skip to main | skip to sidebar
71 commenti

Social engineering EPIC FAIL

Cercano di rubare i dati personali per telefono. A Kevin Mitnick


Dal Twitter di Kevin Mitnick di pochi minuti fa (se non sapete chi è, sappiatelo):

"Una rimbambita chiama da Skype il mio cellulare e finge di essere una che emette carte di credito e me ne offre una"
"Ha insistito sulla mia data di nascita per DIMOSTRARE che ho almeno 18 anni. Le ho detto che dovevo guardare la mia patente perché mi ero dimenticato la mia data di nascita"
"E mi ha pure ringraziato per il mio tempo... HAHAHAHAHHAHAHAHA"
"Ho registrato la chiamata. Potrei pubblicarla da qualche parte se ho tempo"
"Controllerò con il mio avvocato per sapere se la posso pubblicare... non voglio finire sotto processo"

Darei molto per sentire quella chiamata.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (71)
Non solo tu :-)

Saluti,

Mauro.
Sta gente spara nel mucchio e, tra i tanti, becca anche il re degli hacker. Improbabile ma possibile.
Nell'originale quel "PROVE" maiuscolo rende di più l'ironia della frase. Suggerirei di metter "DIMOSTRARE" maiuscolo.

Ma perché per legger l'originale sono dovuto ricorrere ai feed del twitter Mitnick, mentre sul twitter stesso le ultime cose pubblicate risalgono a ORE fa?
Ahahahaha

Da notare l'oxfordiano "Una rimbambita mi chiama..."
Però non capisco, a che pro chiedere la data di nascita?

Di solito uno chiama e dice:

"Salve, Carabinieri. La chiamiamo perché la sua macchina è stata rimossa per divieto di sosta."
"Oddiomio noooo ma l'avevo parcheggiata bene, ma siete sicuri?!?"
"Controlliamo, mi dica la targa"
"AA000AA"
"Sì, è proprio quella. Intestata a?"
"Pippo Pluto"
"Via?"

eccetera eccetera

Che serve sapere la data di nascita, che è invece facilmente ottenibile?
Ironia della sorte ahahahahah
Nei Paesi, come gli Stati Uniti, nei quali non esiste la carta d'identità, il furto d'identità evidentemente si può effettuare tramite la data di nascita.
Qui in Danimarca è considerato molto pericoloso lasciarsi carpire il numero del registro centrale dell'anagrafe, che consta della data di nascita più 4 cifre.
Secondo me è Stracchino che si è stancato di essere preso in giro perchè non è un vero hacker, allora lo ha fatto alla vecchia maniera...
L'antispam s'è ciucciato un commento...
Mi aveva telefonato un impiegato della Telecom, cosi' disse, perche' voleva controllare l'esattezza del mio codice fiscale.
Allora risposi che me lo dicesse lui, cosi' avrei potuto confermarlo. Non lo sapeva, il poverino, ed allora chiusi la telefonata.
Poverina :-)
Chissà se anche a Shimomura capitano queste cose :D
theDRaKKaR etc. wrote:
Però non capisco, a che pro chiedere la data di nascita?

Di solito uno chiama e dice:

"Salve, Carabinieri. La chiamiamo perché la sua macchina è stata rimossa per divieto di sosta."
"Oddiomio noooo ma l'avevo parcheggiata bene, ma siete sicuri?!?"
"Controlliamo, mi dica la targa"
"AA000AA"
"Sì, è proprio quella. Intestata a?"
"Pippo Pluto"
"Via?"

eccetera eccetera

Che serve sapere la data di nascita, che è invece facilmente ottenibile?


Puzza di bruciato lontano un chilometro.

Mi telefoni e mi chiedi la targa della macchina che hai rimosso?
Mi chiedi a chi è intestata?
Se mi stai telefonando ed è intestata a me lo sai benissimo visto che al mio telefono ci sei giunto dal proprietario.
E se non è intestata a me, perchè telefoni a me e non al proprietario?



Se volessi ottenere luogo e data di nascita ed indirizzo di qualcuno punterei sulla creduloneria popolare:

"Buongiorno, è la redazione di Astra.
Nell' ambito delle iniziative pubblicitarie del nostro mensile Lei è stato estratto ed ha vinto un oroscopo personalizzato per il 2011.
Se è interessato, le passo l' operatrice cui dovrà fornire data, luogo ed ora di nascita e l' inirizzo cui inviarle il suo oroscopo personalizzato, un libretto di circa 50 pagine con tutte le previsioni ed i consigli per un felice 2011"

Ne beccheterei a millemila di polli.

