Cerca nel blog

2011/03/09

Social engineering EPIC FAIL

Cercano di rubare i dati personali per telefono. A Kevin Mitnick


Dal Twitter di Kevin Mitnick di pochi minuti fa (se non sapete chi è, sappiatelo):

"Una rimbambita chiama da Skype il mio cellulare e finge di essere una che emette carte di credito e me ne offre una"
"Ha insistito sulla mia data di nascita per DIMOSTRARE che ho almeno 18 anni. Le ho detto che dovevo guardare la mia patente perché mi ero dimenticato la mia data di nascita"
"E mi ha pure ringraziato per il mio tempo... HAHAHAHAHHAHAHAHA"
"Ho registrato la chiamata. Potrei pubblicarla da qualche parte se ho tempo"
"Controllerò con il mio avvocato per sapere se la posso pubblicare... non voglio finire sotto processo"

Darei molto per sentire quella chiamata.

71 commenti:

Mauro ha detto...

Non solo tu :-)

Saluti,

Mauro.

Enrico ha detto...

Sta gente spara nel mucchio e, tra i tanti, becca anche il re degli hacker. Improbabile ma possibile.

FrySimpson ha detto...

Nell'originale quel "PROVE" maiuscolo rende di più l'ironia della frase. Suggerirei di metter "DIMOSTRARE" maiuscolo.

Ma perché per legger l'originale sono dovuto ricorrere ai feed del twitter Mitnick, mentre sul twitter stesso le ultime cose pubblicate risalgono a ORE fa?

Grezzo ha detto...

Ahahahaha

Da notare l'oxfordiano "Una rimbambita mi chiama..."

theDRaKKaR the bloody homeopath ha detto...

Però non capisco, a che pro chiedere la data di nascita?

Di solito uno chiama e dice:

"Salve, Carabinieri. La chiamiamo perché la sua macchina è stata rimossa per divieto di sosta."
"Oddiomio noooo ma l'avevo parcheggiata bene, ma siete sicuri?!?"
"Controlliamo, mi dica la targa"
"AA000AA"
"Sì, è proprio quella. Intestata a?"
"Pippo Pluto"
"Via?"

eccetera eccetera

Che serve sapere la data di nascita, che è invece facilmente ottenibile?

Anonimo ha detto...

Ironia della sorte ahahahahah

Anonimo ha detto...

Nei Paesi, come gli Stati Uniti, nei quali non esiste la carta d'identità, il furto d'identità evidentemente si può effettuare tramite la data di nascita.
Qui in Danimarca è considerato molto pericoloso lasciarsi carpire il numero del registro centrale dell'anagrafe, che consta della data di nascita più 4 cifre.

( ͡° ͜ʖ ͡°) ha detto...

Secondo me è Stracchino che si è stancato di essere preso in giro perchè non è un vero hacker, allora lo ha fatto alla vecchia maniera...

Il Lupo della Luna ha detto...

L'antispam s'è ciucciato un commento...

Giuliano47 ha detto...

Mi aveva telefonato un impiegato della Telecom, cosi' disse, perche' voleva controllare l'esattezza del mio codice fiscale.
Allora risposi che me lo dicesse lui, cosi' avrei potuto confermarlo. Non lo sapeva, il poverino, ed allora chiusi la telefonata.

Nico ha detto...

Poverina :-)

Stepan Mussorgsky ha detto...

Chissà se anche a Shimomura capitano queste cose :D

Carson ha detto...

theDRaKKaR etc. wrote:
Però non capisco, a che pro chiedere la data di nascita?

Di solito uno chiama e dice:

"Salve, Carabinieri. La chiamiamo perché la sua macchina è stata rimossa per divieto di sosta."
"Oddiomio noooo ma l'avevo parcheggiata bene, ma siete sicuri?!?"
"Controlliamo, mi dica la targa"
"AA000AA"
"Sì, è proprio quella. Intestata a?"
"Pippo Pluto"
"Via?"

eccetera eccetera

Che serve sapere la data di nascita, che è invece facilmente ottenibile?


Puzza di bruciato lontano un chilometro.

