VoIP and Hacking

Mi sono occupato in passato di phishing, una insidia che dovrebbe essere ormai ben nota, specialmente nelle sue forme più rozze, alla stragrande maggioranza degli utenti di Internet.

Ricapitolando brevemente, il phishing è una attività illegale, praticata con l’ausilio di tecniche sempre più sofisticate di ingegneria sociale, allo scopo di ottenere l’accesso a informazioni personali o riservate, e con l’obiettivo di attuare un qualche tipo di sostituzione di identità.

Rientrano in questa tipologia tutti quei tentativi di convincere la vittima, spesso tramite comunicazioni fasulle da parte dei più diversi istituti di credito, a rivelare i dati personali necessari per l’accesso al proprio conto corrente bancario on-line, raggiungibile direttamente tramite un link che sembra puntare all’autentico sito istituzionale, ma che in realtà punta ad un clone, più o meno credibile, dell’originale.

Come è ovvio, le tecniche utilizzate per impadronirsi dei dati di cui sopra si sono nel tempo evolute, e con ogni probabilità continueranno a farlo.
Una tecnica più moderna consiste nella installazione e attivazione di applicativi di keylogging sul computer vittima, anche qui spesso tramite varie manovre di ingegneria sociale, ma sovente anche tramite infezioni di virus e worm avvenute sfruttando vulnerabilità, vecchie e nuove, a carico dei sistemi operativi e/o programmi applicativi più diffusi.
In questo caso, gli ignari utenti possono accedere al sito originale, non necessariamente a un’imitazione, ma la cattura delle credenziali di accesso avviene al momento del loro stesso inserimento da tastiera.
Qualunque sia la tecnica utilizzata, il risultato è comunque quello di permettere ai truffatori l’accesso al conto corrente della vittima di turno.

A questo punto i truffatori si trovano a risolvere un problema non indifferente, cioè quello di incassare materialmente le somme divenute disponibili, essendo troppo pericoloso effettuare direttamente dei bonifici, inoltre lento e sospetto nel caso in cui si tratti di bonifici internazionali, sui propri conti correnti.
Uno dei metodi attualmente più usati ed efficaci consiste nell’abbindolare qualcuno per convincerlo fare al il lavoro rischioso (oserei dire kamikaze) al posto loro.

La truffa ha quindi due tipi distinti di vittime, i truffati di tipo A, cui sono stati sottratti gli estremi di accesso al proprio conto online e sono quindi gli originali derubati, e quelli di tipo B, che avendo fatto da intermediari, pagano tutte le responsabilità della truffa, che riesce quasi sempre a lasciare i veri truffatori felicemente impuniti.

In genere viene offerto al truffato di tipo B un lavoro che richiede poco tempo, alcune conoscenze di base, e che viene subito presentato come ben retribuito (ovviamente per aumentare le probabilità di una risposta). A chi risponde dicendo di essere interessato si spiega che l’attività consiste nel ricevere bonifici sul proprio conto corrente, prelevare i contanti e spedirli, tipicamente via MoneyGram, Western Union o servizi simili a un fantomatico tizio di Mosca o San Pietroburgo (per esempio).

Nel caso in cui l’offerta venga accettata, il truffato di tipo B dovrà fornire le proprie coordinate bancarie ai truffatori.

I truffatori accedendo quindi online al conto corrente del truffato di tipo A, effettuano un bonifico al truffato di tipo B. Quest’ultimo preleva i soldi (in genere gli viene concesso di trattenerne una quota tipo il 10%, come compenso) e li manda via Western Union o similia al tizio di cui sopra.

