Discussione Penetration testing online scam - Come riconoscerli, come evitarli

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
443
127
327
691
Sono molti i siti web che lanciano disclaimer del tipo "Accessing other devices without their mutual consent is illegal", in quanti disclaimer ci è capitato di leggere questa frase? Ma in quanti hanno spiegato davvero cosa significa?

Oggi il valore della Privacy online e del Patrimonio Digitale sono più calpestati che mai, e nessuno fa niente per intervenire su questa situazione. La legge è generica, e si basa solo su un vago senso della morale, piuttosto che su un concreto e ben delineato concetto di giustizia.

Su queste fondamenta marce, create da uomini che non sanno quello che fanno, si erge la Truffa, che dilaga sovrana.
Innumerevoli casi di truffe basate su penetration testing illegali spacciati per legittimi. Cosa accade in questo tipo di truffa, come riconoscerla, e come prevenirla?

La vittima contatta un servizio di penetration testing fantoccio, probabilmente in cerca di una consulenza per la sicurezza. Il truffatore risponde, e dice che per verificare che l'infrastruttura informatica sia al sicuro, è necessario effettuare dei test sul dispositivo della vittima, e per effettuare questi test, il truffatore inventa una storia per convincere il malcapitato a garantire la famigerata autorizzazione scritta di cui blatera la legge, ed eventualmente, per assicurarsi di attaccare davvero il dispositivo della vittima, richiede anche una prova (ad esempio di fotografare il MAC del dispositivo o l'indirizzo IP pubblico da telefono). Concessa l'autorizzazione, il truffatore sfrutterà quest'errore giudiziario per penetrare il dispositivo della vittima con il suo consenso, e rubare quanti più dati possibili, installare ransomware, coin miner, proxyware, impiantare una backdoor per condurre spionaggio o altra roba. Alla fine del "test" il truffatore può fare 3 cose: o sparisce, o mente dicendo che "va tutto bene", oppure induce la vittima a scaricare un antivirus da quattro soldi, assicurandosi che si tratti di un antivirus che non rilevi specificatamente i malware che ha installato sul dispositivo infetto. E vi chiede anche un pagamento (in caso di ransomware non vi chiederà nulla ovviamente, perché ve lo chiederà direttamente durante il "test"). I truffatori più astuti inoltre, potrebbero riuscire a fare "pivoting" da una macchina virtuale, ottenendo accesso non autorizzato all'host.

Come evitare questo genere di truffa, che capita spesso alle persone inesperte di informatica, oppure agli stolti burattinati dai nostri vaghi codici penali?
1. Verifica la metodologia dell'hacker che contattati per ottenere il servizio. Un hacker onesto non vi chiederà mai di effettuare il test sul vostro vero dispositivo, e se vi chiederà di farlo su una macchina virtuale, si assicurerà che voi siete in NAT piuttosto che in Bridge (questo riduce drasticamente la possibilità di fare pivoting); se un hacker vi chiede di spostarvi in Bridge suggerendovi che il NAT è insicuro, stai semplicemente avendo a che fare con un truffatore.

2. Non fidarti di chiunque ti dice di voler fare i test sui tuoi dispositivi neppure se è "certificato", la certificazione può essere spoofata;

3. Non fidarti di chi ti offre la sua identità come garanzia in caso di "danni" ai tuoi dispositivi: l'identità può averla rubata o creata arbitrariamente;

Ma allora voi dite, non posso fidarmi più di nessuno ora?
Non ti preoccupare, un hacker corretto farà sempre questo:
1. Se proprio l'hacker desidera accedere all'host principale piuttosto che alla VM, vi incontrerà di persona, in modo tale da non poter mentire sulla sua identità o impersonare qualcun'altro, a quel punto voi avete la sua vera identità in caso di garanzia penale per furti/leaks o danni;

2. Se l'operazione si effettuerà in full da remoto, l'hacker non ha alcun diritto di richiedere autorizzazione d'accesso al vostro dispositivo, a meno che non vi siete già messi d'accordo dal vivo. Tutto quello che si può fare in completa sicurezza da remoto, è offrire una consulenza gratuita, vale a dire quello che succede in questo forum ogni giorno. Qualsiasi altra cosa espone al rischio di truffe, che avvengono di regola in qualunque forum diverso da Inforge.

Per concludere, io mi sento in vena di dire inoltre che anche se l'hacker è "in buona fede", accettare incarichi "strani" da remoto può essere rischioso anche per lui.
Spesso questa società ci addita come dei criminali, ma la verità è che è piena di BUGIARDI che cercano di abusare delle nostre conoscenze, oppure di criminali invidiosi che ci imitano per avere notorietà/o guadagni illeciti. Basti vedere quelli che ci cercano per richiedere servizi illegali, come la fabbricazione di malware, che vengono utilizzati per tutt'altro che scopi didattici. BUGIARDI. Oppure quelli che vogliono spiare il telefono alla ragazzetta con un keylogger solo per vedere se fa le corna. BUGIARDI.

Un cliente subdolo potrebbe fingere di garantirti l'autorizzazione ad attaccare un dispositivo che in realtà non gli appartiene, non cadere nella trappola.
I criminali sono i criminali, gli hacker sono gli hacker.
 
Stato
Discussione chiusa ad ulteriori risposte.