Mi telefoni e mi chiedi la targa della macchina che hai rimosso?
Mi chiedi a chi è intestata?
Se mi stai telefonando ed è intestata a me lo sai benissimo visto che al mio telefono ci sei giunto dal proprietario.
E se non è intestata a me, perchè telefoni a me e non al proprietario?



Se volessi ottenere luogo e data di nascita ed indirizzo di qualcuno punterei sulla creduloneria popolare:

"Buongiorno, è la redazione di Astra.
Nell' ambito delle iniziative pubblicitarie del nostro mensile Lei è stato estratto ed ha vinto un oroscopo personalizzato per il 2011.
Se è interessato, le passo l' operatrice cui dovrà fornire data, luogo ed ora di nascita e l' inirizzo cui inviarle il suo oroscopo personalizzato, un libretto di circa 50 pagine con tutte le previsioni ed i consigli per un felice 2011"

Ne beccheterei a millemila di polli.

Ciao

Carson

FrySimpson ha detto...

@ Usafree:

al telefono era Shimomura :D

theDRaKKaR the bloody homeopath ha detto...

@Carson

Ho recitato pari pari una telefonata che m'aveva fatto sganasciare 20 anni fa (!)

Se non erro andava (va?) molto di voga a Napoli

Maurizio ha detto...

Ma proprio mentre leggevo questo thread mi squilla il telefono: "Buongiorno sono la dottoressa Pinca, stiamo svolgendo un'indagine sugli italiani ed il fumo, le faccio qualche breve domanda: Lei fuma?; Qualcuno fuma nell'ambiente dove lavora?; Qual'è la sua data di nascita? e con questo abbiamo terminato."

Ma quanti gonzi agganceranno? e cosa se ne fanno poi di una data di nascita... puranco collegata ad altri dati?

Il Lupo della Luna ha detto...

In Italia, relativamente poco. Puoi usarla come base per inventarti un codice fiscale ma poco altro direi...

Anonimo ha detto...

Eheheheh adoro Mitnick, un suo libro mi ha aperto gl'occhi sul social engineering, da allora mi guardo attorno con altri occhi. Il libro illustrava alcuni episodi e mi sono divertita a inscenare certe situazioni in Facoltà (solo burle lo giuro XD). Mi piacerebbe molto occuparmi di sicurezza nelle aziende e devo dire che in certe trappole è proprio facile caderci senza un'adeguata formazione.

Gian Piero Biancoli ha detto...

Sperando di non annoiare nessuno, approfitto della citazione per raccontare uno stratagemma di social engineering usato proprio da Mitnick e descritto nel suo primo libro "L'arte dell'inganno"

A quei tempi andava di moda tra gli hacker collezionare i sorgenti dei videogames.
Ce n'era uno in particolare molto ambito e Mitnick lo ottenne senza mirabolanti espedienti informatici, ecco come.

Dopo essersi procurato un'organigramma dell'azienda (che aveva più sedi), qualche nome di server e un po' di contatti telefonici interni interni, chiamò uno dei programmatori della sede B dicendo:
"Ciao sono Caio della sede A, qui abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui te li sto per zippare e copiarli sul vostro server PIPPO. Il file si chiama 000100.zip, appena sarà pronto ti chiedo la cortesia di spedirlo a questo indirizzo email esterno, sono da un cliente. Grazie infinite, e fammi sapere come potrò sdebitarmi."
Poi chiamò un altro programmatore della sede A
"Ciao sono Tizio della sede B. Abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui ti chiederei la cortesia di zipparli e metterne una copia sul nostro server B. Chiama il file 000100.zip per favore. Grazie infinite, e fammi sapere come potrò sdebitarmi"
Dopo mezz'ora aveva i tanto ambiti sorgenti in una casella di posta creata per l'occasione.

Nessuna intrusione, nessuno sniffer o codice ultracomplicato, nessuna password rubata, nessuno sospetto da parte di nessuno, nessuna traccia lasciata, solo due telefonate ben preparate.

Non è un genio?

Palin ha detto...

@Gian Piero Biancoli

Nessuna traccia lasciata... beh spero che le abbia fatte da un telefono pubblico le telefonate, altrimenti... :)

Gian Piero Biancoli ha detto...

