Luca Annunziata

Phisher contro phisher

Difficile il mondo dei truffatori online. Si rischia sempre di fare brutti incontri. Oppure di venire raggirati da qualcuno ancora pių perfido

Roma - Un sito per scaricare kit "tutto compreso", per iniziare la propria attività di furfanti del web: ma che riserva una sorpresa. Nel codice destinato a catturare le password di accesso bancario di sprovveduti navigatori, si nasconde un trucco in grado di raddoppiare i problemi dei truffati. Inviando i loro dati non ad uno, ma a due cattivoni.

Il servizio di phishing-on-demand l'ha lanciato un sito noto come Mr-Brain. Sulle sue pagine sono presenti diverse varietà di script PHP, ideali per tentare l'assalto combinato ai dati personali dei netizen via spam e siti clone. C'è un pacchetto per ogni occasione: Bank of America, PayPal, eBay, tutti possono venire trasformati in una fonte quasi inesauribile di informazioni personali.

La parte più complicata, la scrittura del codice, non è un problema per gli aspiranti truffatori: i pacchetti richiedono una capacità di programmazione davvero minima, e possono venire installati su qualsiasi piattaforma di hosting dotata di PHP. Allo sciagurato malintenzionato basta praticamente solo inserire la propria email e comprare qualche tonnellata di posta spazzatura, per vedere iniziare ad arrivare password su password.
"Peccato" che non sia il solo a riceverle: nascosto tra gli altri file, uno in particolare contiene un paio di righe codificate che mascherano una funzionalità non documentata. Per ogni vittima, per ogni pesce catturato nella rete, lo script invia i dati raccolti non ad un solo indirizzo, ma a due. Il secondo, nascosto nei bit cifrati, è quello dell'autore del malware.

Insomma, gli inventori di Mr-Brain hanno scoperto la gallina dalle uova d'oro: la parte più lunga e noiosa della truffa, vale a dire la messa in cantiere dei siti truffa e la spedizione della spam per inseguire le potenziali vittime, viene demandata a cattivoni alle prime armi in cerca di guadagno facile.

Quelli di Mr-Brain devono solo aspettare. Numeri di carte di credito, numeri di previdenza sociale, nomi, cognomi, magari le password di accesso ad un conto bancario, tutto finirà automaticamente nella loro casella di posta: un bel modo per massimizzare i guadagni, riducendo fatica e rischi. Č proprio vero, non c'è onore tra i ladri.

Luca Annunziata
16 Commenti alla Notizia Phisher contro phisher
Ordina
  • Qualcuno ha il codice? non me ne frega na mazza del phinsing del pissing e di tutto il resto

    Codificare funzioni via bit in php? son curioso su quello dato che il php non e' compilato.... come puoi nascondere nel sorgente?



    ah negli anni 90 durante impazzivano i fiolacci che facevano le "irc war" erano tutti con winzzozz 98, se ti chiedevano un exploit dovevi sempre dargli un nuke (un arnese che causava un BSOD era facilissimo su quel "sistema") e il tipo non se ne accorgeva MAI
    non+autenticato
  • semplicemente con funzioni su stringhe.. qualcosa come:
    decode("asdsdsa87x987fds87df98g7d8f97gdf98")
    non+autenticato
  • - Scritto da: MeMedesimo
    > Qualcuno ha il codice? non me ne frega na mazza
    > del phinsing del pissing e di tutto il
    > resto
    >
    > Codificare funzioni via bit in php? son curioso
    > su quello dato che il php non e' compilato....
    > come puoi nascondere nel
    > sorgente

    http://en.wikipedia.org/wiki/Obfuscated_code
    non+autenticato
  • ...è che non esista ancora una legislazione ed una organizzazione internazionale efficace per spaccare il c...lo a questa gentaglia.
    Internet deve molta della diffidenza della gente comune a questi bastardi.
    E' visto come un posto intrinsecamente insicuro dove appena ti muovi c'è qualcuno, da qualche parte del mondo, invisibile, inafferrabile, pronto a fotterti.
    Sono solo disonesti e bastardi. Niente di ingegnoso c'è in questa gente. Sono solo poveri di spirito che rubano ed inquinano internet. Da hacker, mi fanno schifo.
    non+autenticato
  • - Scritto da: Krik&krok
    > Sono solo disonesti e bastardi. Niente di
    > ingegnoso c'è in questa gente. Sono solo poveri
    > di spirito che rubano ed inquinano internet. Da
    > hacker, mi fanno
    > schifo

    Tra l'altro sono proprio agli antipodi della mentalita' hacker, anche di quella del "blackhat".

