Vulnerabilità nelle reti mobili permettono di spiare cellulare qualsiasi

Un buco di sicurezza enorme nelle telecomunicazioni moderne permette di spiare facilmente i cellulari di tutto il mondo senza che l'utente del telefono lo sappia. Due ricercatori tedeschi hanno scoperto alcune falle di sicurezza che potrebbero lasciare ad hacker, spie e criminali, ascoltare telefonate private e intercettare messaggi di testo su scala potenzialmente enorme, anche quando le reti cellulari utilizzano la crittografia più avanzata oggi disponibile. I difetti, segnalati in una conferenza di hacker ad Amburgo, sono l'ultima testimonianza di una diffusa insicurezza sui protocolli SS7 (Signaling System 7), la rete globale che consente ai vettori mobili di tutto il mondo di instradare chiamate, messaggi e altri servizi.

McAfee predice rapida evoluzione delle minacce informatiche nel 2013

McAfee ha rilasciato oggi la sua relazione annuale Threat Predictions 2013, mettendo in evidenza le principali minacce  McAfee Labs prevede per il 2013. Utilizzando la sua intelligenza proprietaria Global Threat (GTI), il team dei McAfee Labs hanno analizzato i dati di malware, vulnerabilità e le minacce on-line nel 2012 per prevedere le tendenze, che aumenterano nel 2013. Nel prossimo anno, McAfee Labs prevede che le minacce ai dispositivi mobili diventeranno ancora più il focus dei criminali informatici, l'influenza del gruppo di hacktivisti "Anonymous" si ridurrà, e gli attacchi su larga scala che tentano di distruggere le infrastrutture aumenteranno.

E-mail e numero telefono degli utenti Facebook per annunci pubblicitari?

Da settembre, Facebook ha offerto ai propri inserzionisti un nuovo potente strumento per tracciare i suoi utenti mentre navigano sul Web: si chiama "phone number retargeting". La mossa arriva separatamente, dopo lo sforzo di Facebook all'inizio di quest'anno di raccogliere i numeri di cellulare dei propri utenti per prevenire possibili violazioni della sicurezza. Alcuni, poi, hanno dovuto inserirlo obbligatoriamente, per riattivare, ad esempio, i loro account dopo una segnalazione come profilo falso.

Più di recente, secondo AdExchanger, Facebook ha inoltre sviluppato un nuovo "conversion pixel" - fondamentalmente un tipo di dispositivo di localizzazione - all'interno di annunci visualizzati su Facebook. La combinazione di phone retargeting e conversion pixel permette teoricamente agli inserzionisti di indirizzare direttamente gli annunci agli utenti e poi misurare esattamente come rispondono ad essi, sia facendo clic, ignorando, o acquistando qualcosa dal sito dell'inserzionista.

Il processo è anonimo, nel senso che gli inserzionisti non possono identificare per nome. Il punto è, come sottolinea Business Insider, che ci si rivolge, sulla base di numero di telefono. Alcuni inserzionisti hanno fatto questo genere di cose su altri siti per anni. Ma la maggior parte degli utenti di Facebook non sanno che cosa sta succedendo all'interno di Facebook. Il motivo principale per cui Facebook richiede agli utenti un numero di telefono cellulare è quello di prevenire la pirateria informatica dell'account.

All'inizio di quest'anno, Facebook ha cominciato a chiedere a ciascun utente un numero di telefono per scopi di "sicurezza".  Ecco cosa dice Facebook a tal proposito nelle Faq del suo centro assistenza: "Si tratta di una misura di sicurezza volta ad assicurare che Facebook continui ad essere una comunità di persone che usano le proprie identità reali per connettersi tra loro e condividere elementi. Se dovessi perdere la tua password in futuro, potrai usare anche il tuo numero di cellulare per accedere al tuo account".

