Cerca nel blog

2007/02/13

Come rubare la password di MSN

Occhio alla truffa: rubare le password di MSN. Ma a chi?


Sta circolando un e-mail che propone "l'unico metodo reale e funzionante per trovare le password dell'email di qualsiasi utente Microsoft, Hotmail, MSN o Yahoo".

Il metodo, stando all'e-mail, è semplicissimo: si compone un messaggio che ha come destinatario un indirizzo del tipo pwd_023staff_tecnico@hotmail.it e come titolo "Lost password". Nel corpo del messaggio scrivete il vostro indirizzo di e-mail; poi lasciate una riga vuota e scrivete la password del vostro indirizzo; infine lasciate una riga vuota e poi scrivete l'indirizzo di e-mail di cui volete scoprire la password.

L'e-mail spiega che "questo è l'unico metodo attualmente funzionante per scoprire le passwords. Il metodo funziona perché il risponditore automatico del server si illude che tu sia membro dello staff, perché solo loro conoscono il modo in cui deve essere compilato il messagio [sic] di richiesta password. La vulnerabilità colpisce anche il server di yahoo, in quanto anch'esso è basato sullo stesso sistema. Questo è il miglior sistema per fregare il server, esistono altri metodi, ma nn [sic] tutti funzionano, e i pochi che funzionano rispondono al messaggio inviando la password molto in ritardo, mentre con questo avrete la sicurezza di ricevere una risposta immediata o quasi".

Riporto per intero il prolisso spiegone perché è una parte importante del messaggio: ma non nel senso che potreste credere. Si tratta infatti di una trappola. La password che viene rubata, infatti, è la vostra. La lunghezza delle istruzioni serve a mascherare il fatto che vi viene chiesto di mandare la vostra password e il vostro indirizzo di e-mail all'indirizzo indicato nelle istruzioni. Un dettaglio che nell'esaltazione prodotta dall'idea di poter fare gli spioni e nella confusione prodotta dalla prolissità del messaggio puo' sfuggire.

Diffidate, quindi, di qualsiasi messaggio che vi spieghi metodi di questo genere: finireste vittima della vostra disonestà.

25 commenti:

Carlo ha detto...

Ma davvero? normalmante quando qualche sconosciuto mi chiede l'e-mail per sicurezza mando anche la password e il numero della carta di credito.

Naturalmente scherzo...

Questo conferma ancora una volta se ce ne fosse bisogno che il punto debole di ogni sistema informatico si trova tra il monitor e la sedia...

Ancora e sempre: complimenti Paolo!

Anonimo ha detto...

attivissimo ma compari alle Iene e non ci dici niente???

Jenavera ha detto...

Ma quali jene?
Quelle vere?O quelle in tv?
Perchè le vere Jene di internet si trovano solo su A......a

Ciao.

P.S. mandatemi le password,anche se non ho il tempo di leggere la mia posta.
Ma di postare qui si,diranno molti...

Antar ha detto...

Io che chiedono la MIA passworl è la prima cosa che ho notato...
Ma metti l'indirizzo vero, che mi va di mandargli la mia psswrd?

Andrea ha detto...

Leggendolo mi son fatto una grassa risata...peró da quando un collega mise i dati della sua carta di credito in un sito xxx "per verificare che sia maggiorenne" non dubito che qualche pollo ci caschi...

FridayChild ha detto...

Uhm... presumo che contro i titolari di quell'indirizzo email, che hanno organizzato la truffa, non si possa fare nulla... ma possibile che l'account non sia ancora stato disattivato da Hotmail? Presumo che qualcuno avra' scritto all'abuse desk... chiaro, poi potrebbe spuntare una nuova versione della mail con un nuovo indirizzo a cui spedire, ma intanto...
Non mi e' chiaro poi se la mail sia veicolata da un trojan o dal passaparola.

Paolo Attivissimo ha detto...

>attivissimo ma compari alle Iene e non ci dici niente???

Dammi tempo, ne parlo più tardi oggi. Scusa ma è stata una settimana folle e questa non è da meno.

netalex ha detto...

come diceva il trailer di una nota serie tv, "non si può truffare una persona onesta. Non è mai successo."

Fry Simpson ha detto...

Andrea:
«un collega mise i dati della sua carta di credito in un sito xxx "per verificare che sia maggiorenne"»

E poi quanto gli hanno addebitato?