Ciao

Carson
@ Usafree:

al telefono era Shimomura :D
@Carson

Ho recitato pari pari una telefonata che m'aveva fatto sganasciare 20 anni fa (!)

Se non erro andava (va?) molto di voga a Napoli
Ma proprio mentre leggevo questo thread mi squilla il telefono: "Buongiorno sono la dottoressa Pinca, stiamo svolgendo un'indagine sugli italiani ed il fumo, le faccio qualche breve domanda: Lei fuma?; Qualcuno fuma nell'ambiente dove lavora?; Qual'è la sua data di nascita? e con questo abbiamo terminato."

Ma quanti gonzi agganceranno? e cosa se ne fanno poi di una data di nascita... puranco collegata ad altri dati?
In Italia, relativamente poco. Puoi usarla come base per inventarti un codice fiscale ma poco altro direi...
Eheheheh adoro Mitnick, un suo libro mi ha aperto gl'occhi sul social engineering, da allora mi guardo attorno con altri occhi. Il libro illustrava alcuni episodi e mi sono divertita a inscenare certe situazioni in Facoltà (solo burle lo giuro XD). Mi piacerebbe molto occuparmi di sicurezza nelle aziende e devo dire che in certe trappole è proprio facile caderci senza un'adeguata formazione.
Sperando di non annoiare nessuno, approfitto della citazione per raccontare uno stratagemma di social engineering usato proprio da Mitnick e descritto nel suo primo libro "L'arte dell'inganno"

A quei tempi andava di moda tra gli hacker collezionare i sorgenti dei videogames.
Ce n'era uno in particolare molto ambito e Mitnick lo ottenne senza mirabolanti espedienti informatici, ecco come.

Dopo essersi procurato un'organigramma dell'azienda (che aveva più sedi), qualche nome di server e un po' di contatti telefonici interni interni, chiamò uno dei programmatori della sede B dicendo:
"Ciao sono Caio della sede A, qui abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui te li sto per zippare e copiarli sul vostro server PIPPO. Il file si chiama 000100.zip, appena sarà pronto ti chiedo la cortesia di spedirlo a questo indirizzo email esterno, sono da un cliente. Grazie infinite, e fammi sapere come potrò sdebitarmi."
Poi chiamò un altro programmatore della sede A
"Ciao sono Tizio della sede B. Abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui ti chiederei la cortesia di zipparli e metterne una copia sul nostro server B. Chiama il file 000100.zip per favore. Grazie infinite, e fammi sapere come potrò sdebitarmi"
Dopo mezz'ora aveva i tanto ambiti sorgenti in una casella di posta creata per l'occasione.

Nessuna intrusione, nessuno sniffer o codice ultracomplicato, nessuna password rubata, nessuno sospetto da parte di nessuno, nessuna traccia lasciata, solo due telefonate ben preparate.

Non è un genio?
@Gian Piero Biancoli

Nessuna traccia lasciata... beh spero che le abbia fatte da un telefono pubblico le telefonate, altrimenti... :)
@ Palin
In genere si legge che utilizzava SIM usa e getta, ma proprio per estremo scrupolo, anche perché le aziende non sono così avanzate a livello di sicurezza.
Il bello di questo trucco, comunque, è che nessuno dell'azienda sospetta nulla, anzi nemmeno sanno di essere stati scippati dei sorgenti.
La prima regola, infatti, è MAI esporsi.
Mi piacerebbe invitare a cena uno come Mitnick, ma avrei paura di dover pagare io il conto all'intero ristorante :D
Per poi scoprire che non era neanche Mitnik
Anche questa è plausibile ... ed in realtà Mitnick è il cameriere!
Sì, quello che ti porge il lettore POS :-D
Non è un genio?

La genialità dove starebbe? Io la chiamerei più cotiglionaggine di chi gli ha smollato i sorgenti (maschili?) a semplice richiesta di uno sconosciuto.
Mi piacerebbe invitare a cena uno come Mitnick, ma avrei paura di dover pagare io il conto all'intero ristorante :D

Almeno non posso correre questo rischio :-)
"La genialità dove starebbe? Io la chiamerei più cotiglionaggine di chi gli ha smollato i sorgenti (maschili?) a semplice richiesta di uno sconosciuto."