@ Palin
In genere si legge che utilizzava SIM usa e getta, ma proprio per estremo scrupolo, anche perché le aziende non sono così avanzate a livello di sicurezza.
Il bello di questo trucco, comunque, è che nessuno dell'azienda sospetta nulla, anzi nemmeno sanno di essere stati scippati dei sorgenti.
La prima regola, infatti, è MAI esporsi.

Il Lupo della Luna ha detto...

Mi piacerebbe invitare a cena uno come Mitnick, ma avrei paura di dover pagare io il conto all'intero ristorante :D

theDRaKKaR the bloody homeopath ha detto...

Per poi scoprire che non era neanche Mitnik

Il Lupo della Luna ha detto...

Anche questa è plausibile ... ed in realtà Mitnick è il cameriere!

theDRaKKaR the bloody homeopath ha detto...

Sì, quello che ti porge il lettore POS :-D

Rado il Figo ha detto...

Non è un genio?

La genialità dove starebbe? Io la chiamerei più cotiglionaggine di chi gli ha smollato i sorgenti (maschili?) a semplice richiesta di uno sconosciuto.

Rado il Figo ha detto...

Mi piacerebbe invitare a cena uno come Mitnick, ma avrei paura di dover pagare io il conto all'intero ristorante :D

Almeno non posso correre questo rischio :-)

T. Fulvio ha detto...

"La genialità dove starebbe? Io la chiamerei più cotiglionaggine di chi gli ha smollato i sorgenti (maschili?) a semplice richiesta di uno sconosciuto."

@Rado
Non mi occupo di queste cose, ma secondo me la genialità sta nell'aver capito che la psicologia media di un eventuale interlocutore era comunque tale da concedergli buone probabilità di successo.
E d'altra parte quante volte assistiamo a fatti di questo genere? L'unica differenza è che quasi sempre di la non c'è un truffatore... ma è proprio li che poi trova spazio la truffa.
Devo prenotare un Hotel per un collega. Telefono al numero trovato sulla guida, risponde la reception, mi metto d'accordo e mi faccio dare il CC per bonificare l'anticipo (il soggiorno è lungo), faccio il bonifico.
Quante volte accade? Da noi decine di volte l'anno.
Poi magari dall'altra parte ti hanno dato il cc di un amico e non quello dell'hotel ( a cui non risulterà nessuna prenotazione).
Il massimo ( ed è successo), e quando scopri che l'hotel proprio non esiste... o meglio, esiste solo una pagina Internet ed un numero di telefono per le prenotazioni... e non dirmi che ogni volta vi preoccupate di conoscere di persona la receptionist.

T. Fulvio ha detto...

Però mi chiedo se stavolta non si tratti semplicemente di uno scherzo di qualcuno che sapeva bene a chi era intestato il cellulare

Stepan Mussorgsky ha detto...

Paolo, scrivi qualche nuovo thread cosicché quello del Discovery passa in seconda pagina: ogni volta che apro il blog con Firefox dalle casse esce uno scampolo di audio del filmato embeddato e mi spavento sempre! Lol! :D

Turz ha detto...

@Gian Piero Biancoli:
Dopo essersi procurato un'organigramma dell'azienda (che aveva più sedi), qualche nome di server e un po' di contatti telefonici interni interni, chiamò uno dei programmatori della sede B dicendo:
"Ciao sono Caio della sede A, qui abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui te li sto per zippare e copiarli sul vostro server PIPPO. Il file si chiama 000100.zip, appena sarà pronto ti chiedo la cortesia di spedirlo a questo indirizzo email esterno, sono da un cliente. Grazie infinite, e fammi sapere come potrò sdebitarmi."
Poi chiamò un altro programmatore della sede A
"Ciao sono Tizio della sede B. Abbiamo avuto un problema: abbiamo cancellato i sorgenti, per cui ti chiederei la cortesia di zipparli e metterne una copia sul nostro server B. Chiama il file 000100.zip per favore. Grazie infinite, e fammi sapere come potrò sdebitarmi"
Dopo mezz'ora aveva i tanto ambiti sorgenti in una casella di posta creata per l'occasione.


Che poi è quello che fanno i truffatori col denaro: mandano un assegno da A a B, poi chiedono a B di rimandarlo ad A, ma tramite un canale diverso (Western Union o simile).

