All'inizio degli anni '80 ero un investigatore privato: quando costruivo un profilo e rintracciavo un L'obiettivo consisteva nel frugare nella spazzatura e nel truffare banche, comuni e altri per consegnare oggetti di valore informazione. Il gumshoe e il ladro di documenti d'identità hanno molto in comune; entrambi hanno bisogno di quante più informazioni personali possibili su qualcuno per svolgere il proprio lavoro. La differenza tra allora e adesso è che né io né il ladro di identità abbiamo bisogno di frugare nei bidoni per costruire quel profilo: tutto ciò che serve è un PC, una connessione internet e un po’ di tempo.
Per rivelare quanto sia facile scoprire informazioni personali online, ho iniziato a profilare la mia "vittima". Ho chiesto preventivamente il loro permesso, a condizione che PC Pro non rivelasse alcun dettaglio preciso delle informazioni scoperte. Sebbene il signor X fosse consapevole che avrei tentato di creare un profilo, non aveva idea di come o quando ciò sarebbe avvenuto.
Ho scelto qualcuno che non conoscevo personalmente, ma che era amico di un amico. In questo modo, le uniche informazioni che avevo erano quelle essenziali: nome, luogo e titolo professionale. È possibile creare un profilo utilizzando nient'altro che un nome, ma la verità è che probabilmente non ti nasconderai nulla. Senza qualche tipo di dato identificativo aggiuntivo in primo luogo, non potrai mai essere sicuro che il Derek Smith su cui hai passato ore a indagare sia il Derek Smith a cui sei interessato. Una posizione geografica aiuta davvero a restringere la ricerca, ma un ulteriore fattore identificativo può essere l'autore dell'affare. Tutto ciò che stampa "questo è il mio Derek" saldamente sulla fronte del tuo obiettivo quando iniziano ad arrivare i dati di ricerca.
Dalle piccole ghiande…
Nel caso del signor X, conoscevo il suo nome; che viveva a Londra e che lavorava come ingegnere di rete. Così sono andato su Google, dove una ricerca sul suo nome mi ha portato rapidamente a un account Twitter. Bingo! Non solo aveva un account, ma il signor X era un utente Twitter attivo. Scegliendo di "seguire" il mio target ho potuto vedere i suoi aggiornamenti. Non particolarmente utile per un ladro di documenti d'identità, certo, ma nel giro di un giorno ho scoperto che era "sulla spiaggia in Portogallo" e non sarebbe tornato a casa "per altri tre giorni"; polvere d'oro per un ladro.
Un altro aggiornamento menzionava sua moglie per nome e il fatto che le mancava il loro cane che era nel canile. I nomi degli animali domestici vengono spesso utilizzati come risposte alle domande di promemoria della password e, in effetti, come parte della password stessa. In questo caso, il nome era abbastanza insolito da essere quello di uno dei figli di Bob Geldof, e così divenne immediatamente un successo di "foraggiamento" piuttosto prezioso. Il phoraging è definito da Andrew Horbury, dello specialista di identità digitale VeriSign, semplicemente come il raccolta di dati “da molte diverse fonti online per costruire l'identità di un consumatore da impegnare furto d'identità". Ricorda il frugare nella spazzatura di cui ho parlato prima, ma è molto meno puzzolente. È importante sottolineare che il phoraging è molto più rilevante per la profilazione online ora che i social network sono diventati parte integrante della vita di tutti.
Come ti chiami?
I social network, le reti aziendali – in realtà reti di qualsiasi tipo – sono un terreno di alimentazione essenziale per il costruttore di profili online. Tuttavia, può richiedere molto tempo fare il giro di tutti loro finché non raggiungi uno o due di cui il tuo obiettivo è un membro attivo. È qui che vengono utilizzati strumenti di ricerca dedicati e gratuiti come yoName (www.yoname.com) torna piuttosto utile. Ciò ti consente di effettuare ricerche tra social network e blog con solo un paio di clic e presenta tutti i risultati in schede ordinate organizzate da tali reti. Ci sono voluti esattamente 30 secondi per scoprire che il signor X aveva account su Bebo, Facebook, Flickr, LinkedIn, Twitter, Vox e Yahoo 360.