@Rado
Non mi occupo di queste cose, ma secondo me la genialità sta nell'aver capito che la psicologia media di un eventuale interlocutore era comunque tale da concedergli buone probabilità di successo.
E d'altra parte quante volte assistiamo a fatti di questo genere? L'unica differenza è che quasi sempre di la non c'è un truffatore... ma è proprio li che poi trova spazio la truffa.
Devo prenotare un Hotel per un collega. Telefono al numero trovato sulla guida, risponde la reception, mi metto d'accordo e mi faccio dare il CC per bonificare l'anticipo (il soggiorno è lungo), faccio il bonifico.
Quante volte accade? Da noi decine di volte l'anno.
Poi magari dall'altra parte ti hanno dato il cc di un amico e non quello dell'hotel ( a cui non risulterà nessuna prenotazione).
Il massimo ( ed è successo), e quando scopri che l'hotel proprio non esiste... o meglio, esiste solo una pagina Internet ed un numero di telefono per le prenotazioni... e non dirmi che ogni volta vi preoccupate di conoscere di persona la receptionist.
Però mi chiedo se stavolta non si tratti semplicemente di uno scherzo di qualcuno che sapeva bene a chi era intestato il cellulare
Paolo, scrivi qualche nuovo thread cosicché quello del Discovery passa in seconda pagina: ogni volta che apro il blog con Firefox dalle casse esce uno scampolo di audio del filmato embeddato e mi spavento sempre! Lol! :D
@Gian Piero Biancoli:
Dopo essersi procurato un'organigramma dell'azienda (che aveva più sedi), qualche nome di server e un po' di contatti telefonici interni interni, chiamò uno dei programmatori della sede B dicendo:
"Ciao sono Caio della sede A, qui abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui te li sto per zippare e copiarli sul vostro server PIPPO. Il file si chiama 000100.zip, appena sarà pronto ti chiedo la cortesia di spedirlo a questo indirizzo email esterno, sono da un cliente. Grazie infinite, e fammi sapere come potrò sdebitarmi."
Poi chiamò un altro programmatore della sede A
"Ciao sono Tizio della sede B. Abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui ti chiederei la cortesia di zipparli e metterne una copia sul nostro server B. Chiama il file 000100.zip per favore. Grazie infinite, e fammi sapere come potrò sdebitarmi"
Dopo mezz'ora aveva i tanto ambiti sorgenti in una casella di posta creata per l'occasione.


Che poi è quello che fanno i truffatori col denaro: mandano un assegno da A a B, poi chiedono a B di rimandarlo ad A, ma tramite un canale diverso (Western Union o simile).

Mandare dati aziendali riservati a un indirizzo email esterno è l'equivalente informatico di mandare denaro tramite Western Union.
Per ǚşå÷₣ŗẻễ

...ogni volta che apro il blog con Firefox dalle casse esce uno scampolo di audio del filmato embeddato e mi spavento sempre! Lol! :D

Anche a me. Non mi spavento, ma un po' fastidioso lo è, indubbiamente.
Io mi spavento perché ormai sono asuefatto al rumore di fondo delle ventole dei server ed ogni suono estraneo viene terribilmente amplificato! :D
Ma solo a me qualcosa non quadra nella storia dei sorgenti?

Dunque, A dice a B "ho cancellato i sorgenti quindi te li zippo e mando sul tuo server PIPPO e tu mandameli a questa mail esterna che sono da un cliente".
Se io fossi B gli chiederei se è scemo: se ha la possibilità di accedere ai sorgenti, tanto da poterli zippare e copiare su un altro server, perchè non se li prende direttamente senza fare il giro dell'oca?
Buongiorno,
ai tempi del Videotel Sip, era il 1985, ricordate?
Ricevetti una telefonata, un tizio qualificatosi per "funzionario Sip di Palermo" mi informava che mi avevano cambiato la password di accesso al servizio e mi ha comunicato la nuova, poi pretendeva che gli confermassi la vecchia.... al mio diniego, incazzato chiude.....
Per turi

ai tempi del Videotel Sip, era il 1985, ricordate?
Ricevetti una telefonata, un tizio qualificatosi per "funzionario Sip di Palermo" mi informava che mi avevano cambiato la password di accesso al servizio e mi ha comunicato la nuova, poi pretendeva che gli confermassi la vecchia.... al mio diniego, incazzato chiude.....


