Il 15 luglio 2020, tra le 20:00 e le 22:00 UTC, è andato in scena il più grande attacco hacker della storia di Twitter: diversi account, ciascuno con milioni di follower, sono stati compromessi in un attacco informatico per promuovere una truffa basata su Bitcoin.

Sebbene gli hacker avessero inizialmente preso di mira soltanto personalità e aziende del mondo crypto, hanno successivamente ampliato la portata dell'attacco fino a includere leader della tecnologia, come Bill Gates e Jeff Bezos, e celebrità come Kanye West.

Come è stato possibile compromettere più di 130 account verificati in una sola mossa? Ne abbiamo discusso con Paolo Dal Checco, esperto di sicurezza informatica che si occupa principalmente di perizie informatiche forensi e opera come CTP informatico e consulente per la difesa in numerosi processi civili e penali, oltre che a supporto dell'Autorità Giudiziaria o della Polizia Giudiziaria in ambito di Bitcoin forensics, indagini e sequestro di criptomonete.

Cointelegraph Italia: Il 15 luglio, Twitter ha subito un attacco di Social Engineering secondo quanto riportato dall’azienda stessa. Può spiegarci meglio in che cosa consiste un attacco di Social Engineering? 

Paolo Dal Checco: Si tratta di un attacco nel quale l'autore punta - attraverso la cosiddetta "ingegneria sociale" - a persuadere la vittima a fornire informazioni riservate, credenziali, aprire l'accesso a un server o un portale. Il bersaglio in sostanza non è tecnico ma umano, non è un PC o un server ma una persona, non si viola un sistema di autenticazione o di protezione ma si cerca invece di ingannare un individuo. Il paragone può essere quello di convincere con l'inganno una persona a consegnare le chiavi per entrare abusivamente a casa sua piuttosto che forzare la serratura. In ambito digitale, questo tipo di attacco si può condurre su diversi canali e con diversi profili e metodologie: fingendosi un collega, un responsabile, un operatore, contattando la vittima tramite email, telefonata, chat o il vecchio fax, con finti siti web, app o portali. 

Cointelegraph Italia: Come è stato possibile realizzare un attacco coordinato di tal genere, in cui sono stati hackerati alcuni tra i più importanti e noti profili Twitter del secolo?

Paolo Dal Checco: Sono passati alcuni giorni dall'attacco e le informazioni hanno cominciato a diventare più chiare. L'ipotesi più accreditata è che sia stato violato un pannello amministrativo cui avevano accesso i dipendenti Twitter, tramite il quale è stato possibile disabilitare eventuale autenticazione a due fattori degli utenti e modificarne l'email per il recupero delle credenziali. Sembra poco sensato che da un account gestionale sia possibile eseguire queste due operazioni, ma in realtà si tratta di un'attività che i tecnici dell'assistenza spesso devono poter fare per supportare utenti che hanno dimenticato la password, perso la casella di posta o il telefono su cui vengono inviati i codici 2FA. Una volta riusciti nell'intento, i criminali hanno resettato la password degli utenti che avevano deciso di impersonare, così da poter entrare nel loro profilo e operare al posto loro. In alcuni casi sembra che oltre a pubblicare tweet i delinquenti siano riusciti anche a scaricare i dati degli utenti, il che è inquietante, considerato che possono quindi essere stati acceduti messaggi privati di politici, giornalisti o persino attivisti che rischiano la vita in contesti poco amichevoli. Le ipotesi circa le modalità con cui i delinquenti sono entrati in possesso di username e password del pannello amministrativo sono diverse e vanno dal tradizionale phishing all'estorsione o ricatto sotto minaccia. È importante precisare che, una volta avuto accesso al portale di amministrazione, gli assalitori non lo hanno utilizzato direttamente per pubblicare tweet a nome degli utenti né per scaricare il contenuto del loro profilo: hanno prima dovuto ripristinarne le credenziali e accedere con le loro utenze.

Cointelegraph Italia: I truffatori invitavano a inviare Bitcoin ad uno specifico indirizzo, promettendo che sarebbe stato restituito il doppio della cifra richiesta. Quale sono secondo lei le ipotesi per cui BTC è spesso protagonista di attacchi hacker di questo tipo?