A questo punto é solo questione di tempo, prima o poi il truffato di tipo A si accorge della presenza di ammanchi inspiegabili di denaro dal suo conto. Supponiamo che facendo un semplice controllo scopra ad esempio che é stato fatto un bonifico di cui non riconosce il motivo.
Segnala la cosa alla sua banca e parte la denuncia. Il destinatario del bonifico, ovvero il truffato di tipo B viene subito rintracciato dalla polizia postale, il suo conto bloccato per le indagini, mentre lui viene incriminato per reati che possono essere truffa, riciclaggio, e nel peggiore dei casi, associazione a delinquere, in base agli elementi di indagine raccolti. Probabilmente verrebbe sequestrato anche il o i pc in suo possesso, alla ricerca delle sue reali responsabilità.
Il truffato  di tipo B, anche per alleggerire la propria posizione, è tenuto poi a dover restituire la cifra sottratta al truffato di tipo A, e dato che ha spedito il 90% dei soldi ai truffatori, è già una bella batosta economica. Deve poi essere in grado di dimostrare di essere stato truffato egli stesso, e di non essere quindi parte attiva nella truffa. Questo dipende ovviamente dalle specifiche circostanze e dalla abilità dei suoi legali e dei loro consulenti. E anche questo ha ovviamente un costo.
Molto spesso, tutto quello che è oggettivamente ottenibile in tal senso è solo una riduzione del danno.

Piccola analisi di un caso reale

Prendiamo la seguente email di esempio.

Vi salutiamo
Sono Cora del negozio di gioielli leader,
stiamo cercando impiegati per lavoro su mezza giornata, per il ruolo di segretario.

Non c’e bisogno di conoscenze o abilita particolari, e un semplice lavoro amministrativo.
le prime tre settimane e il periodo di prova, il lavoro occupera circa un’ora e mezzo alla settimana.
Basandosi sui risultati, paghiamo ogni settimana incentivi in contanti.
La formazione e veloce e gratis, e sempre disponibile il Suo individuale Istruttore.
Sara mio piacere rispondere a tutte le Sue domande personalmente : Cora@cet-west.com

Cordiali saluti,,
Cora

Una email simile corrisponde proprio al metodo descritto in precedenza per abbindolare le vittime del tipo B.
All’origine della truffa vi è stavolta una persona reale e non un nome fittizio, il signor Maksim Rodkin, uno spammer che si dichiara software engineer Citrix e MS sul proprio profilo Linkedin (http://ru.linkedin.com/pub/rodkin-maksim/15/256/7A5), ed è titolare del blog maximrodkin.blogspot.com.
Egli utilizza sempre gli stessi riferimenti per registrare i propri domini trappola (cet-west.com, 24watch-es.com, western-gold.net, golden-rich-it.com, kilipolozarak.com, international-ca.com, it-euro-shop.com, it-west-next.com, es-streams.net, international-ca.com, lavoro-it.org, goldes-it.com, shop-euronet.net, tr-euro.com, international-es.com, es-euro-shop.com, es-shopper.com, watch-euro.com, tr-euro.com, west-nets.net, webseuro.com) .

Ad esempio, per quanto riguarda il dominio cet-west.com, i riferimenti sono i seguenti:

# whois -h whois.regtime.net cet-west.com
% Regtime Ltd. WHOIS server

Domain name: cet-west.com

Name servers:
ns1.nameself.com
ns2.nameself.com

Registrar: Regtime Ltd.
Creation date: 2010-02-22
Expiration date: 2011-02-22
Status: active

Registrant:
Maksim Rodkin
Email: roddsn@post.com
Organization: Private person
Address: Miichurinskij prospekt, d.10-2, kv. 144
City: Moskva
State: Moskovskaya
ZIP: 178234
Country: RU
Phone: +7.4956783214
Administrative Contact:
[idem]
Technical Contact:
[idem]
Billing Contact:
[idem]

Ecco infatti un clone della e-mail precedente, provenienete però stavolta dal dominio western-gold.net, facente parte della variegata galassia con cui mister Max Rodkin cerca di arrotondare il proprio stipendio di software engineer:

Salve
Sono Eric del negozio di gioielli leader,
stiamo cercando dipendenti per lavoro part time, per il ruolo di consulente.