Facebook ha dichiarato che questi numeri, non vengono venduti agli inserzionisti. Piuttosto, il social network raccoglie anche "i numeri di telefono quando sono entrati in altre parti  dove si utilizzano le informazioni degli utenti relative all'account". Questi numeri vengono poi messi a disposizione degli inserzionisti come parte del suo nuovo Custom Audience targeting product, che consente alle aziende di ristabilire il contatto con i clienti esistenti o contatti, e sono il collegamento tra i sistemi di gestione delle relazioni con i clienti.

L'Audience può essere definito da una e-mail indirizzo utente, UID di Facebook, o numeri di telefono degli utenti. Ecco come funziona: ipotizziamo che siete un iscritto alla vostra locale palestra. Probabilmente la palestra ha il vostro numero di telefono. Ma poi la lasciate per un certo periodo di tempo, e ora la palestra vuole convincervi a tornare. La palestra può incrociare il suo elenco di utenti con i numeri di telefono degli utenti di telefono su Facebook, e servire un annuncio sulla pagina di qualsiasi utente con un numero corrispondente.

Improvvisamente, si vedranno gli annunci che dicono: "10% di sconto se raggiungi la palestra locale!" Gli inserzionisti possono abbinare ad una campagna con gli annunci che portano un conversion pixel, che consentirà ad un "cookie" di monitorare ciò che si fa in modo che la palestra può vedere quanto successo ha ottenuto la sua campagna Ads. C'è un livello di privacy costruito nel sistema: anche se il vostro numero di telefono sarà destinatato da annunci, il numero sarà "hash", nel senso che il sistema si traveste sostituendolo con codice casuale, che lo rende anonimo.

Così la palestra potrebbe avere un target di 100 numeri di telefono, ma non si sa quale di quelle persone specifiche effettivamente hanno risposto all'annuncio (fino a che non pagherete per un iscrizione online, ovviamente). La palestra saprà che un certo numero ha risposto all'annuncio, e che gli utenti sono sulla lista telefonica originale. Dunque l'azienda non conosce il vostro nome e cognome. Il tutto è stato reso possibile dall'aggiornamento delle Policy della piattaforma poco prima dell'Ipo che ha lanciato la società in borsa.

Vodacom combatte le truffe con nuovo strumento per gli utenti Facebook

Vodacom SA, la prima compagnia di telefonia mobile del Sudafrica, con più di 20 milioni di clienti e primo fornitore di servizi 3G e quindi di reti UMTS e HSDPA, ha annunciato un nuovo strumento, utilizzando i social media per affrontare il problema di lunga data delle truffe via SMS. Il primo operatore cellulare in Sudafrica ha aggiunto Mercoledì scorso una scheda specializzata sulla sua pagina Facebook, dove il pubblico potrà segnalare le truffe via SMS, come e quando accadono. Vodacom (www.vodacom.co.za) spera di poter sfruttare la popolarità del onnipervadente sito di social network per "diffondere il passaparola" quando vengono individuate nuove truffe.

Truffa web: falso aggiornamento software porta a costosi abbonamenti

In attesa della conclusione dell'inchiesta da parte della Procura di Roma, sulla vicenda relativa al sito Italia-programmi.net e dopo la multa di 1,5 milioni di euro inflitta dall'Antitrust alla società Estesa Limited, per pratiche commerciali scorrette attraverso lo stesso portale, è stata segnalata una nuova truffa collegata presumibilmente alla stessa società. La truffa in questione riguarda un noto portale video, che in realtà (come spiegato sul sito stesso) presenta solo locandine dei film, mentre i contenuti video veri e propri risiedono su altro hosting. Come in altre truffe viste in queste ore su Facebook, se clicchiamo su un presunto contenuto in flash, prima di poter visualizzare il video, saremo invitati a scaricare un'aggiornamento di Adobe Flash Player per potere visualizzare il contenuto.

