🧵Se in rete doveste imbattervi in un articolo come questo, potreste pensare che si tratti di un fotomontaggio o che la redazione della Stampa abbia abusato di sostanze psicotrope. Nessuna delle due: è effettivamente la pagina di un sito, identico a La Stampa, ma non è La Stampa 
2/Con ogni probabilità ci troviamo di fronte a un “doppelgänger” termine che nel folklore tedesco indica una sorta di doppio di qualcuno in forma maligna, mentre per gli analisti occidentali è oggi il nome dato ad una delle principali operazioni della guerra ibrida del Cremlino.
3/I’inganno in termini pratici consiste nel far circolare in rete pagine sosia delle principali testate con narrazioni coincidenti con le indicazioni fornite dalla propaganda russa: si tratta di un fenomeno iniziato nel 2022 e affinatosi nel 2023, a partire da Francia e Germania.
4/I doppelganger impersonavano non solo grandi giornali come Le Monde, Le Figaro, Die Welt e Spiegel, ma anche pagine dei ministeri: la reazione, sia politica che informatica, pareva aver risolto il problema, ma la tecnica russa in poco tempo si è evoluta corriere.it/esteri/23_giug…
5/Vediamo allora di capire meglio da dove arriva e come funziona.
La scoperta di doppelganger riferibili a quotidiani italiani, ci è stata segnalata giorni fa da @antibot4navalny che ha rilevato alcuni bot di X come questi, in apparenza simili a tanti altri, con nomi randomizzati
La scoperta di doppelganger riferibili a quotidiani italiani, ci è stata segnalata giorni fa da @antibot4navalny che ha rilevato alcuni bot di X come questi, in apparenza simili a tanti altri, con nomi randomizzati
6/proviamo ad esempio a concentrarci su due in particolare: quello nella foto a sinistra “Aster Reppert”, per comodità lo chiameremo “Alfa”, e “Kiyah Prudhomme”, che chiameremo “Kilo”, entrambi gli account, pur non avendo follower, ottengono 720 (Alfa) e 3100 (Kilo) condivisioni
7/entrambi usano frasi semplici che invitano a cliccare su un link che dovrebbe rivelare qualcosa: la tecnica è paragonabile a quella che ritroviamo nelle mail di phishing ogni volta che un contatto sconosciuto ci invita a prendere visione di un link o di un allegato.
8/In questo caso i link sono,
per Kilo kgdr3b.froggy[.]lol/5rwjk9 e tj7zor[.]enamsembilan37[.]click/5wml5r per Alfa.
Se clicchiamo sul link di Alfa (noi lo stiamo facendo tramite remote browsing, farlo senza protezioni può non essere sicuro) arriviamo qui:
per Kilo kgdr3b.froggy[.]lol/5rwjk9 e tj7zor[.]enamsembilan37[.]click/5wml5r per Alfa.
Se clicchiamo sul link di Alfa (noi lo stiamo facendo tramite remote browsing, farlo senza protezioni può non essere sicuro) arriviamo qui:
9/una pagina anonima con un intestazione verde e un “lorem ipsum” senza particolare significato, tuttavia, se proviamo a postarlo da X, ecco che questo estrae dalla memoria la vera destinazione di quel link, o almeno quella a cui vogliono si arrivi
10/Se poi, come ulteriore prova, dovessimo sottoporre il link a VirusTotal troveremmo le seguenti informazioni: un flag per phishing da parte di un vendor (Kaspersky)
Ora facciamo la stessa prova con il link di Kilo e arriviamo
Ora facciamo la stessa prova con il link di Kilo e arriviamo
11/qui: ancora in apparenza è la pagina di un quotidiano online, in questo caso La Stampa, ma con un’occhiata più attenta si noterebbe che il dominio di primo livello non è lastampa[.]it ma lastampa[.]in
Si tratta quindi di un dominio lookalike, un clone di un sito web legittimo
Si tratta quindi di un dominio lookalike, un clone di un sito web legittimo
12/L’inganno è tale che nel sito fittizio ci sono link funzionanti che rimandano al sito reale per fuorviare il lettore e fargli credere di essere dove non è.
Se clicchiamo sul titolo della testata, ci troviamo sulla vera home page de La Stampa all’indirizzo www.lastampa[.]it
Se clicchiamo sul titolo della testata, ci troviamo sulla vera home page de La Stampa all’indirizzo www.lastampa[.]it
13/La stessa cosa la potremmo scoprire cliccando il link di Alfa, in questo caso il sito contraffatto è quello di Repubblica e anche qui un lookalike dove il dominio primario diventa un “.IN”
14/Ma la tana del bianconiglio è ancora più profonda, quindi proseguiamo nella discesa.