Mandare dati aziendali riservati a un indirizzo email esterno è l'equivalente informatico di mandare denaro tramite Western Union.

Anonimo ha detto...

Per ǚşå÷₣ŗẻễ

...ogni volta che apro il blog con Firefox dalle casse esce uno scampolo di audio del filmato embeddato e mi spavento sempre! Lol! :D

Anche a me. Non mi spavento, ma un po' fastidioso lo è, indubbiamente.

Stepan Mussorgsky ha detto...

Io mi spavento perché ormai sono asuefatto al rumore di fondo delle ventole dei server ed ogni suono estraneo viene terribilmente amplificato! :D

Verzasoft ha detto...

Ma solo a me qualcosa non quadra nella storia dei sorgenti?

Dunque, A dice a B "ho cancellato i sorgenti quindi te li zippo e mando sul tuo server PIPPO e tu mandameli a questa mail esterna che sono da un cliente".
Se io fossi B gli chiederei se è scemo: se ha la possibilità di accedere ai sorgenti, tanto da poterli zippare e copiare su un altro server, perchè non se li prende direttamente senza fare il giro dell'oca?

turi ha detto...

Buongiorno,
ai tempi del Videotel Sip, era il 1985, ricordate?
Ricevetti una telefonata, un tizio qualificatosi per "funzionario Sip di Palermo" mi informava che mi avevano cambiato la password di accesso al servizio e mi ha comunicato la nuova, poi pretendeva che gli confermassi la vecchia.... al mio diniego, incazzato chiude.....

Anonimo ha detto...

Per turi

ai tempi del Videotel Sip, era il 1985, ricordate?
Ricevetti una telefonata, un tizio qualificatosi per "funzionario Sip di Palermo" mi informava che mi avevano cambiato la password di accesso al servizio e mi ha comunicato la nuova, poi pretendeva che gli confermassi la vecchia.... al mio diniego, incazzato chiude.....


Non so nel 1985, ma nel 1989 questa operazione poteva averla fatta solo uno sprovveduto. La Sip aveva impostato le password numeriche secondo uno schema che qualcuno aveva indovinato: applicare quella formuletta e fare un po' di tentativi consentiva di trovare con un po' di pazienza una serie di utenze attive del tutto ignare e accedere a servizi a pagamento (ad esempio le messaggerie, quelle che oggi si chiamerebbero chat) facendoli addebitare ad altri.
Molto lentamente, la Sip ha capito l'enorme errore, e ha iniziato a distribuire password con codici del tutto casuali.

Gian Piero Biancoli ha detto...

@ Verzasoft
"Dunque, A dice a B "ho cancellato i sorgenti quindi te li zippo e mando sul tuo server PIPPO e tu mandameli a questa mail esterna che sono da un cliente".
Se io fossi B gli chiederei se è scemo: se ha la possibilità di accedere ai sorgenti, tanto da poterli zippare e copiare su un altro server, perchè non se li prende direttamente senza fare il giro dell'oca?"


Ho scritto male perché con un po' di fretta. Comunque la scusa che usa con quello che deve spedire i file è che loro hanno dei problemi con la posta elettronica e doveva spedire un file a un cliente, per cui gli chiedeva se poteva farlo lui se gli metteva il file zippato su un server.

Il bello del social engineering è la scelta del profilo da utilizzare. In molti casi si una un tono autorevole, ma in questo caso Mitnick si spacciò per un assunto da poco che era nei guai fino al collo e aveva individuato persone non troppo sospettose e comunque desiderose di sentirsi utili aiutando un collega neoassunto in difficoltà.
Secondo me, per la semplicità con cui è stata eseguita nonostante innumerevoli fattori psicologici da considerare, equivale alla vendita della fontana di Trevi.
Stasera a casa, se ho tempo, riprendo il libro e lo riscrivo correttamente. Spero che il meccanismo si sia comunque capito.

Palin ha detto...

Ma installare Flashblock su firefox, no, eh? ;)

theDRaKKaR the bloody homeopath ha detto...

@Palin

E perché dovrei bloccare Flash?

Gian Piero Biancoli ha detto...