Viene specificato che si tratta di un Ad (contrazione di adversting) che è possibile chiudere con un semplice clic del mouse in basso a destra della pagina. Sebbene venga chiuso, due nuovi banner vengono visualizzati nel momento in cui cerchiamo di accedere ai film

Se poi decidiamo di chiudere anche questi altri si presenteranno ulteriori link che non è possibile bypassare per vedere il contenuto richiesto

Se clicchiamo sui pulsanti "download" o "play now" (si presume che da qui è possibile scaricare o visualizzare il film scelto) veniamo invece rimandati alla pagina di Italia-Programmi.net per scaricare un noto programma di file sharing

Anche in questo caso, come nelle truffe già viste di Italia-Programmi.net, si tratta d'un programma con licenza  freeware (gratuito) ma l'utente  viene comunque indotto a sottoscrivere un abbonamento-truffa di 96 euro. Lo stesso dicasi per l'aggiornamento di Flash Player

In realtà siamo giunti alla versione 11.1 di Adobe Flash Player. Fin qui nulla di strano, o meglio si tratta della truffa già vista. Se però clicchiamo sul primo banner della pagina iniziale, veniamo indirizzati su un ulteriore sito Web truffa, dove ci viene richiesto di scaricare Adobe Flash Player.

Qui viene rilevato il browser e sistema operativo in uso e leggiamo in un avviso: "Stai attualmente utilizzando:
Browser: Google Chrome Sistema Operativo: Windows 7 Flash player: NON AGGIORNATO".

Ovviamente quanto viene dichiarato è falso, in quanto il browser Chrome incorpora l'aggiornamento Flash Player. Se clicchiamo su "Aggiornalo ora" si aprirà una nuova pagina scam, dove ci verrà chiesto il nostro numero di cellulare per completare l'installazione. In realtà avremo sottoscritto un abbonamento a suonerie per cellulari dal costo di 2 euro/settimana (minimo). Raccomandiamo di installare qualsiasi aggiornamento software dai rispettivi siti ufficiali di download. Prestate sempre attenzione ai siti dai quali decidete di effettaure eventuali dowload video o visualizzazioni in streaming. Coloro che sono caduti nella truffa possono rivolgersi al proprio operatore telefonico per disattivare il servizio, nonchè denunciare alle associazioni di consumatori.

Flycell: truffe su Facebook per sms a pagamento, indagine Antitrust

Dopo tante segnalazioni, l'Antitrust ha deciso di avviare una indagine sulla posizione del servizio Flycell, dell'italiana Acotel, azienda leader del settore delle suonerie per cellulari. Oltre un anno fa l’Antitrust ha multato la società e le compagnie telefoniche ma non è bastato. I consigli dell’Adico: disattivare tutti i servizi in abbonamento o cambiare numero. Una ricarica da 10, 15 euro che dovrebbe durare un paio di settimane. E che nel giro di pochi giorni, invece, si prosciuga magicamente. Ma di magico c’è ben poco nel servizio offerto da Flycell.it, stando a quanto denunciano centinana di consumatori, ogni giorno da mesi, alla segreteria di Adico Associazione Difesa Consumatori. 

Sono almeno 300 le segnalazioni ricevute da settembre a oggi relative ai servizi a pagamento via sms: considerando tutte le richieste di assistenza gestite da Adico, almeno una ogni 6 riguarda problemi con i telefonini, e oltre il 50% di queste riguarda servizi a pagamento indesiderati. Nonostante oltre un anno fa l’Antitrust sia intervenuta multando sia Flycell che le compagnie di telefonia mobile per pratica commerciale scorretta, il numero di utenti che denunciano la truffa non accenna a dimunire. Ecco perché Adico intende lanciare un nuovo monito a tutti i consumatori affinché non si abbassi la guardia e si conoscano gli strumenti a disposizione per tutelarsi da questo tipo di abuso. 

"Si potrebbe pensare che le vittime privilegiate siano i giovanissimi, che attirati dalle pubblicità su riviste, in televisione e su Facebook che sponsorizzano le suonerie con le hit del momento attivano i servizi che poi pagheranno mamma e papà. Ma non è più così: la maggioranza di chi si rivolge all’Adico con questo problema è composta da adulti che utilizzano il telefonino in modo assolutamente normale, e ai quali il servizio viene attivato senza che se ne accorgano - spiega il presidente di Adico Carlo Garofolini - Oppure vengono tratti in inganno da inserzioni o pop up che compaiono durante la navigazione in Internet, o da sms dello stesso tenore, e che invitano a partecipare a fantomatici concorsi e sondaggi inserendo il proprio numero di cellare". Si clicca invio, e il gioco - o meglio l’abbonamento - è fatto. Ma la cosa odiosa è che ciò avviene, spesso, anche senza rispondere all’sms. Sul sito ufficiale oggi, dopo l’intervento dell’Antitrust, c’è scritto chiaramente che il servizio costa 5 euro a settimana.

