Ci sono giornalisti spiati e ci sono giornalisti che spiano. Lo spionaggio digitale da minaccia può diventare un prezioso, e legale, metodo d’inchiesta. Per chi fa informazione la ricerca online di notizie, documenti, fonti, costituisce buona parte del lavoro. Il problema è come sfruttare le potenzialità delle risorse disponibili in rete.
Utile, ma ormai superato, per apprendere le tecniche base di intelligence applicata alle fonti aperte (Osint) è il manuale Untangling the web. Un file del 2006 che l’Nsa, l’agenzia statunitense di spionaggio, aveva diffuso al suo interno per insegnare agli agenti a spiare sul web. Desecretato grazie al Foia (Freedom of Information Act), raccoglie i fondamentali “dell’arte della navigazione”: lo spiegone dei vari tool di Google come traduttore istantaneo, mappe e ricerca filtrata, qualche dritta sulla terminologia basica per destreggiarsi nel cyberspazio, sull’identificazione degli indirizzi IP, su Internet archive, il portale per recuperare siti non più attivi e altri tips che oggi sanno più o meno tutti.
Era il 2006. Poi, sono arrivati i social che hanno stravolto i paradigmi dello spionaggio cyber, spalancando praterie infinite di informazioni e dati disponibili. Per chi li sa trovare. Dagli strumenti più avanzati per il dossieraggio ai siti che selezionano gli “attrezzi” del mestiere, alle newsletter con tutti gli aggiornamenti settimanali in tema Socint (l’intelligence applicata ai social), ai forum per i nerd della ricerca open source. Fino ai portali che organizzano corsi per scandagliare le pieghe più nascoste dei social, dove si annidano le “digital bread crumbs”, le “briciole” digitali delle nostre identità date in pasto alla rete: a fornire i “kit di sopravvivenza” della spia 2.0 ci pensa il web.
Un metodo d’infiltrazione efficace per chi fa inchiesta sotto copertura mezzo social comincia dalla scelta della piattaforma calibrata al bersaglio. Basta dare un’occhiata a Applyzer o AppAnnie per individuare i social più diffusi nel paese di provenienza del target. Poi, ci sono due opzioni: se la ricerca è passiva, e quindi non prevede un’interazione con il soggetto, si può usare un profilo qualsiasi. Per una ricerca attiva è necessario mimetizzarsi, creando un account (per sembrare una persona reale meglio più di uno, e su piattaforme diverse) che non insospettisca l’obiettivo che si vuole intercettare.
Un profilo “fake” per navigare in sicurezza
La costruzione di un profilo credibile parte dal nome. Qui, vengono in aiuto i vari generatori automatici online tipo Name generator. Invece, per dotarsi di un indirizzo email, necessario quando si crea un account social, ci si può affidare al classico gmail o mail.com. Nel caso in cui non si riesca a bypassare la richiesta di verifica tramite telefono (con gmail su iPad si riesce), l’opzione migliore è acquistare una scheda SIM anonima. Ma attenzione: mai riutilizzare un email già usata in precedenza.
Aperto l’account, vanno aggiunti dati e dettagli tipici di un profilo autentico. Dopo il nome, prima cosa: associarvi una foto-profilo generata dall’intelligenza artificiale con This person does not exist o Generated photos, che, in teoria, dovrebbero produrre immagini non corrispondenti a persone esistenti. “Userei – suggerisce Ritu Gill di osinttecniques.com – lo screenshot per recuperare la foto e poi modificarla leggermente. Per evitare di scegliere un’immagine già usata da qualcun altro, puoi sempre testare la foto ottenuta eseguendo una ricerca inversa. E se la trovi, ovviamente, usane un’altra!”.
Quando si crea un nuovo profilo, meglio pubblicare periodicamente e comportarsi il più possibile come un normale utente. “L’idea principale – aggiunge Gill – è far credere di essere una persona reale, mettendo like alle pagine, postando anche qualcosa di generico. Esistono modi per automatizzare la tua attività con, ad esempio, IFTTT.com. Ma tieni presente che qualcuno potrebbe notarlo e scoprirti”.
Spesso, in un’inchiesta undercover è necessario costruirsi un’identità insospettabile, corredandola di info quanto più possibile dettagliate. Un tool comodo è Elf Qrin’s Lab. Genera nome, data e luogo di nascita, indirizzo abitativo, account mail, caratteristiche fisiche, dati biometrici, professione, numero di telefono, di carta di credito, con tanto di colore preferito, segno zodiacale e pure QR code associato. Vere e proprie identità virtuali, ma completamente fake, “usa e getta” o salvabili per eventuali usi successivi.
Solo dopo aver un profilo pubblico solido, inizia la ricerca mirata sul target. A geolocalizzarlo, partendo dalle informazioni sulla posizione che ha disseminato attraverso i social network, e che formano l’”impronta” della posizione dell’utente, ci pensa Geosocial footprint.
Localizzato il bersaglio, con MW Geofind si possono cercare per posizione i video georeferenziati corrispondenti caricati su YouTube. O sfoderare le tecniche pro della ricerca via Twitter, oppure si può risalire alla mail dell’obiettivo e attraverso quella ricavare una miriade di dati e informazioni disseminati nel cyberspazio. Insomma, i “trucchi” della sorveglianza digitale sono parecchi. E stanno tutti lì, in rete, pronti per le aspiranti “spie” mezzo social.
FONTE: https://it.insideover.com/academy/tutti-i-trucchi-legali-dello-spionaggio-via-social.html
Commenti
Posta un commento
Partecipa alla discussione