20 Apr 2017

App trappola: il fantastico mondo dei bot di Tinder

Notizie Privacy Sicurezza

Secondo voi qual è la percentuale di click ai link ricevuti dagli uomini e inviati da bellissime donne nei messaggi delle app di incontri? Indovinate un po’ (1%? 5%? 15%?).

Stando a una ricerca condotta da Inbar Raz di PerimeterX, si tratta incredibilmente del 70%! Due uomini su tre clicca su questo genere di link e questo rappresenta senza dubbio il miglior tasso di conversione del mondo. Indovinate ancora: cosa potrebbe andare storto?

Booby trapped app: The amazing world of Tinder bots

Inbar Raz ha iniziato la sua ricerca creando il profilo Tinder perfetto. Sorprendentemente, sono stati effettuati molti studi sull’argomento (parlo di studi matematici). Ci sono tante linee guida al riguardo e anche un’intervista in cui Sean Rid, CEO di Tinder, descrive quali tipi di foto può farvi ottenere più match. Ecco una breve lista del tipo di foto che funzionano meglio:

  • una foto scattata da un fotografo professionista;
  • una foto con un animale;
  • una foto in cui praticate sport o qualche hobby;
  • una foto ufficiale o a lavoro;
  • una foto divertente o creativo.

Amore a prima vista

Circa un anno fa, Raz si è recato a Copenhagen, in Danimarca, per tenere una conferenza sulla sicurezza. Appena è arrivato, ha acceso Tinder e nel giro di un’ora aveva già otto match con bellissime donne. Una di loro ha inviato un messaggio in danese con un link. Successivamente, ha ricevuto molti altri match e anche tanti messaggi, tutti pressoché identici, cambiavano solo gli ultimi quattro caratteri del link.

Ovviamente, Raz ha pensato subito che queste bellissime donne fossero in realtà bot e ha iniziato a fare ricerche sui suoi match sospetti. In primo luogo, ha notato che i 57 match condividevano tra loro solo 29 luoghi di studio, 26 posti di lavoro e 11 professioni (molte di loro sostenevano di essere modelle). Inoltre, sebbene tutti i bot tranne uno avessero studiato in Danimarca, quasi tutti sostenevano di lavorare nel Regno Unito, prevalentemente a Londra.

Dopo tutto questo, Raz ha controllato le informazioni del profilo dei match. Sembrava si trattasse d’identità rubate: c’erano link di account Facebook e Instagram che non corrispondevano ai nomi e alle foto dei profili Tinder.

There were links to Facebook and Instagram accounts that didn't match the names and pictures in the Tinder profiles.

Conosciamo meglio i bot

Sono passati un paio di mesi e Inbar Raz si è recato a un’altra conferenza di sicurezza a Denver, in Colorado. Indovinate? Ha ricevuto un’altra serie di match su Tinder, quasi tutti falsi. Alcuni dei match a Denver erano chatbot più avanzati (non inviavano subito link sospetti ma provavano prima a chattare). Raz ha posto loro domande difficili per provare quanto questi chatbot fossero in grado di interagire. A quanto pare non molto: le chat passavano attraverso uno script fisso, a prescindere dalle domande e dalle risposte fornite dal ricercatore. Ovviamente, tutte le conversazioni si concludevano con un invito a continuare la conversazione su Skype o con un link.

Questa volta, Raz ha deciso di dare un’occhiata ai link inviati dai bot. I link portavano a siti web che reindirizzavano ad altri siti web che reindirizzavano a loro volta ad altri siti. Il sito finale era “Questo NON è un sito di incontri” e si poteva trovare il seguente avviso “Visualizzerai foto di nudo. Sii discreto”. Qualsiasi cosa voglia dire la parola discreto in circostanze simili.

Dopo un paio di mesi, Raz si trovava a un’altra conferenza, il Chaos Communication Congress di Amburgo, in Germania. Questa volta, uno dei suoi match bot aveva un link sul suo profilo che indirizzava a un sito dal nome “Meglio di Tinder” in cui apparivano foto di nudo esplicito proprio nella pagina principale.

Alla caccia del burattinaio

Un mese dopo, Raz ha partecipato a una conferenza di sicurezza a Austin, in Texas. Ha aperto Tinder e sono spuntati fuori altri match. Dopo la sua precedente indagine, Raz non aveva alcuna aspettativa ed era sicuro del fatto che quei match fossero bot. Di conseguenza, chattando con un altro bot, non aveva nemmeno finto di parlare con una persona vera. In effetti, la conversazione è passata dallo script e alla fine Raz ha ricevuto un invito a continuare la chat su Skype con il contatto juicyyy768.