Effettuando una ricerca su VirusTotal, vediamo che due vendor hanno flaggato il link di Kilo come phishing (Foto 1)
Scopriamo inoltre che il “Serving IP address” è 185.172.128.161 (Foto 2)
Effettuando una ricerca su VirusTotal, vediamo che due vendor hanno flaggato il link di Kilo come phishing (Foto 1)
Scopriamo inoltre che il “Serving IP address” è 185.172.128.161 (Foto 2)
15/Inserendo il codice dell’IP su Virustotal arriviamo finalmente a scoprire qual è il Paese delle Meraviglie (si fa per dire) ossia, non sorprendentemente, la russia e questo non tralasciando il trascurabile fatto che l’indirizzo viene flaggato da 4 vendor come malevolo (Foto 3)
16/Un utente della stessa community lo ricollegava proprio a “doppelganger” già nel dicembre 2023 (Foto 4)
Cercando invece, come alternativa, su Alienvault OTX vediamo che anche qui il verdetto è “Suspicious”, così come il fatto che si trovi in Russia appare confermato (Foto 5)
Cercando invece, come alternativa, su Alienvault OTX vediamo che anche qui il verdetto è “Suspicious”, così come il fatto che si trovi in Russia appare confermato (Foto 5)
17/Tornando a lastampa[.]in controlliamo con Whois quando il dominio è stato registrato e scopriamo che è vecchio di soli 7 giorni: risale al 05 aprile 2024.
Nella stessa data troviamo repubblica[.]in e corriere[.]in, che ancora non ha generato materiale (probabilmente lo farĂ )
Nella stessa data troviamo repubblica[.]in e corriere[.]in, che ancora non ha generato materiale (probabilmente lo farĂ )
18/Dal punto di vista della forma si tratta di un fake fatto bene, mentre da quello dei contenuti diremmo non benissimo: le foto di richiamo non sono decisamente nello stile delle due testate, se poi dovessimo leggere i testi, ci accorgeremmo di imprecisioni ed errori grossolani
19/L’impressione è che se non proprio con traduzioni automatiche, non siano scritti né da un italiano, né tantomeno da un giornalista (es: in Italia non si scrive Zelenskij o sui nomi russi non usiamo la stessa accentazione) ma sembrano rispettare le linee guida date dal Cremlino
20/Se ne è parlato pochi giorni fa dopo la corposa inchiesta del Washington Post, che oltre all’organizzazione dietro questa e altre operazioni, accenna ad una sorta di “principio di Pareto” applicato alla disinformazione: un 80% di verosimile e un 20% di completamente falso
https://twitter.com/fabio_tab/status/1777992870269489630
21/è probabile quindi che da qualche settimana ci siano nelle troll farm russe persone a cui viene detto di spargere altra propaganda anche in Italia: persone che conoscono la lingua, ci studiano, ci leggono, forse ora stanno leggendo proprio questo (nel caso, ciao Vassily! 👋)
22/lo prova il fatto che sappiano chi citare a loro favore (Orsini, il Fatto Quotidiano, Geraci, Feltri, etc) o si focalizzino su argomenti a cui il pubblico italiano è più sensibile.
La conoscenza non è però altrettanto reciproca: i giornali clonati ignorano sia di esserlo, sia
La conoscenza non è però altrettanto reciproca: i giornali clonati ignorano sia di esserlo, sia
23/dell’esistenza del problema in generale, se provaste oggi a cercare doppelganger su Repubblica trovereste articoli su una marca di vestiti
Nella classe politica l’ignoranza e il silenzio sul tema è ancora maggiore, ma con le elezioni in arrivo sarà sempre peggio
Molto peggio
Nella classe politica l’ignoranza e il silenzio sul tema è ancora maggiore, ma con le elezioni in arrivo sarà sempre peggio
Molto peggio
24/Sperando che la consapevolezza aumenti, cerchiamo almeno per ora di far conoscere il fenomeno, magari condividendo contenuti come questo thread, scritto a quattro mani dal sottoscritto e da @W1nternet_ ,a chi tra media e politica dovrebbe seriamente iniziare a preoccuparsene🔚
• • •
Missing some Tweet in this thread? You can try to
force a refresh
 
