Buonasera, in questo periodo stanno circolando delle truffe ai danni di coloro che hanno un qualsivoglia servizio attivo, presso aziende di informatica che offrono spazi web etc...
Questi "signori" inviano delle mail fasulle spacciandosi per l'azienda di riferimento e tramite link, invitano l'utente a compilare un form con i propri dati bancari.

Proprio oggi sono stato vittima di questo genere di truffa, anche se, a dir il vero, si è ribaltata un po' la situazione diciamo...

Queste pagine web sono identiche a quelle originali ma a livello di progettazione fanno davvero schifo. Ho usato il browser Tor per una questione di anonimato, ma soprattutto per disabilitare la parte javascript che mi impediva di fare "ispeziona elemento" sul loro sito. Una volta fatto ciò, ho rimosso le parti di codice html che impedivano di inviare un numero di caratteri superiore a tot, e altri controlli che impedivano l'inserimento di lettere e simboli.
Dopodiché ho incollato dentro ad ogni casella un testo in latino "lorem ipsum" di circa 1000 parole al posto delle credenziali bancarie. Ho ripetuto questa procedura per più volte...

Per completare il tutto, sono risalito all'azienda che ospitava in buona fede questa pagina web e ho spiegato la situazione, fornendo tutti i dettagli della truffa...

Da qualche ora il sito è sparito totalmente.

Non so se sia stato merito del macello che ho fatto io o della segnalazione, tuttavia mi chiedo, ciò che ho fatto comporta qualche rischio? Eticamente mi sembra una cosa corretta poiché incasinargli tutto è un modo immediato per frenarli in attesa della censura. In più non ho eseguito alcun accesso al loro server, mi sono limitato a compilare in modo non convenzionale i campi richiesti. Però, si sa, un conto sono le buone intenzioni, un conto è la legge...

Fatemi sapere, buona serata!

Non sono un esperto in materia ma a leggere il resoconto sei sempre stato dal lato client quindi per quale ragione dovresti aver infranto la legge?

Esattamente, ho fatto tutto lato client. Mi sono posto la domanda perché in ogni caso qualcosa è successo, e probabilmente la mia azione qualche problemino l’ha procurato. Io di legge non so quasi nulla a riguardo, per questo ho chiesto.
A questo punto pongo una domanda ulteriore (questa volta solo a livello teorico), se avessi osato di più, è possibile che un truffatore faccia una querela ad uno che gli ha danneggiato la propria piattaforma? È mai successa una roba simile? Chiedo giusto per curiosità, in passato c’erano persone che attaccavano i siti dell’Isis e non è successo nulla

In linea teorica penso sia possibile visto che questo genere di attacchi sono puniti dalla legge, in linea pratica sfido chiunque metta in pratica queste truffe ad andare a piangere in questura perché gli hanno ddossato il sito.

In effetti... Io alla fine mi sono sempre divertito a scovare malfunzionamenti col fine di comunicarli alle aziende e senza combinare macelli. Ieri però mi hanno fatto girare i cosiddetti... L'altro ieri ho fatto la stessa cosa ad un sito che si spacciava per TIM, il quale prometteva la vincita di un cellulare. Niente, era da un anno che c'era in giro questa truffa, ho fatto una marea di segnalazioni in passato ma il sito era sempre presente. Così ho adoperato lo stesso metodo pure con loro e incredibilmente hanno chiuso bottega. Credo che la loro sia più una questione psicologica, devono essersi sentiti presi di mira e hanno tirato via tutto. Chissà se spingere le persone interessate al mondo dell'informatica a compiere questi disturbi, possa diventare utile per limitare i fenomeni di phishing e altre truffe online. E' un ambito molto delicato ed è necessario essere sicuri al 101% prima di fare una qualsiasi cosa, però potrebbe funzionare...

E' molto difficile che un truffatore di professione utilizzi una propria piattaforma, questo per ovvi motivi.
Oltre a fare come quello "sgamato" da @BlackTie (cioè appoggiarsi a siti ufficiali, questo a loro insaputa), questi soggetti prediligono lo spamming e il phishing. Quelli più evoluti simulano il sito ufficiale, reindirizzando tuttavia su una piattaforma provvisoria che viene immediatamente eliminata una volta raggranellata una certa somma.
Su questo stesso forum ogni tanto approdano dei piccoli spammer che propagandano la fornitura di documenti falsi. Inutile anche fare una segnalazione alle autorità poiché gli indirizzi mail e i contatti whatsapp fanno riferimento a utenti-fantasma, spesso registrati su server russi, neozelandesi, africani.... Per noi basta il ban.
Personalmente sconsiglio di perderci troppo tempo, anche perché spesso si tratta di bot-machine che nemmeno leggono le risposte: è ciò che avviene ad esempio su E-bay o su Subito.it, dove molti truffatori reiterano i messaggi di vendita di piccoli elettrodomestici a prezzi ridicoli al solo fine di raggranellare ricariche Pay-Pall....

Kojak le uniche risposte che leggono sono i numeri delle carte di credito e le password che sperano di ottenere.