Una tantum o ripetutamente?

CRV§ADER//KY ha detto...

io lo conoscevo in modo lievemente diverso, l'indirizzo di posta che avevo io era pwd_retry001@hotmail.com

la data in cui mi è arrivato è 20 ottobre, ma probabilmente è molto più vecchia

quando l'ho letta sono stato quasi tentato di farmi un account usa-e-getta apposta per provarlo... conoscendo gli standard di sicurezza di microsoft, è QUASI credibile.

thisend ha detto...

Chi prova a rubare una qualsiasi password non merita di essere avvertito che provandoci sarebbe lui quello ad essere fregato!!

Anonimo ha detto...

Bravi! Un blog davvero interessante. Bravi anche agli utenti, li trovo tutti molto preparati e sensibili (spero di essere all'altezza). Se ne avete voglia e tempo, fatevi un giro sul mio blog: interno18.blog.com
E' tutto un altro genere, ma forse potrà divertirvi, almeno questo è quello che spero! Lasciate anche dei commenti se vi va (non è obbligatorio lasciare indirizzo mail, Url nè tanto meno il vostro nome [insomma, potete lasciare i vostri commenti in forma del tutto anonima]).

Anonimo ha detto...

Sul Punto, Ammicco Molto Malinconicamente. E Rido.

Arthur Cravan ha detto...

fra l'altro "passwoeds", come ho imparato da te, non vorrebbe la s plurale in un contesto italiano

Anonimo ha detto...

Concordo con thisend: sembra quasi quel penoso servizio di Striscia la Notizia, nel quale, dopo aver smascherato i tipici nigeriani che cercavano di far credere che fosse possibile trasformare le euro banconote in tagli maggiori semplicemente sbiancando quelle di tagli inferiori, era intervistata una signora anziana che, vittima di analogo episodio, con spiccato accento meridionale, incattivita oltremodo, lanciava strali verso chi "truffa in tale modo la povera gente onesta".

Il tutto senza alcuno dei realizzatori il "servizio" avesse nulla da ridire. Solo Greggio, visibilmente "a braccio" aveva il pudore di ricordare che falsificare banconote è un reato.
Rado il Figo

Andrea ha detto...

Fry Simpson said...

E poi quanto gli hanno addebitato?
Una tantum o ripetutamente?


Gli é andata pure bene,si é trovato alla solamente un addebito di "only 49,95 $ for your monthly premium membership".

Ovviamente era riportato nei "terms of use" che l'accesso gratuito di prova sarebbe diventato un abbonamento se non avesse dato una disdetta entro 48h....sai com'é...

Frank Morris ha detto...

Ma Checkmessenger ruba le password? Molti lo stanno usando, io mi rifiuto di farlo

Anonimo ha detto...

Ricordo che girava in inglese come file .txt nei circuiti p2p gia' diversi anni fa (dall'autunno 2002 sicuramente, forse anche da prima), ma ovviamente l'indirizzo era diverso (era un qualcosa_hotmail.com).

Anonimo ha detto...

Che dite, l'anonimo delle 15:57 è uno spambot?

Buffalo ha detto...

bot non lo so, spammer abbastanza... non hanno ancora capito che la miglior pubblicità per un blog come per un sito sono i contenuti. Ho visto certi blogghettini penosi, con quatro frasi per quattro post... e più o meno quattro visitatori. XD

Sul Punto, Ammicco Molto Malinconicamente. E Rido.
Carina questa, quasi quasi me la segno... :)

Zeno ha detto...

E' una truffa molto vecchia, l'ho trovata in inglese diversi mesi fa... Essere in inglese, tra l'altro, la rendeva più credibile...

Ad ogni modo è decisamente un interessante caso di Social Engineering elettronica :D

Zeno

noobs ha detto...

semplicissima applicazione per scoprire le password di msn, chi interessato mi contatti!!!
tiri_vispi@hotmail.it

noemi ha detto...

ma ke kazzoooo io anke mandando quell'email non mi da la passwordd ke kazzo mi aiutate perf

noemi ha detto...

non i riesco a rubare la password di un mio amikooo kome kazzo si faaa

Paolo Attivissimo ha detto...

non i riesco a rubare la password di un mio amikooo kome kazzo si faaa

E' indispensabile disporre di un pugno di neuroni funzionanti e di una dignitosa comprensione dell'italiano scritto.