Non so nel 1985, ma nel 1989 questa operazione poteva averla fatta solo uno sprovveduto. La Sip aveva impostato le password numeriche secondo uno schema che qualcuno aveva indovinato: applicare quella formuletta e fare un po' di tentativi consentiva di trovare con un po' di pazienza una serie di utenze attive del tutto ignare e accedere a servizi a pagamento (ad esempio le messaggerie, quelle che oggi si chiamerebbero chat) facendoli addebitare ad altri.
Molto lentamente, la Sip ha capito l'enorme errore, e ha iniziato a distribuire password con codici del tutto casuali.
@ Verzasoft
"Dunque, A dice a B "ho cancellato i sorgenti quindi te li zippo e mando sul tuo server PIPPO e tu mandameli a questa mail esterna che sono da un cliente".
Se io fossi B gli chiederei se è scemo: se ha la possibilità di accedere ai sorgenti, tanto da poterli zippare e copiare su un altro server, perchè non se li prende direttamente senza fare il giro dell'oca?"


Ho scritto male perché con un po' di fretta. Comunque la scusa che usa con quello che deve spedire i file è che loro hanno dei problemi con la posta elettronica e doveva spedire un file a un cliente, per cui gli chiedeva se poteva farlo lui se gli metteva il file zippato su un server.

Il bello del social engineering è la scelta del profilo da utilizzare. In molti casi si una un tono autorevole, ma in questo caso Mitnick si spacciò per un assunto da poco che era nei guai fino al collo e aveva individuato persone non troppo sospettose e comunque desiderose di sentirsi utili aiutando un collega neoassunto in difficoltà.
Secondo me, per la semplicità con cui è stata eseguita nonostante innumerevoli fattori psicologici da considerare, equivale alla vendita della fontana di Trevi.
Stasera a casa, se ho tempo, riprendo il libro e lo riscrivo correttamente. Spero che il meccanismo si sia comunque capito.
Ma installare Flashblock su firefox, no, eh? ;)
@Palin

E perché dovrei bloccare Flash?
@ theDRaKKaR the bloody homeopath
Per evitare che parta l'audio del Discovery
Mi pare più semplice che Paolo apra due nuovi thread, scusa! :|
@Gian

Ho capito, ma mi sembra come tagliarsi un braccio per evitare che ci si possa martellare un dito ogni tanto... Ricordo che ne abbiamo già parlato in passato, quando si accostava Noscript ad AdBlock: sono due cose diverse, lo script o l'animazione flash sono neutro, possono avere cioè funzioni informative o d'interfaccia, oppure essere noiosi o malevoli. La pubblicità ha solo uno scopo, informarti di un prodotto e siccome non ho interesse ad essere informato sui prodotti la blocco.

Non posso però dire di non avere interesse a usare script o animazioni flash.

PS Sì, lo so che possono essere usati in modo molto selettivo, ma, ripeto, la pubblicità so che non la voglio, script e flash di solito li voglio, tanto la pubblicità me la blocca AdBlock
@ GP Biancoli

Aha, si capito, così regge molto meglio
Io mi spavento perché ormai sono asuefatto al rumore di fondo delle ventole dei server ed ogni suono estraneo viene terribilmente amplificato! :D

Ma spegnere gli altoparlanti no?
Ma soprattutto uscire dalla sala server no?!?!??!
@ theDRaKKaR the bloody homeopath
"Ho capito, ma mi sembra come tagliarsi un braccio per evitare che ci si possa martellare un dito ogni tanto..."

Non ho detto che sia giusto o sbagliato o non esistano alternative. Per accelerare un po' i tempi, ho solo risposto alla domanda che avevi fatto a Palin.

Vèditela con lui... :-)
@theDRaKKaR the bloody homeopath

script e flash di solito li voglio, tanto la pubblicità me la blocca AdBlock

Ecco, io invece voglio gli script, ma nel 99% dei casi non voglio flash. Consuma batteria inutilmente. Quindi uso YesScript (per i siti che veramente rompono con javascript) e FlashBlock. Che, comunque, consente di attivare il flash con un click, dovesse rivelarsi necessario.
Ti trovi bene? Non devi attivare "troppe volte" Flash?
io accedo al blog tramite i feed sotto la barra di navigazione e così ne leggo uno per volta... anche xké nn sono online 24/24 e me li gusto a uno a uno, come olive ascolane (commenti compresi)
@theDRaKKaR the bloody homeopath

Ti trovi bene? Non devi attivare "troppe volte" Flash?

