli utenti. Questa chiave in gergo tecnico si chiama token ed è una chiave univoca generata dall’identificativo (unico!) del nostro utente, dall’identificativo (unico!) della app che lo richiede e dai permessi che concediamo (si veda collezione di screenshot sotto).

Concedere Instagram Token alle app di Terze parti

Ricapitolando per i meno tecnici: quando cliccate su Follow per seguire un altro utente o date un like facendo tap sul simbolo del cuoricino con un app come Instagallery, questa app può svolgere tali operazioni per vostro conto perché le avete dato esplicitamente il permesso. Va da sé ora che un sito malintenzionato potrebbe raccogliere questi token in un database (invece di cancellarli quando fate logout) e riutilizzarli all’occorrenza e in modo automatizzato per operazioni illecite come per esempio vendervi come follower o dispensatori di like (rigorosamente a vostra insaputa, per citare un cult).

Quindi, primo consiglio: controllate periodicamente la lista delle applicazioni di terze parti a cui avete dato il permesso di utilizzare le vostre credenziali Instagram e, se è il caso, revocate l’autorizzazione a quelle app che non usate più. Infatti nel caso in cui foste vittima di un fishing di questo tipo cambiare la password può essere utile ma esiste un ritardo (periodo di latenza) anche molto lungo durante il quale il vostro token in mano al malintenzionato continua a funzionare… e ve lo dico per esperienza visto che sono stato vittima a mia volta di tale raggiro data la mia smania di provare nuovi servizi web (le app su iOS sono meno pericolose) legati ad Instagram.

In linea teorica Instagram concede alle app di terze parti solo i privilegi visti prima, ovvero tutti tranne caricare o cancellare foto per vostro conto, che rimangono prerogative della app ufficiale. Ci sono però delle eccezioni come quella concessa a Hipstamatic… e c’è chi l’eccezione se l’è ricreata. So per certo infatti che c’è chi è riuscito a trovare il modo di ottenere i token con privilegio di pubblicazione di foto grazie al fatto di aver spiato i dati che transitano sotto l’app ufficiale di Instagram.

Lo spam della frutta

Tornando a quanto è successo ad Antonio, io e lui durante tutto il weekend ci siamo messi a ragionare e disquisire su quale fosse il motivo di quanto gli stava capitando. Inizialmente abbiamo pensato ad un reset totale dei token escogitato da Instagram magari per combattere lo smap dilagante; esistono infatti numerosi utenti finti detti bot, diminutivo di robot, che imperversano sul Social Network; seguono gli altri utenti in modo indiscriminato al fine di attirare l’attenzione e convogliare il traffico verso siti che permettono di acquistare migliaia di follower per pochi dollari (e magari nel carnet ci siete anche voi!); un reset globale dei token contribuirebbe ad abbattere gli utenti fake. Questa teoria si fa ancora più salda quando Antonio mi invia uno screenshot di un’inedita verifica dell’utente tramite captcha, i sistemi in grado di bloccare il login da parte di bot.

Verifica Captcha

Ma non ci spiegavamo come mai stesse accadendo solo a lui della cerchia dei molti utenti che conosciamo.

La risposta arrivò poi nella domenica quando testate estere online come PcMagazine e DailyMail se ne escono con la notizia secondo cui Instagram sarebbe stata presa di mira da un attacco spam. In effetti gli articoli ben argomentano il fatto che una non meglio precisata organizzazione era riuscita a postare su moltissimi profili di ignari utenti, foto raffiguranti frutta e derivati (frullati, …) riportanti un commento che invitava a seguire il link presente nella propria bio per scoprire una miracolosa dieta salutare in grado di far perdere peso in poco tempo. Quindi gli hacker sono riusciti anche a modificare il link di cui ogni utente può disporre nella propria bio.

Il team di Instagram è intervenuto tempestivamente invitando molti degli utenti colpiti a cambiare la propria password e per altri deve aver messo in atto il reset del token come ulteriore azione di sicurezza. Instagram non ha spiegato quale fosse stata la causa dell’exploit ma a questo punto ci possiamo arrivare da soli meditando su quanto fin qui detto a proposito di token e credenziali.