Paolo Dal Checco: I guadagni facili hanno sempre fatto presa sui soggetti più avidi o meno attenti, soprattutto se tali guadagni sono pubblicizzati da personaggi "attendibili" come è avvenuto nel caso specifico. Quando l'offerta di raddoppio Bitcoin arriva da più profili verificati autentici, qualunque remora tende a cadere e le persone si lasciano andare. Il motivo per il quale per questo tipo di attacchi viene spesso utilizzato il Bitcoin è che permette un'azione remota che può rimanere ben nascosta. Si tratta poi di un mondo ancora non del tutto compreso e persino pionieristico sotto certi aspetti, utilizzato da persone che non sempre sanno esattamente cosa stanno facendo e a cosa vanno incontro.

Cointelegraph Italia: Che tipo di precauzioni dovrà prendere Twitter per evitare simili attacchi in futuro?

Paolo Dal Checco: Certamente Twitter dovrà far sì che un "semplice" impiegato non sia in grado di eseguire autonomamente operazioni così drastiche come modificare l'indirizzo di posta elettronica su cui vengono inviati i codici di recupero o disabilitare sistemi di autenticazione a due fattori. Sia chiaro, sono operazioni che devono poter essere fatte, ma dovrebbero essere gestite con protocolli più sicuri, se possibile a seguito di azioni e verifiche da parte di più amministratori, in particolare su account Twitter verificati la cui sicurezza è, in genere, più critica di quelli standard perché appartenenti a personaggi pubblici, politici o comunque soggetti con un largo seguito e attendibilità.

Cointelegraph Italia: Si sostiene che gli scammer siano riusciti a raccogliere, in poche ore, oltre 117 mila dollari. Com'è possibile che così tanti utenti cadano vittime di queste truffe?

Paolo Dal Checco: I reati che coinvolgono in un modo o nell'altro l'ambito del Bitcoin e delle criptomonete in generale sono, purtroppo, all'ordine del giorno. Ricevo quotidianamente richieste di supporto, perizia informatica e indagine digitale per furti, truffe, estorsioni o reati informatici in contesti dove la componente valutaria coinvolge Bitcoin o comunque monete crittografiche. Spesso l'ingenuità e l'avidità sono complici, uniti al fatto che chi ne fa uso percepisce un senso di anonimato misto a intangibilità che fa sì che si tenda a percepire in maniera minore il rischio ma nel contempo vengano utilizzate in ambiti dove si vuole rimanere più o meno nascosti. Per fortuna, tramite tecniche di Bitcoin forensics e intelligence è possibile spesso ricostruire transazioni, wallet, indirizzi, identificare cluster, exchange o strumenti utilizzati dai criminali. Nel caso specifico, parte dei fondi ricavati dai delinquenti a seguito dell'attacco sono infatti stati poi spostati nei giorni successivi all’attacco e, proprio grazie a tecniche di blockchain intelligence, sono stati parzialmente tracciati in base a pattern distintivi identificando il tipo di wallet utilizzato e il meccanismo di anonimizzazione applicato ai fondi.

Cointelegraph Italia: Scott Melker, celebre personaggio del settore crypto e soprannominato “Wolf of All Streets”, ha affermato che l’attacco che Twitter ha dimostrato che non possiamo affidarci a piattaforme centralizzate. Quale sono le sue considerazioni in merito?

Paolo Dal Checco: L'eccessiva centralizzazione ha vantaggi e svantaggi. Uno degli svantaggi lo abbiamo visto con l'attacco a Twitter: un singolo punto di controllo può fallire e far cadere un'intera parte del sistema. L'eccessiva decentralizzazione può avere anche degli svantaggi, non è quindi detto che sia la soluzione: il controllo di tutti può anche significare controllo di nessuno, in alcuni contesti. In ambito Bitcoin e criptomonete ci sono situazioni nelle quali la decentralizzazione può avere effetti collaterali, come ad esempio l’impossibilità di modificare ciò che è stato inserito nella blockchain, che siano transazioni, link o parti di testo anche quando tale modifica sarebbe più che auspicabile - oltre che legittimo - poterla fare.