Ma chi attiva il contratto consapevolmente è, come spesso accade in questi casi, parte di una piccola percentuale rispetto a chi vi incappa senza volerlo. E quando si tratta di disattivare il servizio arrivano altre rogne. "Naturalmente la funzione non è facilmente accessibile: di solito sono condizioni scritte in caratteri minuscoli al fondo dei contratti o delle pagine web - spiega ancora Garofolini - quindi ci vuole buon occhio e sapere dove cercare. Una soluzione alternativa può essere quella di chiamare il call center del proprio operatore di telefonia mobile e chiedere direttamente a loro la disattivazione del servizio". 

Non sempre però l’intervento è tempestivo: molti consumatori hanno denunciato all’Associazione una sorta di inerzia da parte delle compagnie, che fanno passare anche diversi giorni prima di dar seguito alle richieste dei loro clienti. E ogni giorno che passa sono, spesso, ulteriori addebiti indesiderati. In altri casi gli operatori chiedono il numero da cui si riceve l’addebito e forniscono un testo e un numero a cui inviare il messaggio di disattivazione. Quindi è legittimo prendere in considerazione anche soluzioni più drastiche.

"Per evitare brutte sorprese analoghe in futuro, ci si può rivolgere al proprio operatore di telefonia per predisporre sul numero di telefono il blocco di ogni servizio a pagamento. In questo caso nessuna società potrà accedere al numero, che risulterà quindi a prova di servizi indesiderati" precisano dall’Adico. Se gli operatori telefonici (che, come ha confermato l’Antitrust, percepivano una percentuale sul traffico generato da questi servizi) però non collaborano, o se la richiesta inviata direttamente alla società non produce alcun effetto, si può ricorrere a rimedi ancora più drastici come il cambio di operatore e di numero telefonico. 

Il segreto sta nell’intervenire prima possibile, perché a colpi di 5 euro a settimana, si fa presto a farsi sfilare dalla ricarica o addebitare nel conto dell’abbonamento centinaia di euro. "In molti all’inizio pensano si tratti di semplice spam, quindi cancellano i messaggi e poi se ne dimenticano. Ma i 5 euro a settimana vengono addebitati comunque. E recuperare quei soldi non è per nulla facile: in alcuni casi gli operatori rimborsano i soldi sottratti dal servizio, ma non è sistematico.

Altro consiglio è quello di non aprire gli sms che vengono inviati (e che contengono i contenuti a pagamento): spesso alla semplice lettura vengono addebitati altri 3 euro" conclude Garofolini. Il consiglio è quello di tenere tutta la documentazione possibile, come email scambiate con Flycell o con il proprio operatore di telefonia in cui si chiede la disattivazione del servizio, e i conti telefonici per chi ha l’abbonamento, dal momento che il servizio compare, spesso, con la dicitura Sms premium Mt. 

In questo caso potrebbe essere possibile procedere anche legalmente: per informazioni lo studio legale dell’Adico è sempre disponibile contattando info@associazionedifesaconsumatori.it o lo 041.5349637. Per disattivare il servizio bisogna inviare un sms al numero 48008 con il testo STOP, si legge sul sito Flycell. Il 30 giugno 2010 il Garante per Concorrenza e il Mercato ha sanzionato [PDF] per 400mila euro Telecom Italia, Vodafone, Wind, H3G (3 Italia) e il content provider Flycell Italia, per pratiche commerciali scorrette. L’Authority ha considerato corresponsabili anche i gestori telefonici, che avevano concordato con la Flycell percentuali significative dei ricavi complessivi.