Difficile non aver sentito parlare di Social network negli ultimi tempi. Perfino telegiornali e quotidiani ne stanno parlando. Il fenomeno Facebook è esploso: oltre 100 milioni di iscritti totali e circa due milioni e mezzo italiani. Tra i numeri bisogna intravedere anche account doppioni o abbandonati, ma restano comunque numeri di tutto riguardo. Bello rimanere in contatto con gli amici, sempre, in ogni momento. Bello poter contattare amici ora lontani con un solo click.

Un dipendente di una compagnia telefonica Australiana di 21 anni chiama in ufficio per annunciare la sua indisposizione non prima di aver scritto sul proprio profilo di Facebook: “Kyle Doyle is not going to work, fuc* it i’m still trashed. SICKIE WOO!” (ndr. Kyle Doylenon andrà al lavoro… Sono ancora devastato. VIVA LA MALATTIA!”). Per sua sfortuna, il suo capo letta la frase dal feed dei contatti di Facebook, non ha fatto altro che chiedergli il certificato per giustificare l’assenza. Ammesso che sia una bufala è così lontano da essere reale?

Andrea Feick e Hannah Emerson, due studentesse sconosciute ma con la passione per Facebook, lo scorso mese, sono state in compagnia di Bono degli U2 in Costa Azzurra. Le due ragazze, aspiranti modelle, hanno inserito le foto della gita su Facebook: dopo il Nikki Beach Bar la compagnia si è spostata sul “Cyan”, lo yacht da 12 milioni di sterline di proprietà del chitarrista degli U2, The Edge per finire all’Oxybar di Saint Tropez. Il tutto per vantarsene con la piccola cerchia di amici, se non era per l’iscrizione di Andrea Feick al gruppo geografico di New York. Circa un milione di persone che possono accedere al suo profilo e alle sue fotografie. Non credo che la moglie di Bono sia così entusiasta delle fotografie viste sul Daily Mail.

Sicuri del numero di amici che avete e di chi siano realmente?
Per non parlare poi delle vulnerabilità dell’applicazione del social network stesso.

Su Effetto Sabato (Rai Uno), sabato pomeriggio, è stato trasmesso un servizio sulla capacità, per un essere umano, di memorizzare informazioni. E’ intervenuto a tal proposito il professore Roberto Vacca ingegnere, scrittore e divulgatore scientifico italiano.

Discutendo con Elisa Isoardi, Roberto Vacca ha portato un esempio pratico a testimonianza delle proprie teorie e ha dichiarato :

Tutti i numeri sono come degli amici.
Quando mi hanno dato il PIN del Bancomat, mi hanno detto: lo tenga da parte e non lo perda.
Io L’ho guardato, l’ho preso e l’ho buttato. L’impiegata: come fa adesso a ricordarsela?
E’ una potenza del 2!

Roberto Vacca ha tranquillizzato la conduttrice preoccupata per l’integrità del PIN con:

Non si preoccupi…le potenze del 2 sono infinite!

Le potenze del 2 sono infinite, ma il codice PIN dei Bancomat, in Italia, è sempre di 5 cifre.
Avendo sottomano una tabella con le prime potenze del 2, si può vedere come solamente 3 di esse sono formate da 5 cifre: 16384, 32768 e 65536.

Se la fortuna non è dalla nostra parte saremmo comunque in grado di trovare il PIN giusto: lo sportello ATM ritira la tessera magnetica solamente dopo il terzo tentativo errato.

Per i malpensanti: possibile che tra 1.276.000 spettatori stimati (dati Auditel) abbia notato solamente io questa informazione? Sicuri che tra le altre persone che lo hanno notato non vi sia nessuno che ci tiene a non farlo sapere?

Ho contattato il prof. Roberto Vacca in merito all’accaduto: una persona veramente disponibile e gentile!
Come era ovvio pensare il professore si rendeva ben conto di ciò che stava dicendo: il PIN è stato sostituito un anno or sono.

E’ importante valutare il valore delle informazioni che ogni giorno forniamo. Non è detto che ciò che per noi è insignificante lo sia anche per il nostro interlocutore!

Ringrazio Davide Maggio per la registrazione della trasmissione.

Premetto subito che la notizia non è nuova, credo però, che sia degna di nota.

Un gruppo che si fa chiamare Mr-Brain ha rilasciato dei tool, scritti in PHP, utili a chi vuole cimentarsi in truffe a mezzo phishing. Il sito Web del gruppo offre versioni diverse degli script in base al servizio da “impersonare”: eBay, PayPal, Bank of America, ecc..

I tool sono stati scritti in modo da permetterne l’uso a chi di PHP non ne sa niente: è necessario solamente inserire la propria e-mail per ricevere i dati sensibili inseriti da ogni vittima.

I tool-kit possono essere scaricati senza sborsare denaro. Quest’ultima caratteristica e l’immediatezza d’uso hanno permesso una larga diffusione nel mondo di phisher in erba, tanto che ne erano già state individuate tracce all’inizio dell’anno.

Chi pensa che i ragazzi di Mr-Brain hanno rilasciato questi script solo per la gloria o per il gusto di sapere che verranno usati per colpire utenti non molto smaliziati sbaglia di grosso. L’idea, simpatica, degli autori è quella di prendersi un equo compenso da ogni copia usata un po come fa la cara e vecchia SIAE.

Questa è la parte di codice che si occupa della raccolta di tutti i dati inseriti dalla vittima per poi inviarli via mail:

Notate niente di strano?

