OsintOps

Instagram password resets: cosa sta succedendo?

da

Francesco Poldi
In , , ,

Preparare il terreno

Durante la settimana dal 5 all’11 gennaio, molte persone hanno pubblicato sui social media riguardo a email inattese che richiedevano il reset della password dei loro account Instagram.

In questo articolo analizziamo cosa è realmente accaduto, nei limiti delle nostre conoscenze e delle informazioni a nostra disposizione, e smontiamo alcuni tentativi di Content Creator sui social media di allertare il pubblico diffondendo però disinformazione (ovvero: una sorta di disinformazione, ma senza cattive intenzioni).

Il vettore di attacco, ammesso che un attacco ci sia stato

Uno dei vettori di attacco più diffusi utilizzati dagli attori malevoli per impossessarsi di account online consiste nell’inviarti false richieste di reset password. Nessuno sta realmente cercando di accedere al tuo account, ma i raccoglitori di credenziali te lo fanno credere, invitandoti ad accedere al portale di sicurezza della piattaforma cliccando su un link da loro fornito.

Questa è la trappola: sei portato a credere di accedere al portale di sicurezza legittimo, ma in realtà il sito con cui interagisci è un clone controllato da attori malevoli che registrano le credenziali inserite. Ma non finisce qui: si spingono oltre, facendo da proxy ai moduli 2FA TOTP per accedere al tuo posto e memorizzare i token di accesso. In parte, è così che funzionano alcuni information stealer / grabber.

Spesso utilizzano siti web consolidati e configurati adeguatamente per evitare i filtri antispam, ma il codice malevolo risiede nel corpo dell’email: il link su cui cliccare per verificare la richiesta di accesso o il reset della password.

Gli standard di settore attuali

Per queste email di phishing il DKIM (ovvero DomainKeys Identified Mail; una verifica della firma crittografica) è impostato, ed è anche il modo in cui hanno superato alcuni dei controlli di sicurezza a livello MX.

Le email, prima di raggiungere la tua casella di posta, vengono smistate, filtrate, etichettate o persino rifiutate dal tuo server MX di riferimento. Pensa ai server MX come agli uffici postali.

Prima di addentrarci nel caos, dobbiamo comprendere meglio come funziona la consegna delle email. Ecco cosa succede a un livello molto semplificato quando Mario vuole inviare un’email a Luigi:

  1. Mario usa un client di posta e compone un’email da inviare a Luigi
  2. Il server MX di Mario (es.: mx.mario.it) prende in carico la richiesta, imposta gli header e consegna la busta al server MX di Luigi
  3. Il server MX di Luigi controlla header, IP e metadati in generale, e decide cosa fare in base alle regole sia di mario.it che di mx.luigi.it
  4. Alla fine l’email viene recapitata nella casella di Luigi, rifiutata, oppure Mario riceve un messaggio di errore

Sender Policy Framework

Quando Mario comunica con il servizio SMTP del suo server MX, dichiara il valore dell’indirizzo email del mittente. In passato era possibile per chiunque connettersi a (quasi qualsiasi) server SMTP e chiedergli di consegnare un’email falsificando qualsiasi indirizzo mittente; da allora la tecnologia e le policy si sono evolute notevolmente.

Sebbene non abbiamo controllo su chi stia inviando cosa, gli amministratori di rete definiscono le istruzioni per i server MX su come gestire le email presentate come provenienti da un utente associato al dominio in questione.

Aggiungiamo Carlo, l’attore malevolo che vuole far credere a Luigi di essere Mario. Mario non può controllare il server MX di Carlo, ma può fornire istruzioni al server MX di Luigi tramite record DNS che (idealmente) solo Mario può controllare. Luca, un threat actor sponsorizzato da uno stato, potrebbe fare DNS poisoning a livello internet, ma in quel caso l’intero internet sarebbe compromesso e le email sarebbero l’ultimo dei problemi.

L’amministratore di rete di Mario imposta i record SPF (Sender Policy Framework) nel libro DNS di mario.it per dire al server MX di Luigi, e all’intero internet, di accettare email da mario.it solo se provenienti da un determinato set di indirizzi IP, e rifiutarle altrimenti, per esempio. Quindi Luigi riceverà un’email da Mario solo se l’email è stata inviata dal server MX di Mario. Il server MX di Luigi rifiuterà (non lascerà passare) l’email di Carlo perché il server MX di Carlo non è il server MX di Mario.

DomainKeys Identified Mail

DKIM è un metodo di autenticazione utilizzato per verificare l’integrità e l’autenticità dei messaggi email. Aiuta a prevenire lo spoofing e gli attacchi di phishing consentendo al destinatario di verificare che un’email sia stata effettivamente inviata dal dominio da cui dichiara di provenire.

Sembra simile a SPF, vero!? Questo perché entrambi servono per l’autenticazione email, con la differenza che DKIM riguarda l’integrità del contenuto per assicurare che nulla sia stato alterato durante il transito. Va specificato che non si tratta di verificare se il contenuto sia malevolo o meno, ma solo che non sia stato modificato.