@ theDRaKKaR the bloody homeopath
Per evitare che parta l'audio del Discovery

Stepan Mussorgsky ha detto...

Mi pare più semplice che Paolo apra due nuovi thread, scusa! :|

theDRaKKaR the bloody homeopath ha detto...

@Gian

Ho capito, ma mi sembra come tagliarsi un braccio per evitare che ci si possa martellare un dito ogni tanto... Ricordo che ne abbiamo già parlato in passato, quando si accostava Noscript ad AdBlock: sono due cose diverse, lo script o l'animazione flash sono neutro, possono avere cioè funzioni informative o d'interfaccia, oppure essere noiosi o malevoli. La pubblicità ha solo uno scopo, informarti di un prodotto e siccome non ho interesse ad essere informato sui prodotti la blocco.

Non posso però dire di non avere interesse a usare script o animazioni flash.

PS Sì, lo so che possono essere usati in modo molto selettivo, ma, ripeto, la pubblicità so che non la voglio, script e flash di solito li voglio, tanto la pubblicità me la blocca AdBlock

Verzasoft ha detto...

@ GP Biancoli

Aha, si capito, così regge molto meglio

oui, c'est moi ha detto...

Io mi spavento perché ormai sono asuefatto al rumore di fondo delle ventole dei server ed ogni suono estraneo viene terribilmente amplificato! :D

Ma spegnere gli altoparlanti no?

theDRaKKaR the bloody homeopath ha detto...

Ma soprattutto uscire dalla sala server no?!?!??!

Gian Piero Biancoli ha detto...

@ theDRaKKaR the bloody homeopath
"Ho capito, ma mi sembra come tagliarsi un braccio per evitare che ci si possa martellare un dito ogni tanto..."

Non ho detto che sia giusto o sbagliato o non esistano alternative. Per accelerare un po' i tempi, ho solo risposto alla domanda che avevi fatto a Palin.

Vèditela con lui... :-)

Palin ha detto...

@theDRaKKaR the bloody homeopath

script e flash di solito li voglio, tanto la pubblicità me la blocca AdBlock

Ecco, io invece voglio gli script, ma nel 99% dei casi non voglio flash. Consuma batteria inutilmente. Quindi uso YesScript (per i siti che veramente rompono con javascript) e FlashBlock. Che, comunque, consente di attivare il flash con un click, dovesse rivelarsi necessario.

theDRaKKaR the bloody homeopath ha detto...

Ti trovi bene? Non devi attivare "troppe volte" Flash?

lazarillo de tormes ha detto...

io accedo al blog tramite i feed sotto la barra di navigazione e così ne leggo uno per volta... anche xké nn sono online 24/24 e me li gusto a uno a uno, come olive ascolane (commenti compresi)

Palin ha detto...

@theDRaKKaR the bloody homeopath

Ti trovi bene? Non devi attivare "troppe volte" Flash?

Praticamente solo con YouTube. E ho un solo sito in white list, gmail per i suoni della chat (sono in flash, senza che ci sia nessun componente flash visuale su cui cliccare).

Guastulfo (Giuseppe) ha detto...

@Giuliano47
E' successo anche a me 6 o 7 anni fa. Ho poi saputo che si trattava di operatori in malafede che ti facevano cambiare operatore telefonico o ti attivavano una qualche offerta a pagamento. all'epoca, se non erro, le compagnie telefoniche pagavano i call center in base ai contratti ottenuti senza attendere, come si fa oggi, il loro perfezionamento (cioè, il termine del periodo di recesso o la firma effettiva del contratto che veniva successivamente spedito per posta).
Oggi ti chiedono: "vuole eliminare il canone?"
Non aggiungono, però, che si tratta di un passaggio da un operatore a un altro.
Sono ancora tanti quelli che ci cascano pensando che si tratti di un offerta della loro compagnia telefonica.

FrySimpson ha detto...

ǚşå÷₣ŗẻễ
...ogni volta che apro il blog con Firefox dalle casse esce uno scampolo di audio del filmato embeddato e mi spavento sempre! Lol! :D

Accademia dei pedanti ♂:
Anche a me. Non mi spavento, ma un po' fastidioso lo è, indubbiamente.



