«Con la pandemia in maniera imprevista abbiamo aumentato la nostra superficie di attacco, poiché lo strumento tecnologico è stato imposto alle nostre attività lavorative e educative». Così Pierluigi Paganini, membro del gruppo Cyber Threat Intelligence ENISA e professore aggiunto in Cyber Security presso l’Università Luiss Guido Carli, spiega il fenomeno delle intrusioni online, lo zoombombing.
Durante una video lezione o una conferenza può, infatti, capitare che il cursore si muova da solo e compaiono strane scritte e disegni. Non è un fantasma, sono i troll o gli hacker che sono entrati nella riunione, con il preciso intento di disturbare. Di solito si tratta di incontri online aperti a tutti, i cui link si trovano su pagine Facebook senza particolari restrizioni per l’accesso.
Nell’ultimo anno, ci sono state frequenti intrusioni da parte di cybercriminali sulla piattaforma online Zoom, da qui il termine di “Zoombombing” o “Zoom raiding”. La parola deriva dal “photobombing”, la pratica scherzosa di infiltrarsi nelle foto di altri. Ma se per questo si parla di uno scherzo, non si può dire lo stesso per il nuovo fenomeno della rete.
Anche la piattaforma di Google, “Meet”, è stata disturbata dai troll, tanto che alcuni esperti ritengono sia più adatta la parola “meetbombing”.
Come avviene in America e in Italia
«I troll, che prendono di mira queste connessioni Zoom, hanno due modalità: o fare un attacco mirato, sfruttando le falle dei sistemi, o vengono impossesso delle credenziali di accesso e possono fare qualsiasi cosa, condividere contenuti inappropriati e disturbare. Conoscere le chiavi per entrare in un incontro online può avvenire perché uno dei partecipanti le condivide, oppure l’organizzatore o un invitato è vittima di un attacco e l’hacker può vedere ad esempio le riunioni programmate sulla piattaforma e il giorno della call accede alla conversazione».
Un’indagine del The New York Times ha rilevato che dietro l’intrusione si nasconde più di una persona. Un vero e proprio sforzo collettivo, organizzato attraverso canali social, con account Instagram, Twitter, chat private o bacheche su Reddit e 4Chan. Qui i troll si scambiano le chiavi di accesso per entrare nelle teleconferenze, che di solito sono pubbliche. In altri casi è stata anche usata l’app Discord.
«Nel caso degli Stati Uniti si parla di operazioni che coinvolgono molti che si concentrano su particolari conversazioni e molto spesso è un insider che dà informazioni, fa una sorta di chiamata alle armi utilizzando quei canali».
In Italia, invece, «molto spesso si usano le app di instant messaging, tra tutte Telegram, in cui qualcuno, anche in maniera leggera, pensa di condividere le credenziali».
Chi compie queste intrusioni usa immagini pornografiche o che possono disturbare i partecipanti della conferenza. Come spiega il The New York Times: «gli zoomraiders spesso impiegano immagini scioccanti, epiteti razziali e parolacce per far deragliare le videoconferenze. Sebbene l’organizzatore di una riunione possa rimuovere un partecipante in qualsiasi momento, gli autori di questi attacchi possono essere difficili da identificare; ce ne possono essere diversi in una singola chiamata e possono sembrare che passino da un alias a un altro».
I casi di Zoombombing
Lo zoombombing ha colpito conferenze in tutto il mondo. Nel marzo del 2020 alcuni zoombomber hanno interrotto un forum online di spiritualità musulmana. Insulti razzisti e scritte sulle slides condivise sullo schermo. Anche le riunioni degli Alcolisti Anonimi sono state colpite da questi cyberattacchi, con GIF di persone che bevono bevande alcoliche.
Le conferenze interrotte sono quasi sempre su un tema che genera scalpore, o che dà fastidio. Come è successo in Italia: i troll lo scorso anno si sono inseriti in una conferenza della Società delle Storiche e nel webinar sulla violenza contro le giornaliste donne, organizzato dalla Federazione Nazionale Stampa Italiana (FNSI).