Se invio un’email di phishing da un dominio che ha DKIM impostato, e non viene alterata durante il transito, il server MX del destinatario la considera valida. Inoltre, se viene inviata dal server che SPF considera valido, anche la sorgente è legittima.

Domain-based Message Authentication, Reporting & Conformance

In parole semplici, DMARC è la combinazione dei controlli DKIM + SPF e altro ancora per assicurare che lo spoofing fallisca. Un’aggiunta utile è che si ricevono report dai server MX che ricevono email dichiarate come provenienti dal proprio dominio.

Brand Indicators for Message Identification

Mentre le impostazioni precedenti sono molto facili da configurare e accessibili a tutti, qui si sale davvero di livello. I nomi di dominio che necessitano di un “segno di spunta blu” da mostrare ai client email dei destinatari (non tutti, però) devono configurare questo sistema. Il processo di configurazione include anche una verifica documentale dell’organizzazione/azienda, consentendo l’accesso a questo livello di verifica solo a entità legali legittime e qualificate.

Cosa c’entra Instagram?

“Hanno mandato loro l’email? Erano davvero loro?”

Sì.

Quindi, per favore, Content Creator (di disinformazione) là fuori, riconsiderate la vostra posizione e lasciate fare a chi è digitalmente competente.

Al momento della stesura di questo articolo, un singolo video ha raggiunto 3,7 milioni di visualizzazioni. Non fraintendetemi: nulla contro i creator di per sé, se non il fatto di fuorviare centinaia di migliaia di persone.

Potreste anche riconsiderare la convinzione che si tratti solo di un’eccezione e un caso isolato, ma mi dispiace informarvi che questa non è la realtà.

Cosa è fuorviante?

Dalle loro stesse parole viene affermato:

  • “[…] sembra incredibilmente reale […]”
  • “[…] segno di spunta blu e tutto il resto […]”
  • “[…] questo link […] ti porta effettivamente su Instagram […]”
  • “[…] questo è effettivamente un indirizzo email ufficiale di Instagram […]”

Ecco la mia opinione non richiesta: perché è così.

Dite “Ciao!” al BIMI.

Quale attore malevolo spenderebbe così tanto sforzo per poi indirizzarti alla piattaforma legittima? Quindi è una comunicazione ufficiale o phishing? Qual è la vostra posizione?

Ora che siamo d’accordo su come stiano fuorviando il pubblico facendo leva sul “segno di spunta blu”, vediamo cosa c’è di anomalo.

Quel “segno di spunta blu” non è quello che si può acquistare per avere il profilo “verificato”; era riservato solo alle fonti legittime. In ogni caso, le email non sono post sui social media. Il “segno di spunta blu” è fornito da Gmail stesso e renderizzato nell’interfaccia, non fa parte del testo del mittente, e questo può essere facilmente verificato leggendo l’email con un client che non fornisce un “segno di spunta blu” per i mittenti verificati BIMI.

Verifichiamo il BIMI di Instagram

Per prima cosa clicchiamo sui tre puntini a destra e poi su “Mostra originale”, che apre una nuova scheda del browser con tutti gli header e il contenuto.

Come prima cosa possiamo vedere SPF, DKIM e DMARC seguiti da “PASS”. Questo è già un buon punto di partenza, non trovate?

Il secondo passo è cercare il “BIMI-Selector”.

Infine possiamo eseguire una query dig come la seguente:

dig TXT fb2025q1v1._bimi.mail.instagram.com

File PEM: https://instagram.com/cdn/cacheable/bimi_logo/instagram.pem

Dopo aver scaricato il file PEM, possiamo indagare meglio e vedere quale CA lo ha fornito, per quale azienda e altro ancora.

Quindi, ricapitoliamo:

  1. Meta ha chiesto a DigiCert di fornire un certificato firmato da una CA
  2. DigiCert ha fatto il suo lavoro (due diligence, background check, …)
  3. Meta ospita quel certificato pubblicamente affinché i server MX possano recuperarlo e verificarne l’autenticità
  4. Gmail controlla i record DNS di Instagram e vede SPF, DKIM, DMARC e BIMI validi
  5. Gmail renderizza un “segno di spunta blu” nell’interfaccia per informarti che la comunicazione è legittima

E la seconda parte del video?

La seconda parte riguarda la pagina di Instagram sulle comunicazioni relative alla sicurezza inviate da Meta, e qui c’è un altro malinteso.

Mentre, fino a questo punto, quello che dicono è vero, concludono affermando qualcosa vicino a “qui non vedi la loro comunicazione sul reset della password, quindi deve essere phishing”.

Beh… che montagne russe questo viaggio!

Qui vediamo un paio di bias cognitivi: chiusura prematura e bias di conferma. Non hanno verificato tutte le informazioni a loro disposizione — nessun biasimo, non è colpa loro se non sono competenti in materia, ma resta comunque loro responsabilità informare correttamente gli utenti. Il bias di conferma si nota quando usano la loro (errata) comprensione per sostenere la propria posizione.

Ciononostante, condivido assolutamente le loro raccomandazioni di:

  • Non cliccare su link provenienti da email che non ti aspetti
  • Controllare la pagina delle comunicazioni di sicurezza su Instagram
  • Fare attenzione

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *