Una storia di phishing bancario diversa dal solito: il ladro beffato



[ZEUS News - www.zeusnews.it - 29-04-2022]

SCAMMER IP

All'inizio sembra la classica storia di phishing bancario: un truffatore crea un sito Web che somiglia a quello di una banca, manda una raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella banca e contengono un link al sito del truffatore, e poi aspetta che le vittime che hanno ricevuto quell'SMS e sono per pura coincidenza correntiste di quella banca cadano nella trappola, cliccando sul link, visitando il sito e immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_ ) mi ha mandato un tweet avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il mittente apparente era CartaBCC) e conteneva un messaggio di allarme: "Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax".

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in modo da ingannare, con quel mittente falsificato, e creare ansia all'idea del blocco del conto corrente, il link contenuto nell'SMS era chiaramente sospetto per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non sembra proprio un nome da sito bancario.

"Che faccio? Compilo?" mi ha chiesto ironicamente Giulio.

Visitando il link con le opportune precauzioni ho visto che il falso sito bancario era ancora attivo e conteneva la schermata di richiesta credenziali di una nota banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le credenziali bancarie dei malcapitati correntisti che non si accorgevano dell'inganno. Avrei dovuto quindi allertare la banca in questione e le autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del truffatore e ne aveva esaminato la struttura, che era pubblicamente accessibile. Aveva notato per esempio il contenuto del file robots.txt, che rivelava che si trattava di un sito che era stato creato con il popolare software WordPress e in realtà apparteneva a un servizio legittimo, nel quale il truffatore si era inserito abusivamente aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un nome di file usato molto frequentemente, che non cito qui per prudenza, e di aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili: questo genio del male aveva commesso l'errore fondamentale di lasciare pubblicamente accessibile il file nel quale stava man mano registrando le credenziali delle proprie vittime: indirizzo IP, login, nome, password, numero e CVV della carta bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne l'URL per leggerlo tranquillamente con un normale browser: https://pay-stub.com/relax/[nomefile].txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in fondo al file *.txt è comparsa una riga nuova contenente il mio indirizzo IP e i miei dati.

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non erano al corrente della situazione e sono state giustamente sospettose nel ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho chiesto dati personali ma li ho comunicati io a loro, ossia il contrario di quello che fa un truffatore: ho detto cose del tipo "Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali ed è correntista presso la Banca Cosìecosà e la sua password inizia con queste lettere, tenga presente che la sua password è stata rubata e rinvenuta in un archivio di password trafugante e le conviene cambiarla immediatamente".

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e quando le si raggiunge è molto difficile spiegare tutta la situazione. Del resto, se vi telefonasse uno sconosciuto dicendovi le vostre password bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi pomeriggio, insomma) e quindi i dati rubati non sono più reperibili pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori la beffa: a un certo punto molte vittime si sono accorte che si trattava di un tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo praticamente inutilizzabile la raccolta di credenziali iniziata dal truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente plausibili insieme a dei nomi utente o password decisamente scurrili, che non posso riferire qui, per far capire al ladro che non si erano fatte ingannare. Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni molto colorite delle attività personali di sua madre e numerosi suggerimenti pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all'inizio del file che conteneva le credenziali c'erano anche i dati delle prove fatte dal ladro, che includevano anche il suo indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare Vodafone. Ho comunicato questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere tutto il necessario per identificare l'aspirante ladro. 

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine come riconoscere i tentativi di inganno.

  • Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché possono essere falsificati facilmente. 
  • Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si tratta di messaggi di allarme che riguardano conti bancari o spedizioni postali o vincite inaspettate.
  • Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti tramite dei messaggini contenenti dei link o chiederà telefonicamente di confermare codici di accesso.

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è usare Browserling.com, che vi offre tre minuti di tempo su un computer remoto sacrificabile), potreste provare a visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste a proteggere le vittime nascondendo le loro credenziali vere in una selva di credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti potete segnalarlo a Google presso Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se lo visitano.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Truffatori speculano sulle app di tracciamento anti-pandemia
Ccleaner Browser, navigare in sicurezza secondo Avast
Star Wars, occhio ai siti che offrono streaming ma rubano la carta di credito
174 Comuni attaccati da ransomware, riscatti fino a 5 milioni
Phishing e truffe, il pericolo arriva dalle notifiche

Commenti all'articolo (ultimi 5 di 11)

Decisamente un criminale informatico alle prime armi direi... non proprio un genio del male come ironicamente definito da Paolo. Leggi tutto
7-5-2022 14:40

Finora ho resistito. Ho intercettato diversi tentativi di SQL injection e provveduto ad aggiungere al software verifiche e blocchi che li impedissero. Ho scoperto che stavano tentando di usare una libreria free che avevo incorporato per alcune funzioni ed ho aggiornato anche quello. Però non so cosa faccia e come operi questo SQLmap e... Leggi tutto
7-5-2022 12:48

Purtroppo in genere questo indica che un buco c'è :? (intendo - quando ho iniziato a interessarmi di sicurezza la prima cosa che ho fatto è bucare tutto il software che avevo scritto prima... purtroppo senza troppa difficoltà, pur non essendo comunque un dilettante della programmazione quando il codice era stato scritto) Leggi tutto
6-5-2022 12:16

{Francesco}
Si, sempre lo stesso IP: strano vero? Forse un ragazzino ha caccia di fama... Quanto al software è tutto scritto da me. Non sono un dilettante ma nemmeno un esperto di sicurezza e per quanto mi fidi abbastanza delle protezioni che nel tempo ho sviluppato, il timore di un qualche buco non previsto c'è sempre
5-5-2022 23:14

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto dura in media la batteria del tuo smartphone?
Mezza giornata, talvolta meno
Da mattina a sera
24 ore
Un giorno e mezzo
Un paio di giorni
Tre giorni
Quattro o cinque giorni
Una settimana
Di più

Mostra i risultati (4045 voti)
Dicembre 2022
L'app open source per vedere YouTube senza seccature
Novembre 2022
L'app per scaricare l'intera Wikipedia (e non solo)
La scorciatoia che sblocca Windows
Amazon Drive chiude i battenti
Le cinque migliori alternative a Z Library
Il visore VR che uccide i giocatori quando perdono
Gli Stati Uniti oscurano Z Library
Vodafone, sottratti oltre 300 GB di dati degli utenti
Pochi o tanti, ma contanti
Ottobre 2022
Chrome si prepara ad abbandonare i Windows ''vecchi''
iPhone 14, nessuno lo vuole?
Windows 11, in arrivo il primo "Momento"
TikTok, arrivano i contenuti per soli adulti
Addio Office, benvenuta Microsoft 365
La truffa del cosmonauta bloccato nello spazio
Tutti gli Arretrati
Accadde oggi - 4 dicembre


web metrics