Il nome dell’account gli ha ricordato il bot che l’aveva invitato su Skype quando si trovava a Denver (il nome seguiva la stessa formula: una parola con le ultime lettere ripetute diverse volte e tre cifre alla fine). Raz ha creato un account Skype momentaneo e ha iniziato a chattare con il bot su Skype. Dopo un’altra conversazione criptata, il bot a chiesto a Raz di creare un account su un sito di condivisione di foto. Inutile dire che il sito web ha richiesto il numero della carta di credito. Adesso potrete capire dove si vuole andare a parare.

Il passo successivo è stato localizzare l’infrastruttura dell’impero dei bot. Raz ha controllato l’indirizzo IP di uno dei siti web il cui link gli era stato inviato nelle precedenti conversazioni con i bot di Tinder. All’IP erano associati una lista di nomi di domini sospetti. I nomi dei siti web riguardavano il sesso, Tinder o argomenti del genere. Raz ha iniziato a controllare le informazioni di registrazione di questi domini, ma la maggior parte di questi erano stati registrati in maniera anonima.

Ad ogni modo, controllare tutti i 61 domini ha potuto fornire qualche informazione in più. Alcuni di questi erano stati registrati con mezzi diversi e alcuni avevano anche informazioni di registrazione che indicavano il nome, il numero di telefono, l’indirizzo (a Marsiglia, in Francia) e l’e-mail. Tutto questo è risultato essere falso ma ha fornito a Raz alcune piste da seguire per mettere insieme i pezzi del puzzle.

Utilizzando un sito web chiamato Scamadviser.com che controlla quanto siano sicuri i siti web su cui effettuare acquisti, Raz è stato in grado di collegare le campagne di bot di diverse città di diversi continenti allo stesso indirizzo mail, *****752@gmail.com, ottenuto dalle informazioni della registrazione del dominio. Il proprietario di questo indirizzo utilizza diversi nomi falsi, diversi numeri di telefono falsi e diversi indirizzi. Elementi importanti erano l’indirizzo a Marsiglia e la formula di una parola e tre cifre per i nickname. Raz non è riuscito a capire quale fosse la vera identità del truffatore; sfortunatamente chiunque egli sia, è bravo a nascondersi.

Dopo tutto questo, Raz ha iniziato ad utilizzare un’altra piattaforma, OkCupid, per controllare se anche lì c’erano bot. Ovviamente c’erano ma non erano buoni come quelli di Tinder e i siti web a cui indirizzavano non sembravano molto professionali. Stando a quanto emerso da un’ulteriore ricerca, la persona che si celava dietro questo piccolo impero di bot non era molto esperta di sicurezza operativa come lo era *****752. Dopo aver controllato un paio di siti web, Raz ha scoperto prima un indirizzo mail e dopo il nome del truffatore e il suo vero account Facebook con una sua bella foto con in mano un bel mucchio di soldi.

After checking a bunch of websites, Raz discovered first an e-mail address, and after that the name of the scammer, and then even his real Facebook account with nice photo of the swindler holding stacks of money in his hands.

Non abbiate paura di Tinder

Ok, ci sono i bot su Tinder. E allora? Beh, questi bot non vi stanno facendo perdere tempo e non vi stanno facendo illudere troppo senza motivo. Stanno effettuando del phishing per ottenere i dati della vostra carta di credito e, come abbiamo detto all’inizio del post, la percentuale di click ai link che inviano è sorprendentemente alto. Questo vuol dire che tanti uomini visitano questi siti web e alcuni inseriscono anche i propri dati bancari (cercando i loro bellissimi match). Poverini.

Questo non vuol dire che dobbiate smettere di utilizzare Tinder, OkCupid o qualsiasi altra app di incontri che vi piaccia. Significa solo che dovete essere preparati e all’erta.

  1. Non cliccate su link inviati da sconosciuti. Non c’è alcun motivo per cui un “match” debba inviarvi un link. Detto questo, controllate i dettagli del profilo. Se il vostro nuovo match ha dei link con diversi nomi sul suo profilo, qualcosa non va.
  2. State attenti e diffidate. I bot si trovano quasi ovunque su Internet. Almeno per adesso non sono molto sofisticati, quindi è abbastanza semplice distinguere una persona vera da un bot. Non perdete la testa all’idea del match perfetto. Ad esempio, provate a cambiare argomento per vedere se vi seguono nel discorso.
  3. Non uscite con i bot. Per favore. E fate il nostro quiz sul phishing per conoscere meglio i trucchetti dei truffatori.