Praticamente solo con YouTube. E ho un solo sito in white list, gmail per i suoni della chat (sono in flash, senza che ci sia nessun componente flash visuale su cui cliccare).
@Giuliano47
E' successo anche a me 6 o 7 anni fa. Ho poi saputo che si trattava di operatori in malafede che ti facevano cambiare operatore telefonico o ti attivavano una qualche offerta a pagamento. all'epoca, se non erro, le compagnie telefoniche pagavano i call center in base ai contratti ottenuti senza attendere, come si fa oggi, il loro perfezionamento (cioè, il termine del periodo di recesso o la firma effettiva del contratto che veniva successivamente spedito per posta).
Oggi ti chiedono: "vuole eliminare il canone?"
Non aggiungono, però, che si tratta di un passaggio da un operatore a un altro.
Sono ancora tanti quelli che ci cascano pensando che si tratti di un offerta della loro compagnia telefonica.
ǚşå÷₣ŗẻễ
...ogni volta che apro il blog con Firefox dalle casse esce uno scampolo di audio del filmato embeddato e mi spavento sempre! Lol! :D

Accademia dei pedanti ♂:
Anche a me. Non mi spavento, ma un po' fastidioso lo è, indubbiamente.



A me l'audio non parte in automatico, ma mi si freeza Firefox per diversi secondi in attesa di caricare dati da quel flash...
E hai sentito che soluzioni cervellotiche propongono ué e thedrakkar!? Spegnere le casse, uscire dalla sala server... o_O
E hai sentito che soluzioni cervellotiche propongono ué e thedrakkar!? Spegnere le casse, uscire dalla sala server... o_O

Cervellotiche? Addirittura? Io le casse ce le ho sempre spente, le accendo solo se devo ascoltare qualcosa. Che c'è di cervellotico?
Era una battuta -_-
Era una battuta -_-

Ah scusa, non avevo capito :-)
Scusate se sono in modalità OT, ma volevo aggiornarvi sull'ultimo "gioiellino" della Apple (chi pensava che l'Ipad fosse la migliore invenzione di Jobs, allora non ha ancora visto questo X-D):
Per pauL

Scusate se sono in modalità OT, ma volevo aggiornarvi sull'ultimo "gioiellino" della Apple (chi pensava che l'Ipad fosse la migliore invenzione di Jobs, allora non ha ancora visto questo X-D):

Quindi la Apple ha reinventato la ruota, secondo il servizio della Cipolla CNN. Non si capisce mai in questi casi se la tv si prende giuoco di Steve Jobs o Steve Jobs si prende giuoco di noi.
Ah scusa, non avevo capito :-)

Pigliàtela!
Vi prego ditemi che quella di OnionNews è una presa in giro.

E' il principio del disco combinatore del telefono: chiedetevi perchè non l'hanno mai usato per scrivere delle parole.

La tastiera non sarà esattamente quel miracolo di ergonomia e praticità, ma sicuramente è più veloce di quella roba lì. Il sistema di previsione poi, se funziona come il T9, creerà delle frasi totalmente ridicole.
@Lupo + @Accademia

Sinceramente una cosa così io la comprerei.
Per poi rivenderla al mio peggior nemico...
Ma Onion non è il sito delle notizie farlocche?
@theDRaKKaR

...ma perché le devo spiegare le cose????? >:-((

Se guardi sotto al filmato ce ne sono altri, e dovresti già avere da te la conferma...

O pensi che "'Warcraft' Sequel Lets Gamers Play A Character Playing 'Warcraft'" sia qualcosa di normale????? :-))

L'unica notizia vera, però, è quella riguardo all'apparecchietto Sony :-)
Ehm...non avevate capito che era una presa per il culo? :D Almeno quelli di voi che non sono maccari, intendo :|
Io l'avevo capito... theDRaKKaR no.
Ma attenzione: con Apple, la realtà supera la fantasia. Se fra qualche anno Jobs verrà fuori con una trovata del genere pompata dall'ennesima campagna di promozione multimiliardaria, non ci sarà nulla di strano.
In realtà pensavo a una presa in giro MA dai geni del marketing di Cupertino mi aspetterei questo ed altro... Dirò solo un nome: Pippin
Io tre parole: troppe pippin mentali :D
Pigliàtela!

Chi mi deve prendere? I marziani? O gli agenti segreti del NWO?
Ma che razza di nick hai?
Ma che razza di nick hai?

Uno provvisorio scelto velocemente ... e poi è sempre meglio de tuo :P
Drak: credo che uno dei motivi dell'insuccesso di quella orribile console fu proprio il nome :p

Gli altri: Dreamcast e Playstation