    L'hacker anche inteso nel senso "blackhat" del termine e' uno che anche quando agisce in modo illegale lo fa cercando la sfida intellettuale. Non si metterebbe certo a cercare di approfittare degli utenti piu' ingenui o ignoranti.
    non+autenticato
  • - Scritto da: Krik&krok
    > ...è che non esista ancora una legislazione ed
    > una organizzazione internazionale efficace per
    > spaccare il c...lo a questa
    > gentaglia.
    > Internet deve molta della diffidenza della gente
    > comune a questi
    > bastardi.
    > E' visto come un posto intrinsecamente insicuro
    > dove appena ti muovi c'è qualcuno, da qualche
    > parte del mondo, invisibile, inafferrabile,
    > pronto a
    > fotterti.
    > Sono solo disonesti e bastardi. Niente di
    > ingegnoso c'è in questa gente. Sono solo poveri
    > di spirito che rubano ed inquinano internet. Da
    > hacker, mi fanno
    > schifo.

    io a mio padre (per dire una qualsiasi persona che non ha manco una esatta idea di cosa sia internet) dico che le truffe esistono anche altrove, e che il phishing equivale più o meno alla vecchietta che apre laporta di casa ai finti addetti alla lettura del contatore.
    La differenza è che davanti alle difficoltà a capire la tecnologia (sacrosante per persone meno giovani, per quanto molte siano poi in realtà solo pigre) si da allatecnologia la colpa della propria ingenuità.

    Ad ogni modo la pessima fama di internet tra lepersone che non la bazzicano si deve solo ai media, per non parlare dei film =)
  • Ma dove e' finita l'etica del 'non rubare ai ladri' ?...
    non+autenticato
  • la regola che tu descrivi ormai non esiste più da tempo, prima chi "lavorava" da ladro lo faceva con maestria e divertimento, i delinquenti di oggi invece o sono gente che non ha nulla da fare oppure c'è chi lo fa per sopravvivere.
    I ladri non sono più quelli di una volta.
  • - Scritto da: amedeo
    > Ma dove e' finita l'etica del 'non rubare ai
    > ladri'
    > ?...


    hai mai visto infatti qualcuno che ruba adun politico? =)

    :D
  • - Scritto da: Ethan
    > Ingegnoso, bravo

    Beh bravissimo eh... evviva i criminali, loro si' che sono furbi... ma per favore...
    non+autenticato
  • - Scritto da: ma per favore
    > - Scritto da: Ethan
    > > Ingegnoso, bravo
    >
    > Beh bravissimo eh... evviva i criminali, loro si'
    > che sono furbi... ma per
    > favore...

    guada giusto ieri ho visto scarface e se guardi un qualunque video hip hop vedrai che ormai le malefatte sono considerate "cool".

    evidentemente la gente il cervello non ha + bisogno di accenderlo.
    non+autenticato
  • a me pare più ingegnosa l'idea di realizzare un kit per phishing da rivendere; l'idea di autoinviarsi i dati raccolti mi sembra praticamente consequenziale, sempre nell'àmbito delle idee truffaldine, s'intende..
  • giusto ma la cosa davvero geniale sarebbe quella di comprare un kit (con backdoor e non) e rivenderlo come mio! Naturalmente non lo installo nel mio pc e magari quel pacchetto con backdoor gli cambio l'indirizzo e-mail con il mio e vualà! Che doppiogiochista...
  • Ti scarichi tutti i kit via p2p, poi metti in piedi un sito e fai concorrenza a questi dell'articolo (cambiando la mail ovvio!).
    Voglio proprio vedere se ti fanno causa per violazione del diritto d'autore >D
    non+autenticato
  • purtroppo siamo in Italia e se il creatore del kit verrebbe condannato credoche dopo aver scontato la pena, dovresti veramente dargli i diritti. e naturalmente dovresti pagarlo per lametà dei suoi danni, è un po come se vi divideste la pena, quindi se venite beccati contemporaneamente scontate metà pena ciascuno.

    P.S. naturalmente questo lo credo io non so veramente la legge italiana se è più precisa.