Una buona dose d’ironia nel mondo della cyber criminals: un attaccante che ha creato siti web cloni viene incontrovertibilmente smascherato nel momento in cui decide di assumere un avvocato.
In uno dei recenti eventi paradossali del mondo del cyber crimine, un malevolo hacker che aveva costruito una rete di siti web imitazioni del popolare servizio di messaggistica autodistruttivo Privnote è stato accidentalmente esposto. Il ridicolo episodio ha portato alla luce un’ampia rete di siti di phishing, che sostituivano automaticamente i riferimenti ai pagamenti in criptovaluta con quelli controllati dal malintenzionato.
Il servizio offerto da Privnote, avviato nel 2008, è molto apprezzato per la sua semplicità, il che spiega la sua popolarità tra gli appassionati di criptovaluta. Le funzionalità di Privnote sono state talmente adeguate a soddisfare le esigenze degli utenti che hanno attirato l’attenzione dei finti siti del servizio, i quali sostituiscono con successo gli indirizzi di pagamento in criptovaluta forniti dagli utenti con quelli dell’hacker.
A quanto pare, il colpevole di questa articolata campagna di phishing è diventato audace al punto da minacciare un’azione legale contro MetaMask, un portafoglio informatico di criptovalute, per aver inserito uno dei suoi siti di phishing nella sua lista di siti pericolosi. Il protagonista di questa storia, conosciuto su GitHub con il nome di fory66399, ha improvvisamente cambiato il suo atteggiamento quando uno dei responsabili di MetaMask ha prodotto screenshot che provano le pratiche scorrette del sito.
Il malintenzionato, spiazzato dalla reazione, ha inavvertitamente svelato l’esistenza di altri domini sospetti. Una ricerca effettuata su DomainTools.com ha portato alla luce ulteriori connessioni tra questi domini e possibili cortine fumogene messe in atto dall’irresponsabile hacker.
Del tutto sorprendente è il fatto che qualcuno abbia messo tanto impegno nel far sembrare il dominio tornote[.]io un sito legittimo. Un account su Medium ha addirittura pubblicato oltre una dozzina di post negli ultimi dodici mesi elogiando Tornote come un servizio di messaggistica autodistruttivo sicuro. Ma le prove dimostrano che anche tornote[.]io sostituisce qualsiasi indirizzo di criptovaluta nei messaggi con il suo indirizzo di pagamento.
Il malintenzionato ha utilizzato anche un trucco per far apparire i suoi siti di phishing tra i primi risultati dei motori di ricerca per “privnote”. Il risultato oggi? Tornote[.]io è l’ottavo risultato su Google. Sembra che questo malevolo clone di Privnote cambi i suoi indirizzi di pagamento ogni cinque giorni, in un tentativo, immagino, di rimanere sempre un passo avanti rispetto alle liste nere.
Una cosa è chiara da questo curioso caso: quando si opera in un ambiente così complesso come il web, anche gli ostacoli più grandiosi possono essere sorpassati se si dispone delle giuste conoscenze e abilità. Una storia senza dubbio sconcertante ma indispensabile per promuovere la consapevolezza sulla sicurezza in un’era in cui le minacce informatiche sono sempre più sofisticate e ingannevoli.