Quelli più interessanti secondo me sono i callcenter indiani, spesso presi di mira da personaggi poco convenzionali che si divertono con queste cose come me. Quelli sono degli autentici criminali che cercano di farsi pagare migliaia di euro fingendo di rimuovere dei "virus" collegandosi da remoto. Prima o dopo se avrò l'ispirazione giusta, imbastirò tutto un arsenale per divertirmi anche con loro...
In questo caso posso affermare al 100% che l'intervento di un disturbatore ha portato all'arresto di tutti gli impiegati. Però per fare una cosa simile ci vuole un lavoro di ricerca ed osservazione non da poco, oltre alle necessarie conoscenze tecniche

https://www.youtube.com/watch?v=_QdPW8JrYzQ

Se ho ben capito come ha agito, può stare tranquillo, ciò che ha fatto non è assolutamente illegale. Mi permetto qualche osservazione:

- l'uso della rete Tor fornisce sì anonimato, ma entro certi limiti. Esistono efficaci tecniche di fingerprinting, se è interessato all'argomento le suggerisco questo paper https://ieeexplore.ieee.org/document/6547132

- per quanto suoni simile al latino, lorem ipsum non è latino;

- l'input check, oltre che client side, viene di norma sempre fatto anche server side (se il server è stato scritto da persone con un minimo di conoscenza di sicurezza informatica). Quindi il tentativo di "infastidire" i truffatori usando questo espediente non credo sia andato in porto;

- ottimo per la segnalazione, anche se chiaramente da parte del truffatore lo sforzo per tornare online in qualche altro modo è minimo.

Il mio suggerimento per eventuali eventi simili futuri è quello di ignorare semplicemente le mail di phishing, come detto da @Kojak si perde solo del tempo.

Rohirrim molto interessanti le dritte, in particolar modo la pagina linkata. Ho approfondito la questione "latino", non me lo aspettavo proprio ma d'altronde sono un ex studente di un istituto tecnico, di lingue a parte comprendere l'inglese, non ne capisco molto...
Per il terzo punto sono ben consapevole che una persona normale fa un controllo anche server side, sto costruendo un sito a scopo ludico proprio per mettere le mani in pasta su questioni come controlli e sicurezza. Tuttavia la poca accuratezza del portale di phishing, con link rotti e modifiche fatte a spanne mi ha suggerito che anche la sostanza non fosse di chissà quale qualità. Così ho deciso di fare la "bravata" descritta nel messaggio.

Li ho anche bombardati compilando i campi mail con: "timetohavefun@withyou.scam", come dicevo è una cosa psicologica. Io al posto loro dopo un chiaro segnale di "presa di mira" sposterei la pagina altrove... Potrebbe spiegare la sparizione di quel sito che esisteva da più di un anno, immune da qualsiasi segnalazione.

Ma al di là di questa faccenda, un sogno sarebbe risalire ai nomi di chi fa queste cose e spiattellarli sulla scrivania di in un ufficio competente. Poi quello che succede non è affar mio e non mi interessa saperlo, però mi resta la soddisfazione di sapere chi sono e cosa fanno per guadagnarsi da vivere. Non mi sono mai piaciuti i codardi, soprattutto i codardi che rubano, poter fare esperimenti sulle loro piattaforme è istruttivo e allo stesso tempo motivante. Ecco, forse è questo il vero guadagno che ho ottenuto facendo ciò, ovvero mettere in moto la mente alla pari di risolvere un cruciverba.

Felice che abbia apprezzato il paper e gli altri punti.

Non metto in dubbio che possa essere divertente cercare di infastidire i truffatori e soprattutto che sia socialmente utile cercare di esporli, tuttavia ritengo molto più efficace contrastare il phishing con l'educazione alla sicurezza. Il phishing esiste per un motivo molto semplice: funziona. In minima percentuale, su milioni di mail, qualcuno abbocca. Se si educano gli utenti della rete, anche solo con poche buone pratiche di sicurezza, questa percentuale si ridurrà fino ad essere insufficiente per giustificare lo sforzo dei malintenzionati.

Non per frustrare i sogni di gloria di @BlackTie, ma ritengo che la sua seppur encomiabile attività di "contro-phishing" non abbia nemmeno scalfito la corazza di questi malfattori. Si vedono scoperti? Nessun problema, si attaccano a un altro sito o ne clonano un altro! Vi ricordate gli albori di questi fenomeni? Il sito Poste.it clonato? Bastava cambiare una lettera o il tipo di format e ricominciavano daccapo.... Spesso dietro quella che sembra una multinazionale della truffa ci sono appena un paio di personaggi, buoni conoscitori del sistema e di come aggirarlo. E pronti ad adottare le contromisure.

@blacktie , sei ancora in tempo per la polizia postale :rotflmao:

Mi ricordo che tempo fa avevi pensato ai carabinieri, non ricordo invece a che conclusione alla fine eri giunto.

Rohirrim e Kojak hanno immensamente ragione. È un divertimento farli strolicare però è ovvio che i risultati sono inconsistenti.

scalatore i Caramba sono sempre nei miei desideri! Banca dati alla mano e continuo a ripetere fino al quiz!

Finché ci chiami "Caramba" temo sarai tu a non finire mai fra i desideri dell'amministrazione.

Non credo che siano così acidi da non tollerare questo nome, detto da un aspirante (che in quanto tale si auto attribuisce questo appellativo). Noise... non vorrei che tu scambiassi il volere dell’amministrazione con il tuo personale...

Per tutti quelli che leggeranno questi ultimi due messaggi, posso rassicurarvi dicendo che conosco CC di tutti i gradi, dal carabiniere semplice fino agli Ufficiali. Sono persone grandissime, che fanno cose altrettanto grandissime e non temono certo un soprannome (appurato personalmente) :) Però non dite “Caramba” a qualcuno che non vi conosce e soprattutto non conosce ciò che pensate di loro... Ma qui, su un forum di questo tipo, era abbastanza scontato quali fossero le mie idee...

Aperto OT. Perché indugiare con appellativi nati nel dileggio popolare? Allora anche noi PS veniamo chiamati "affettuosamente" puffi.
Chiamiamo le cose/persone/istituzioni con il loro nome corretto, per favore. Chiuso OT.

Ricevuto Kojak, onde turbare i "nervi saldi" degli utenti :)