A me l'audio non parte in automatico, ma mi si freeza Firefox per diversi secondi in attesa di caricare dati da quel flash...

Stepan Mussorgsky ha detto...

E hai sentito che soluzioni cervellotiche propongono ué e thedrakkar!? Spegnere le casse, uscire dalla sala server... o_O

oui, c'est moi ha detto...

E hai sentito che soluzioni cervellotiche propongono ué e thedrakkar!? Spegnere le casse, uscire dalla sala server... o_O

Cervellotiche? Addirittura? Io le casse ce le ho sempre spente, le accendo solo se devo ascoltare qualcosa. Che c'è di cervellotico?

Stepan Mussorgsky ha detto...

Era una battuta -_-

oui, c'est moi ha detto...

Era una battuta -_-

Ah scusa, non avevo capito :-)

( ͡° ͜ʖ ͡°) ha detto...

Scusate se sono in modalità OT, ma volevo aggiornarvi sull'ultimo "gioiellino" della Apple (chi pensava che l'Ipad fosse la migliore invenzione di Jobs, allora non ha ancora visto questo X-D):

Anonimo ha detto...

Per pauL

Scusate se sono in modalità OT, ma volevo aggiornarvi sull'ultimo "gioiellino" della Apple (chi pensava che l'Ipad fosse la migliore invenzione di Jobs, allora non ha ancora visto questo X-D):

Quindi la Apple ha reinventato la ruota, secondo il servizio della Cipolla CNN. Non si capisce mai in questi casi se la tv si prende giuoco di Steve Jobs o Steve Jobs si prende giuoco di noi.

theDRaKKaR the bloody homeopath ha detto...

Ah scusa, non avevo capito :-)

Pigliàtela!

Il Lupo della Luna ha detto...

Vi prego ditemi che quella di OnionNews è una presa in giro.

E' il principio del disco combinatore del telefono: chiedetevi perchè non l'hanno mai usato per scrivere delle parole.

La tastiera non sarà esattamente quel miracolo di ergonomia e praticità, ma sicuramente è più veloce di quella roba lì. Il sistema di previsione poi, se funziona come il T9, creerà delle frasi totalmente ridicole.

( ͡° ͜ʖ ͡°) ha detto...

@Lupo + @Accademia

Sinceramente una cosa così io la comprerei.
Per poi rivenderla al mio peggior nemico...

theDRaKKaR the bloody homeopath ha detto...

Ma Onion non è il sito delle notizie farlocche?

( ͡° ͜ʖ ͡°) ha detto...

@theDRaKKaR

...ma perché le devo spiegare le cose????? >:-((

Se guardi sotto al filmato ce ne sono altri, e dovresti già avere da te la conferma...

O pensi che "'Warcraft' Sequel Lets Gamers Play A Character Playing 'Warcraft'" sia qualcosa di normale????? :-))

L'unica notizia vera, però, è quella riguardo all'apparecchietto Sony :-)

Stepan Mussorgsky ha detto...

Ehm...non avevate capito che era una presa per il culo? :D Almeno quelli di voi che non sono maccari, intendo :|

Anonimo ha detto...

Io l'avevo capito... theDRaKKaR no.
Ma attenzione: con Apple, la realtà supera la fantasia. Se fra qualche anno Jobs verrà fuori con una trovata del genere pompata dall'ennesima campagna di promozione multimiliardaria, non ci sarà nulla di strano.

Il Lupo della Luna ha detto...

In realtà pensavo a una presa in giro MA dai geni del marketing di Cupertino mi aspetterei questo ed altro... Dirò solo un nome: Pippin

theDRaKKaR the bloody homeopath ha detto...

Io tre parole: troppe pippin mentali :D

oui, c'est moi ha detto...

Pigliàtela!

Chi mi deve prendere? I marziani? O gli agenti segreti del NWO?

theDRaKKaR the bloody homeopath ha detto...

Ma che razza di nick hai?

oui, c'est moi ha detto...

Ma che razza di nick hai?

Uno provvisorio scelto velocemente ... e poi è sempre meglio de tuo :P

Il Lupo della Luna ha detto...

Drak: credo che uno dei motivi dell'insuccesso di quella orribile console fu proprio il nome :p

Gli altri: Dreamcast e Playstation