In questi due casi ciò che dava fastidio ai troll era il discorso femminista: gesti pornografici, immagini e parole sgradite quando prendeva la parola una donna. Molti hanno pensato si trattasse di una vera e propria tattica di boicottaggio del discorso sulla parità di genere.
Ci sono stati anche casi di zoombombing di matrice nazifascista, come è successo a marzo di quest’anno. Un gruppo di zoombomber hanno interrotto l’evento “Morte accidentale di un leader socialista Domenico Piccoli”, sulla piattaforma Zoom, organizzato da Anpi, Avl, Istrevi, Anei e Accademia olimpica di Vicenza. Gli hacker hanno iniziato a bestemmiare e a inneggiare a Mussolini, Hitler e allo sterminio deli ebrei.
Secondo Paganini il perché di queste intrusioni vanno ricercate nella natura umana, «nella volontà di distruggere quello che è il canale di comunicazione sull’argomento che non si condivide. È una trasposizione dell’arroganza e della prepotenza umana in ambito tecnologico. Il dissentire, il protestare equivale a quello che è il disturbatore in un’aula».
Zoombombing un reato nello pseudo anonimato
Lo zoombombing è un reato, perché si parla di un’intrusione in un sistema informatico. «L’articolo 615 del Codice penale stabilisce che questo si configura come un accesso abusivo e come tale ha una disciplina che lo regolamenta. Esistono delle sanzioni precise, anche nei casi in cui questa intrusione reca dei danni collaterali, ad esempio se da remoto si sta dando assistenza ad altri».
Sembra, però, impossibile individuare chi compie questo reato, come se si venisse attaccati da qualcuno che non si conosce, e i partecipanti della conferenza si sentono impotenti e attaccabili. «La differenza rispetto a una realtà fisica è che lo strumento tecnologico pone molto spesso il disturbatore in una posizione di vantaggio, perché pensa di essere anonimo. E questo per il disturbatore è un vantaggio psicologico. Nel mondo reale, invece, chi disturba ci mette la faccia. Nel mondo digitale chi lo fa, e non è un esperto, è convinto di operare nell’anonimato».
In realtà gli zoombomber possono essere identificati dalle piattaforme, che gestiscono i sistemi di loging, dei registri che tracciano tutte le attività, e si può analizzare da quale parte arriva la connessione che disturba. Questo è soprattutto possibile nei casi in cui l’intrusione avviene da parte di un inesperto.
Zoom contro gli hacker
La piattaforma Zoom ha introdotto diverse soluzioni per fermare gli attacchi. Si possono interrompere le riunioni, bloccare la visualizzazione di contenuti indesiderati e segnalare gli zoombomber.
L’approccio di bloccare gli intrusi, non previsti nella lista dei partecipanti, funziona ma tranne in un caso: «se si hackera il pc di uno dei partecipanti, si entra in possesso dell’invito alla call e si è un partecipante legittimo. In quel caso il meccanismo di espulsione dalla riunione può avvenire grazie a un mediatore o per esempio si potrebbe implementare un blocco alla riunione qualora più persone decidono di bloccare la stessa persona».
Agli utenti, oltre a poter chiudere la teleconferenza, Zoom offre un’altra soluzione: l’alert “At-Risk Meeting Notifier”. Questa funzione permette di monitorare i post sui social e sui siti in cui vengono pubblicati i link per partecipare agli incontri online. Se il software individua delle possibili intrusioni, l’utente che ha creato l’evento viene avvisato e gli vengono forniti anche dei consigli utili.
Queste soluzioni sono valide per rendere la rete più sicura, se poi si vuole pensare a un’alternativa più radicale, secondo Paganini, si può ipotizzare «l’introduzione di sistemi basati sull’Intelligenza Artificiale, capace di identificare l’intrusione che avviene su un canale e bloccarla».
Leggi anche: Clubhouse, il social dove parli (e dalla Cina ti ascoltano)