La funzione mail() è ripetuta due volte utilizzando due nomi variabili diversi, anche se solo per la prima lettera.
Il valore della prima variabile, quella con la “s” minuscola è definibile dal phiser, mentre il valore della seconda variabile, quella con la “S” maiuscola, è settato tramite un campo del form di raccolta dati. il valore di tale campo è stato offuscato codificandolo in base64:

<input type=”hidden” name=”Send” value=”<?=base64_decode(”TXItQnJhaW5ARXZpbC1CcmFpbi5OZXQ=”);?>”>

In questo modo, i dati della vittima, oltre ad essere inoltrati a chi ha personalizzato lo script con la propria e-mail, verranno sempre inviati anche a un indirizzo di proprietà del gruppo Mr-Brain.
Che dire? Forse l’esperienza conta sempre.

Stavo dando un occhiata alla cartella dello spam sul client di posta quando una e-mail attira la mia attenzione:

From: “Glover, Erica” <Spivey6Z@powerplantsystems.com>
To: [random_name]@gmail.com
Date: Sun, 08 Jul 2007 23:39:17 -0500
Subject: Refiance Approval. Sun, 08 Jul 2007 23:39:17 -0500

L’intestazione di per se non ha niente di particolare, è il corpo ad avermi incuriosito:

Please complete your application Sun, 08 Jul 2007 23:39:17 -0500

Tired of paying high interest rates?

Refinaance us lowest rate.

http://www.google.com/search?hl=en&q=easyratemortage+100%+mortgage+refinance&btnI=04Yi9N5jkF

“Absence and death are the same - only that in death there is no suffering.” Theodore Roosevel

La mail non contiene nessuna allegato, la cosa interessante però è il link proposto al destinatario, il quale potrebbe indurre quest’ultimo a fidarsi vedendo il nome di Google.

I furbetti di turno hanno prima fatto indicizzare da Google il sito Web che ospita le pagine di spam, dopodichè hanno individuato quali keywords proponevano, nella lista dei risultati del motore di ricerca, come primo risultato il sito in questione. A questo punto hanno creato una URL che restituisse un codice HTTP (302) di redirect verso il sito di spam servendosi della funzione “Mi sento fortunato” (o nella sua versione inglese “I’m Feeling Lucky”).
Analizzando l’URL si nota il parametro “btnI”, utilizzato da Google proprio per identificare una ricerca di tipo “Mi sento fortunato”. Piccola nota: il parametro può essere valorizza a piacimento.

Confrontando alcune e-mail sono arrivato alla conclusione che in ciascuna viene modificato il soggetto, la parte finale del corpo e il valore del parametro “btnI” dell’URL.

Dopo le precendeti segnalazioni il phishing su Poste Italiane non si è fermato, anzi si è fatto ancora più insistente.

Di recente è cambiata l’impaginazione delle e-mail, alcune con un italiano alquanto ostentato, altre invece sono state confezionate veramente bene.

Ecco alcune esempi:

From: “Poste Italiane” <account@poste.it>
Reply-To: “Poste Italiane” <account@poste.it>
To: xxxxxx@xxxxxx.xxx
Subject: Autenticazione di cliente richiesta

Caro Poste Italiane cliente ,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto è stato scelto a caso per questa manutenzione, e lei sarà adesso portato attraverso una serie di pagine di verifica di identità.
[...]
Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto è fraudolento e sarà sospeso. Lo scopo di questa verifica è assicurare che il suo conto non è stato fraudolentamente usato e combattere la frode dalla nostra comunità.

From: “Poste Italiane” <staff@poste.it>
Subject: Aggiorna i tuoi dati
To: undisclosed-recipients:;

Caro cliente Poste.it,

Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it » Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

To: xxxxxx@xxxx.xxx
Subject: Aggiorna i tuoi dati
From: “Poste Italiane” <staff@poste.it>

Caro cliente Poste.it ,
Il Servizio Tecnico di Poste Italia sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che trover alla fine di questo messaggio

Accedi a Poste.it Acc! edi ai servizi online di Poste.it e verifichi il suo account
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit provveder immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it

Reply-To: <staff@poste.it>
From: “Poste Italiane” <staff@poste.it>
Subject: Il tuo conto di PostePay sara chiuso oggi
To: undisclosed-recipients:;

Il vostro conto sara chiuso perche non lo avete utilizzato nel mese passato.
Se volete annullare la chiusura, dovete verificare le vostre informazioni di utente

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifica i tuoi dati per continuare usare i nostri servizi!

Dopo che hai verificato i dati riceverai un email di conferma tra 24 ore.

To: xxxxxxxxx@xxxxxxx.xxx
Subject: Communicazione!
From: Poste Italiane <support@poste.it>
Reply-To:

Gentile Cliente,
Abbiamo ricevuto una segnalazione di accredito di Euro 129 ricevuta il giorno 24/4/2007 da UFFICIO POSTALE 13.55 BRANDIZZO. L’accredito è stato temporaneamente bloccato a causa delle fascie orarie, potrà ora essere verificato e successivamente accreditato sul suo conto postale:

Accedi a Poste.it » Acceda al servizio accrediti di Poste.it e verifichi le sue transazioni »

Seguono alcuni URL utilizzati per ospitare le pagine di phishing (httx e l’underscore dopo il dominio o l’ip sono stati aggiunti per sicurezza):

• httx://www.larimer.org_/store/red.html
• httx://71-246.lerstenen.t3.se_/.bancoposta/index.htm
• httx://web2.sbinet.com_/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm
• httx://216.84.195.93_/www.poste.it/online/bancopostaonline.poste.it/formslogin.htm
• httx://pponline.altervista.org_/priv/bpol/cartepr/index.htm
• http://www.aquitania.co.uk_/gallery/albums/300d1/www.poste.it/formslogin.htm

Analizzando le intestazioni delle e-mail si capisce come esse siano state inviate tramite script ospitati su account, presumibilmente compromessi, e tramite worm che sfruttano il terminale dell’ignara vittima per connettersi a server smtp esteri.