Non c’e bisogno di conoscenze o abilita particolari, e un semplice lavoro amministrativo.
le prime tre settimane e il periodo di prova, il lavoro occupera 1 ora al giorno.
Basandosi sui risultati, paghiamo ogni giorno contanti.
La formazione e durante il lavoro, e sempre disponibile il Suo personale Istruttore.
Siamo disponibili per qualsiasi Sua domanda : Eric@western-gold.net

In attesa di un Suo riscontro,,
Eric

Il titolare del dominio è ancora il nostro intraprendente signor Rodkin:

Domain name: western-gold.net

Name servers:
ns1.nameself.com
ns2.nameself.com

Registrar: Regtime Ltd.
Creation date: 2010-02-22
Expiration date: 2011-02-22
Status: active

Registrant:
Maksim Rodkin
Email: roddsn@post.com
Organization: Private person
Address: Miichurinskij prospekt, d.10-2, kv. 144
City: Moskva
State: Moskovskaya
ZIP: 178234
Country: RU
Phone: +7.4956783214
Administrative Contact:
[idem]
Technical Contact:
[idem]
Billing Contact:
[idem]

Per farla breve l’indirizzo roddsn@post.com risulta presente come contact nei record whois di oltre 20 domini.

Una rappresentazione grafica parziale ma piuttosto descrittiva dell’organizzazione di Rodkin è rappresentata dal grafico seguente.

Molti dei domini sono ospitati sulla stessa macchina (situata fisicamente in territorio Russo) all’indirizzo 193.104.94.57.
Alcuni di essi risultano intestati direttamente a lui, nello stile visto sopra, tutti gli altri risultano registrati dal medesimo registrar cinese (piuttosto omertoso nel fornire informazioni), ma sono accomunabili in quanto anch’essi origine del medesimo tipo di spam.
I loro nameservers autoritativi sono tuttavia pure essi ospitati all’indirizzo 193.104.94.57, e sono quindi domini virtuali, tranne cet-west.com.

Gli accounts di posta individuati (e destinati a ricevere le risposte di coloro che abboccano alla truffa) sono numerosi, ma devono per forza essere raggiungibili. Il motivo per cui ne pubblico qui l’elenco è la speranza che trattandosi di un documento indicizzabile dai motori di ricerca, cada presto preda di altri spammer, con l’intenzione di rendere il lavoro del signor Rodkin quantomeno più stressante.
Considerato che le eventuali email di risposta da parte delle vittime dovranno essere necessariamente esaminate manualmente, dovrebbe passare un po’ di tempo a fare pulizia nelle proprie caselle di posta, di cui gli indirizzi in elenco costituiscono ovviamente degli alias.

Scorrendo la lista si scoprono molti indirizzi piuttosto improbabili o ridicoli come:

Arnulfo@western-gold.net
Zenaide@golden-rich-it.com
Devota@golden-rich-it.com
Saffo@golden-rich-it.com
Icaro@golden-rich-it.com
Venustiano@golden-rich-it.com

Conclusioni

L’aspetto vincente di queste truffe rimane quello finanziario, visto che il misfatto viene scoperto quando è già stato consumato.
Quello che risulta frustrante è anche il fatto che i responsabili rimangano facilmente impuniti. Troppo costoso il ricorso a rogatorie internazionali per singoli episodi apparentemente scollegati e riguardanti cifre di poche migliaia di euro ciascuno.
L’intelligenza truffaldina di personaggi come il signor Rodkin risulta comunque modesta, dato che bisogna essere un po’ stupidi per non realizzare che molte potenziali vittime si trattengono dall’abboccare proprio perché si ritrovano bombardate da offerte molto simili fra loro.
Tuttavia la madre degli stupidi è sempre incinta, e durante il breve tempo che mi ha preso questa piccola analisi mi è capitato già diverse volte di reperire online ammissioni da parte di persone cadute in trappola.