Fin qui tutto OK.

Quello che invece mi ha lasciato molto perplesso è scoprire come gli articoli in questione non abbiamo per niente approfondito il motivo dell’exploit... che motivo avevano gli spammer di agire in quel modo? Che siano una cricca tipo Anonymous ma in versione mangia sano e vivi meglio?

Non riesco poi proprio a trattenere lo stupore quando scopro cosa ha scritto il blog italiano Comunità Digitali che, forse lost in translation, scrive:

Instagram è vittima in questi giorni di un massiccio attacco spam a base di frutta: a quanto pare  una grossa società di frutta ha deciso di farsi pubblicità in modo massiccio e l’hashtag #miracle sta invadendo i profili degli utenti che hanno improvvisamente visto materializzarsi foto di frutta di ogni tipo e genere sulle loro pagine.

E, non pago, prosegue:

Questa pubblicità si sta espandendo molto rapidamente a tutti i profili: la causa pare che sia una grossa azienda di frutta che ha deciso di pubblicizzare i suoi frutti su Instagram.

Comunità Digitali

Una grossa azienda di frutta? Allora siamo proprio alla frutta! Ma come potrebbe una vera azienda pensare di usare lo spam illegale per farsi pubblicità? Certo di pubblicità se n’è farebbe ma sai gli avvocati che gli scatena poi addosso Zuck? E la reputation poi?

Il link spammato (e cliccato per ben più di 35mila volte!) in realtà rimandava tramite il servizio Bit.ly ad una pagina finta della BBC (fatta per altro molto bene e ancora accessibile digitando l’indirizzo world-bbc.co.uk) che decanta le proprietà della famigerata dieta a base di frutta usata anche dalle celebrità ma che soprattutto celebra il Garcinia Cambogia come l’ultimo ritrovato in fatto di perdita di peso (quando mia moglie farmacista mi dice che è passato di moda più in fretta delle staminali in testa a Ronaldo). Il tutto finalizzato al porre l’attenzione del fruitore ai link che rimandano ad un altro sito dall’amichevole indirizzo pgc.my-secure-orders.com (che vi invito a visitare… uno spasso!) dove vengono venduti pensate un po’ Garcinia Cambogia pura in pratici integratori.

Ora se non vi fidate così a priva vista a fare acquisti su questo sito, state tranquilli… la grafica fa sfoggio del marchio Hacker Safe messo in bella mostra.

La vita è così… c’è chi colleziona francobolli, chi colleziona token e chi invece numeri di carte di credito. Secondo voi questi dello spam della frutta di che tipologia sono?

Certo gli spammer hanno agito da manuale, meglio della più scafata agenzia di super-social-new-media-marketing:

– hanno conquistato la fiducia dei fruitori in merito alla dieta a base di frutta utilizzando i profili privati degli utenti; difficilmente si dubita del consiglio dell’amico… e si sa che la frutta fa bene a prescindere;

– hanno rafforzato questa fiducia sfruttando (e proprio il caso di dirlo!) l’autorevolezza della BBC creando ad arte un falsa notizia con tanto di foto raffiguranti il prima e dopo la dieta per i casi di successo;

– hanno indotto all’acquisto di un falso prodotto grazie ad un finto ma rassicurante sito di e-commerce che si presenta meglio di moltissimi altri veri.

Chissà quante carte di credito hanno soffiato. E ho la netta sensazione che abbiamo fatto un vero scoop dato che nessuno a parte noi finora ha raccontato come realmente stavano le cose.

Garcinia Cambogia

 

Condividi:
Potrebbe interessarti anche

Commenti

  Commenti: 4


  1. Direi un ottimo test del “sassolino alla finestra” per capire anche i tempi di reazione sull’exploit di un token. Interessante punto di vista


  2. Quando arriverà la mia bottiglia di Pure Carcinia Cambogia e potrò sfoggiare un fisico di urlo in spiaggia, lo vedremo se era una bufala o no! 😉

Dicci cosa ne pensi

...