Ecco come ti rubo un profilo Twitter
da 50.000 dollari con il social engineering

Il profilo Twitter @N
di Laura Bogliolo
2 Minuti di Lettura
Domenica 2 Marzo 2014, 19:47 - Ultimo aggiornamento: 10 Febbraio, 23:54
La prima notizia: un account su Twitter di una sola lettera vale 50.000 dollari. La seconda: con metodi del social engineering si possono carpire password senza usare tradizionali metodi hacker, senza cioè, intrusioni vere e proprie. La terza: con un po' di costanza si può convincere i gestori di Twitter che il vero proprietario di un account sei tu.



Il protagonista della storia è Naoki Hiroshima, sviluppatore informatico, costretto a cedere a un ricatto che gli ha portato via l'account @N. Furti di identità, tecniche psicologiche per ingannarvi e carpire password e poi il lieto fine. dopo molto paitre Naoki riuscirà a ottenere indietro il suo account.



Naoki racconta la sua disavventura vissuta nelle autostrade del web con un post sul blog Media dal titolo “come ho perso il mio account da 50.000 dollari”. L'informatico racconta di aver creato l'account con una sola lettera nel 2007, una vera rarità tanto che aveva ricevuto offerte di acquisizione per 50,000 dollari. Offerte sempre rifiutate. Ma un giorno Naoki subisce attacchi informatici ai suoi account PayPall e GoDaddy, azienda americana attiva nel settore dei domini e web hosting.



Gli attacchi (attenzione, non si tratta di incursioni “fisiche” nel computer di Naoki) iniziano il 20 gennaio. L'hacker è riuscito a impossessarsi dell'account di GoDaddy e ricattato Naoki: dammi la password dell'account di Twitter e ti restituisco l'account di GoDaddy. L'informatico alla fine ha ceduto al ricatto perché non voleva perdere i numerosi siti aperti con GoDaddy.



Naoki riuscirà a recuperare il suo account provando ai gestori di Twitter che l'account @N era proprio il suo. “L'ordine è stato ristabilito” ha cinguettato il 25 febbraio comunicando di essere entrato in possesso del suo account. Il ladro ha anche comunicato punto per punto come è riuscito a rubare l'identità su PayPal e GoDaddy “usando alcune semplici tattiche di social engineering” ha scritto l'ignoto ladro aka Social Media King.



In pratica l'hacker avrebbe ottenuto le quattro cifre di una carta di credito fornita da un rappresentante del servizio clienti PayPal e le ha comunicate a un altro rappresentante di GoDaddy come prova di identificazione. GoDaddy dopo il caso ha anche cambiato le sue regole di sicurezza.

Blog: Daily web

Mi trovi su Twitter: @l4ur4bogliolo

IL TWEET CON L'ANNUNCIO

© RIPRODUZIONE RISERVATA