All'inizio sembra la classica storia di phishing bancario: un truffatore crea un sito Web che somiglia a quello di una banca, manda una raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella banca e contengono un link al sito del truffatore, e poi aspetta che le vittime che hanno ricevuto quell'SMS e sono per pura coincidenza correntiste di quella banca cadano nella trappola, cliccando sul link, visitando il sito e immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_ ) mi ha mandato un tweet avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il mittente apparente era CartaBCC) e conteneva un messaggio di allarme: "Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax".

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in modo da ingannare, con quel mittente falsificato, e creare ansia all'idea del blocco del conto corrente, il link contenuto nell'SMS era chiaramente sospetto per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non sembra proprio un nome da sito bancario.

Non perderti anche:

Come fanno i truffatori a rubare soldi dai conti correnti?

Insolita tecnica rubapassword: “Browser in the Browser”

Violati i server TIM, password degli utenti a rischio

Il tentato phishing ai danni di Elodie

"Che faccio? Compilo?" mi ha chiesto ironicamente Giulio.

Visitando il link con le opportune precauzioni ho visto che il falso sito bancario era ancora attivo e conteneva la schermata di richiesta credenziali di una nota banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il bello doveva ancora arrivare.

Proposte di lettura:

Facebook, trafugati i dati di oltre mezzo miliardo di utenti

Il phishing BadBlood prende di mira la ricerca medica

Noia da lockdown, il vero rischio cyber del 2021

Smishing, la minaccia arriva via SMS

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le credenziali bancarie dei malcapitati correntisti che non si accorgevano dell'inganno. Avrei dovuto quindi allertare la banca in questione e le autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del truffatore e ne aveva esaminato la struttura, che era pubblicamente accessibile. Aveva notato per esempio il contenuto del file robots.txt, che rivelava che si trattava di un sito che era stato creato con il popolare software WordPress e in realtà apparteneva a un servizio legittimo, nel quale il truffatore si era inserito abusivamente aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un nome di file usato molto frequentemente, che non cito qui per prudenza, e di aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore archiviava i dati immessi dalle vittime.

Articoli suggeriti:

In aumento il phishing che usa il vaccino antiCovid come esca

Vaccini in vendita nel dark web, fino a 1.200 dollari per dose

Studenti e lavoratori in smart working nel mirino dei ransomware

Sms svuota conto corrente: occhio alla truffa

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili: questo genio del male aveva commesso l'errore fondamentale di lasciare pubblicamente accessibile il file nel quale stava man mano registrando le credenziali delle proprie vittime: indirizzo IP, login, nome, password, numero e CVV della carta bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne l'URL per leggerlo tranquillamente con un normale browser: https://pay-stub.com/relax/[nomefile].txt.

Ecco un campione (opportunamente oscurato) del file:

Non perderti anche:

Anno nuovo, nuova versione di DanaBot

Data Privacy Day: 5 consigli per gestire e proteggere i dati

I principali trend per la sicurezza informatica del 2021

Il phishing evolve verso il machine learning

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in fondo al file *.txt è comparsa una riga nuova contenente il mio indirizzo IP e i miei dati.

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non erano al corrente della situazione e sono state giustamente sospettose nel ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho chiesto dati personali ma li ho comunicati io a loro, ossia il contrario di quello che fa un truffatore: ho detto cose del tipo "Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali ed è correntista presso la Banca Cosìecosà e la sua password inizia con queste lettere, tenga presente che la sua password è stata rubata e rinvenuta in un archivio di password trafugante e le conviene cambiarla immediatamente".

Ti raccomandiamo anche:

La tecnologia at-home come gateway all'impresa

Dai botnet al Covid-phishing

Campagna di phishing prende di mira utenti italiani

Nuova frode online sfrutta la funzione di richiesta denaro di PayPal

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e quando le si raggiunge è molto difficile spiegare tutta la situazione. Del resto, se vi telefonasse uno sconosciuto dicendovi le vostre password bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi pomeriggio, insomma) e quindi i dati rubati non sono più reperibili pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori la beffa: a un certo punto molte vittime si sono accorte che si trattava di un tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo praticamente inutilizzabile la raccolta di credenziali iniziata dal truffatore.

Non perderti anche:

FIN11, nuovo gruppo di cybercriminali

Le parole di Internet: smishing

Phishing: accedere sfruttando l'ingegneria sociale

Smishing, i consigli per non cadere nel tranello

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente plausibili insieme a dei nomi utente o password decisamente scurrili, che non posso riferire qui, per far capire al ladro che non si erano fatte ingannare. Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni molto colorite delle attività personali di sua madre e numerosi suggerimenti pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all'inizio del file che conteneva le credenziali c'erano anche i dati delle prove fatte dal ladro, che includevano anche il suo indirizzo IP.

Leggi anche:

Il set di strumenti per lo spionaggio industriale MontysThree

Phishing, la finta mail dell'Oms rivolta agli utenti italiani

4 dipendenti su 5 non intendono abbandonare lo smart working

Attacchi informatici nell'era della pandemia

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare Vodafone. Ho comunicato questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere tutto il necessario per identificare l'aspirante ladro. 

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine come riconoscere i tentativi di inganno.

• Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché possono essere falsificati facilmente. 
• Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si tratta di messaggi di allarme che riguardano conti bancari o spedizioni postali o vincite inaspettate.
• Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti tramite dei messaggini contenenti dei link o chiederà telefonicamente di confermare codici di accesso.

Leggi anche:

Il furto automatico del PIN della carta di credito

Malware e codici QR: smartphone bersagli interessanti, utenti distratti

Immettere credenziali false nei siti dei truffatori serve a ostacolarli?

Chrome, Url troncati per combattere il phishing

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è usare Browserling.com, che vi offre tre minuti di tempo su un computer remoto sacrificabile), potreste provare a visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste a proteggere le vittime nascondendo le loro credenziali vere in una selva di credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti potete segnalarlo a Google presso Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se lo visitano.