Discussione L'attacco di phishing peggiore del mondo

[Netcat]

Stamattina apro la posta e trovo un'email di poste italiane (falsa) che mi incitava a recarmi all'ufficio postale a recuperare un pacco che non ho mai ordinato. Per visualizzare i dettagli di questo pacco, l'email mi chiedeva di loggarmi nel sito di poste italiane. Sospettando si trattasse di un tentativo di phishing, mi sono loggato dalla pagina web ufficiale, ed effettivamente la mia area personale non riportava niente.

Invece di eliminare l'e-mail ho deciso di valutare la qualità dell'attacco. Ho aperto la pagina di phishing da un browser vuoto (nessun bookmarks, history, saved logins o cookies) usando una VPN con spoofed IP Address + Geolocation, e ovviamente... Indovinate che ho scoperto?

Mancano le conoscenze basiliari dell'HTML, inoltre sotto c'era scritto "Poste Italiane 2021" invece che 2022. Nelle immagini della pagina, c'erano errori nei SRC dei loghi, che risultavano appunto invisibili in fase di rendering. Ma la cosa più grave, è che l'autore dell'attacco non ha impostato una lunghezza minima e una lunghezza massima della password che si può inserire, cosa che farebbe palesemente scoprire che è un sito falso. Ho firmato il suo login scrivendo:
Username: Permettimi una correzione
Password: Apri l'HTML e vai al form della password, scrivici minlength="6", maxlength="50", così l'attacco è più credibile... ma senza bypassare il fattore a multiautenticazione obbligato da Poste non vai da nessuna parte. E finiresti comunque con lasciare tracce inevitabili se fai transazioni... Se vuoi un consiglio, butta via tutto.

 

[insidehackers]

Fantastico

 

[TheWorm91]

Mancano le conoscenze basiliari dell'HTML, inoltre sotto c'era scritto "Poste Italiane 2021" invece che 2022. Nelle immagini della pagina, c'erano errori nei SRC dei loghi, che risultavano appunto invisibili in fase di rendering. Ma la cosa più grave, è che l'autore dell'attacco non ha impostato una lunghezza minima e una lunghezza massima della password che si può inserire, cosa che farebbe palesemente scoprire che è un sito falso

ancora non capisco perché chi fa queste campagne di phishing poi non sappia fare un portale di fake login decente, di tutte le mail di phishing che ho visto nemmeno un portale risulta credibile

 

[hackynonpointer]

ancora non capisco perché chi fa queste campagne di phishing poi non sappia fare un portale di fake login decente, di tutte le mail di phishing che ho visto nemmeno un portale risulta credibile

A me hanno scritto alle 3:40 del mattino dicendo di andare nei messaggi e di aprire il link, era un login fake di Instagram del 2013/2015 sicuro ahahhahahah, sono rimasti un po' in dietro,

 

[0xbro]

ancora non capisco perché chi fa queste campagne di phishing poi non sappia fare un portale di fake login decente, di tutte le mail di phishing che ho visto nemmeno un portale risulta credibile

secondo me è dovuto al fatto che la maggior parte degli attacchi di phishing è condotta per lo più da "truffatori della domenica" che non hanno mai programmato in vita propria... è l'unica ragione che mi viene in mente

 

[Shini°]

Chi cade nel pishing in genere ha minime conoscenze nell'utilizzo del computer (già tanto se sanno aprire la posta elettronica).
I fake login hanno comunque effetto perchè la gente è stupida.

 

[Netcat]

Dimenticavo che aveva scordato anche l'attributo required="true"

Senza quest'attributo conferisci al target l'abilità di servirti un form vuoto