Ecco il kit dell'aspirante hacker: phishing fai da te a 100 euro

Nell'era del fai-da-te non potevamo certo farci mancare i kit pronti all'uso per aspiranti hacker. La tecnologia diventa sempre più accessibile e ogni giorno migliaia di persone iniziano a navigare sul web, ignari delle insidie e dei trabocchetti nascosti in quelli che a prima vista sembrano normalissimi siti di e-commerce. Basta un prezzo un po' più basso del normale, qualche immagine ben curata ed ecco che dati finanziari e codici d'accesso finiscono nelle mani sbagliate. È il cosiddetto phishing e il team di ricerca di Check Point Research insieme alla compagnia di cyber intelligence CyberInt hanno scoperto l'esistenza di un kit che permette anche a chi ne capisce poco di hacking di creare il proprio sito web fasullo per ingannare i naviganti. L'ASPIRANTE HACKER Lo strumento pronto all'uso si trova in vendita sul dark net - la parte della rete nascosta ai motori di ricerca e navigabile solo attraverso strumenti specifici, come il browser Tor - a un prezzo che va dai 100 ai 300 dollari. A differenza dei kit più rudimentali, il cui prezzo si aggira sui 50 dollari, quello messo a punto da un utente chiamato [A]pache mette a disposizione dell'aspirante cyber criminale uno strumento facile da settare e utilizzare tramite un'interfaccia molto intuitiva. La trappola per l'utente scatta in falsi annunci per la vendita di prodotti. Il kit, infatti, può essere installato su un web host - ovvero un "fornitore" di spazio web su cui costruire il proprio sito - a cui associare un nome di dominio che spesso richiama quello di siti di e-commerce molto noti in America, come Walmart e Americanas. Il resto, fra cui il tipo di dati richiesti ai malcapitati al momento del pagamento, è configurabile da un semplice pannello di controllo. Sempre da qui è possibile inserire gli annunci falsi: basta cercare il link alla pagina di un prodotto da un sito vero, inserirlo nell'interfaccia amministratore e poi il kit crea automaticamente la pagina del prodotto falso. Poi bisogna, ovviamente, ritoccare il prezzo per renderlo più appetibile rispetto alle migliori offerte dei siti "veri", ma senza esagerare perché c'è il rischio di insospettire gli utenti. SEMBRA UN AFFARE MA È UNA TRUFFA Il risultato è che l'utente si trova davanti a una pagina come tante se ne vedono su siti web affidabili, curata nei minimi dettagli ad esempio con false recensione ed eventuali pacchetti di software da aggiungere al prodotto da comprare, spesso smartphone e tablet di ultima generazione. Il passaggio successivo per le vittime della truffa è quello dell'inserimento dei dati della carta di credito tramite un insospettabile form. Una volta conclusa l'ultima operazione il gioco è fatto: i dati vengono subito inseriti nel database del sito (e la sua carta viene subito prosciugata) e l'utente sfortunato viene reindirizzato su una pagina che lo avvisa che il processo di pagamento è fallito. Dopodiché c'è poco da fare. Il sito viene oscurato o al suo posto si trova una pagina d'errore, per buona pace per l'acquirente che invece dell'affare si è trovato nelle mani il classico "pacco". È proprio nel codice di una pagina di questo tipo che il team di ricerca è riuscito a scovare le tracce del kit per il phishing, nonché il nome dell'utente che l'ha creato. Da lì è stato facile risalire alla vera identità dell'hacker. Alla fine anche i più bravi commettono errori e quelli meno bravi, in cerca di soluzioni facili per truffare qualche navigante distratto, non se la passano certo meglio. Ma prevenire è meglio che curare e per difendersi dal phishing, anche quello tramite email, bastano pochi accorgimenti: massima attenzione all'url, ovvero all'indirizzo internet - deve necessariamente basarsi sul dominio del sito sul quale vogliamo fare acquisti -, non cliccare mai su link sospetti che promettono offerte a prezzi stracciati, cercare di non usare carte di credito ma preferire prepagate da caricare con il giusto importo di volta in volta, e soprattutto installare un buon antivirus e tenerlo sempre aggiornato.