Il LA Times ha riferito questa settimana che il losangelino Hao Kuo “David” Chi si è dichiarato colpevole di quattro reati federali relativi ai suoi sforzi di rubare e condividere online immagini di nudo di giovani donne. Chi ha raccolto più di 620.000 foto private e 9.000 video da un numero indeterminato di vittime negli Stati Uniti, la maggior parte delle quali erano giovani e donne.

All’inizio del 2018, una delle vittime di Chi - un personaggio pubblico senza nome di Tampa (Florida), dove alla fine si è tenuto il processo - ha scoperto i propri nudi su siti web di incontri online , per gentile concessione di una società californiana specializzata nella rimozione di foto di celebrità da Internet. Le immagini di nudo erano originariamente memorizzate su un iPhone, da cui erano state salvate su iCloud.

“Almeno 306” vittime

Il patteggiamento di Chi con i procuratori federali di Tampa, Florida, ha riconosciuto “almeno 306” vittime. Questo numero potrebbe essere notevolmente inferiore al totale reale, dal momento che l’FBI ha scoperto che circa 4.700 delle 500.000 e-mail in due degli account Gmail di Chi - backupagenticloud e applebackupicloud a Gmail - contenevano credenziali iCloud che Chi ha ingannato le sue vittime a fornire.

Secondo Chi, ha selezionato circa 200 di queste vittime sulla base di richieste online. Chi ha commercializzato i suoi “servizi” di violazione di iCloud sotto il nome di guerre icloudripper4you. I suoi “clienti” identificavano un account iCloud da attaccare, dopo di che Chi usava i suoi account Gmail dal nome sommario per contattare la vittima, spacciandosi per un rappresentante del servizio Apple.

Se la vittima cadeva nel tentativo di spearphishing di Chi, Chi avrebbe poi utilizzato le credenziali iCloud della vittima stessa per accedere al servizio e salvare le loro foto e video su Dropbox, fornendo poi il link Dropbox ai suoi clienti e/o cospiratori.

Secondo i documenti del tribunale, Chi ha organizzato e salvato i media rubati per uso personale suo e dei cospiratori senza nome, oltre a fornirli ai “clienti” di icloudripper4you. Il giro di phishing ha usato un servizio di email criptate ospitate all’estero per comunicare in modo anonimo - “Non so nemmeno chi era coinvolto”, ha detto Chi al LA Times. L’anello si riferiva a foto e video nudi trovati negli account rubati come “vittorie”, che condividevano tra loro.

L’agente dell’FBI Anthony Bossone ha detto alla corte che l’account Dropbox di Chi conteneva circa 620.000 foto e 9.000 video, organizzati in parte dalla presenza o meno di “vittorie” al loro interno.

Un’operazione poco sofisticata

Nonostante l’uso da parte di Chi di email crittografate “a prova di proiettile” al largo, la sua operazione sembra essere stata piuttosto poco sofisticata - ha fatto affidamento sulla volontà delle sue vittime di separarsi dalle loro credenziali iCloud via email, e il suo schema si è svelato più per la fama di una vittima che per qualsiasi schema tecnico audace.

Una volta che questa vittima si è lamentata con le forze dell’ordine, lo schema di Chi si è svelato facilmente - aveva effettuato l’accesso all’account iCloud della sua vittima direttamente da casa sua a La Puente, California. Quando l’FBI ha ottenuto un mandato di perquisizione e ha fatto irruzione nella sua casa a maggio, gli agenti avevano già un quadro chiaro degli schemi di Chi grazie ai documenti richiesti da Dropbox, Google, Apple, Facebook e Charter Communications.

Il 5 agosto, Chi si è dichiarato colpevole di un’accusa di cospirazione e tre di accesso non autorizzato a un computer protetto. Affronta fino a cinque anni di prigione per ogni accusa, ma quasi certamente riceverà molto meno a causa delle linee guida di condanna e dei negoziati per la dichiarazione di colpevolezza.

Le colpe dei produttori

È un peccato che Apple non abbia mai notato un singolo uomo che accede a migliaia di account iCloud, apparentemente direttamente da un singolo indirizzo IP residenziale e su un servizio che non utilizza NAT di livello carrier. Tuttavia, vale la pena notare che la predazione di Chi - e quella di molti, molti altri phisher - si è basata interamente sulla credulità delle sue vittime.

Questo è importante perché Chi stesso è più sintomo che malattia, rappresentando solo la punta di un vasto iceberg. Non è difficile trovare “servizi” come quello di Chi su qualsiasi piattaforma di social media - in alcuni casi, che tu lo voglia o no.

Facebook ha recentemente bloccato il mio profilo senza motivo apparente per due giorni di fila. Il secondo giorno, un account Facebook casuale e probabilmente compromesso ha promosso i servizi di “Steve” su Instagram, “sicuro al 100% e garantito” per “aiutare a recuperare il mio account”. Seguendo il link di Instagram in una macchina virtuale usa e getta mi ha portato a “the_dark_hacker_unlock” - e ai servizi che sembrano chiaramente rivolti agli attaccanti, non alle vittime.

Nonostante la segnalazione del commento di Facebook e dell’account Instagram che ha promosso, entrambi gli account sono ancora online, insieme a molti, molti altri come loro.