Spiare PC o rubare dati e carte di credito: lo possono fare tutti. La prova.

Come realizzare un attacco informatico: un kit gratuito, un po’ di ingegneria sociale e i dati di login a Facebook e Gmail e numeri di carta di credito finiscono nella mani del cracker.

 

Non è necessario possedere le conoscenze di un GeoHot o di un MuscleNerd per predisporre un attacco informatico e sottrarre dati di login ad account di Facebook o Gmail o altre informazioni sensibili come numeri di carte di credito e credenziali di accesso.

Una dimostrazione della relativa facilità con cui portare a termine propositi criminali è stata fornita da Fabio Grattagliano de Il Sole 24 Ore, che si è trasformato in un cracker con la consulenza di Antonio Forzieri di Symantec Services Group e la complicità di Giambattista Causin, avvocato esperto di diritto d’autore e di criminalità informatica.

È stata realizzata una botnet Zeus grazie a un kit gratuito trovato in Rete, sufficiente a penetrare le difese del PC di Forzieri, equipaggiato con un software non aggiornato. Una web shell, anch’essa gratuita, è stata inclusa in un portale web vulnerabile, e successivamente è stato installato il pannello di controllo del kit. I report di Symantec, riferisce Grattagliano, indicano che i file di cui gli utenti si fidano di più sono i PDF. Il cracker fai-da-te ha spedito un file PDF infetto all’indirizzo email dell’avvocato in due tempi: prima il file PDF protetto da password e poi una seconda email con la password.

L’accesso al file PDF ha aperto a Grattagliano la porta per intercettare dati sensibili: sono arrivate prima le credenziali di accesso a Facebook e Gmail e poi il numero di carta di credito e i relativi codici di sicurezza.

Autore: Andrea Galassi

Ultimi articoli correlati: