Discussione L'attacco di phishing peggiore del mondo

Stato
Discussione chiusa ad ulteriori risposte.

czonta96

Utente Gold
17 Gennaio 2022
268
73
164
289
Stamattina apro la posta e trovo un'email di poste italiane (falsa) che mi incitava a recarmi all'ufficio postale a recuperare un pacco che non ho mai ordinato. Per visualizzare i dettagli di questo pacco, l'email mi chiedeva di loggarmi nel sito di poste italiane. Sospettando si trattasse di un tentativo di phishing, mi sono loggato dalla pagina web ufficiale, ed effettivamente la mia area personale non riportava niente.

Invece di eliminare l'e-mail ho deciso di valutare la qualità dell'attacco. Ho aperto la pagina di phishing da un browser vuoto (nessun bookmarks, history, saved logins o cookies) usando una VPN con spoofed IP Address + Geolocation, e ovviamente... Indovinate che ho scoperto?

Mancano le conoscenze basiliari dell'HTML, inoltre sotto c'era scritto "Poste Italiane 2021" invece che 2022. Nelle immagini della pagina, c'erano errori nei SRC dei loghi, che risultavano appunto invisibili in fase di rendering. Ma la cosa più grave, è che l'autore dell'attacco non ha impostato una lunghezza minima e una lunghezza massima della password che si può inserire, cosa che farebbe palesemente scoprire che è un sito falso. Ho firmato il suo login scrivendo:
Username: Permettimi una correzione
Password: Apri l'HTML e vai al form della password, scrivici minlength="6", maxlength="50", così l'attacco è più credibile... ma senza bypassare il fattore a multiautenticazione obbligato da Poste non vai da nessuna parte. E finiresti comunque con lasciare tracce inevitabili se fai transazioni... Se vuoi un consiglio, butta via tutto.
 

TheWorm91

Utente Silver
31 Marzo 2022
120
25
36
63
Mancano le conoscenze basiliari dell'HTML, inoltre sotto c'era scritto "Poste Italiane 2021" invece che 2022. Nelle immagini della pagina, c'erano errori nei SRC dei loghi, che risultavano appunto invisibili in fase di rendering. Ma la cosa più grave, è che l'autore dell'attacco non ha impostato una lunghezza minima e una lunghezza massima della password che si può inserire, cosa che farebbe palesemente scoprire che è un sito falso
ancora non capisco perché chi fa queste campagne di phishing poi non sappia fare un portale di fake login decente, di tutte le mail di phishing che ho visto nemmeno un portale risulta credibile
 

0xGhost

Utente Gold
22 Febbraio 2022
306
34
221
253
ancora non capisco perché chi fa queste campagne di phishing poi non sappia fare un portale di fake login decente, di tutte le mail di phishing che ho visto nemmeno un portale risulta credibile
A me hanno scritto alle 3:40 del mattino dicendo di andare nei messaggi e di aprire il link, era un login fake di Instagram del 2013/2015 sicuro ahahhahahah, sono rimasti un po' in dietro,
 

0xbro

Super Moderatore
24 Febbraio 2017
4,155
162
3,194
1,645
ancora non capisco perché chi fa queste campagne di phishing poi non sappia fare un portale di fake login decente, di tutte le mail di phishing che ho visto nemmeno un portale risulta credibile
secondo me è dovuto al fatto che la maggior parte degli attacchi di phishing è condotta per lo più da "truffatori della domenica" che non hanno mai programmato in vita propria... è l'unica ragione che mi viene in mente
 
  • Mi piace
Reazioni: Alessandro2222

Shini°

Utente Gold
26 Febbraio 2009
350
54
92
236
Chi cade nel pishing in genere ha minime conoscenze nell'utilizzo del computer (già tanto se sanno aprire la posta elettronica).
I fake login hanno comunque effetto perchè la gente è stupida.
 

czonta96

Utente Gold
17 Gennaio 2022
268
73
164
289
Dimenticavo che aveva scordato anche l'attributo required="true"

Senza quest'attributo conferisci al target l'abilità di servirti un form vuoto
 
Stato
Discussione chiusa ad ulteriori risposte.