Salve a tutti...
Come premessa voglio dire che questa discussione è solo ipotetica, non si promuove nessuna azione illegale, è nata da curiosità e non da bisogno di informazioni per rubare denaro a nessuno. Se volete fare i moralisti, evitate perchè ho già la mia morale che mi impedisce di fare certe cose.
Bene, allora posso dire che recentemente mi sono specializzato nella sicurezza dei siti web, e così girovagando in internet ogni tanto provo a trovare qualche vulnerabilità nei siti, in particolare nei negozi online. Quello che ho trovato è abbastanza preoccupante. Ho trovato l'accesso ai dati di innumerevoli negozi italiani (alcuni deserti, altri con qualche migliaio di utenti) e le password in molti non sono criptate oppure sono criptate con un semplice md5 (facilmente decrittabile se di pochi caratteri). E tra le password ho trovato anche quelli degli utenti amministratori, con le quali posso modificare il prezzo degli articoli, i codici sconto, i prodotti, le pagine... Insomma, posso modificare tutto, compresi i metodi di pagamento. (Tralasciamo il fatto che posso ricavare una lista di decine di migliaia di email/password, che il 50% degli utenti usa uguali su diversi siti (tipo paypal, tipo l'email, tipo facebook ecc...) Su questo ultimo punto (i pagamenti) voglio dilungarmi un attimo. Recentemente un mio amico è stato truffato online, dopo aver pagato con bonifico (verso una postepay evolution) non ha ricevuto l'oggetto. Non so ancora se è riuscito a ricevere i soldi indietro, ma so che un bonifico è sicuro fino ad un certo punto, infatti dopo l'accredito, il truffatore può riscuotere i soldi dalla postepay associata e ciao, spariscono. Ovviamente per fare una postepay ci vogliono tutti i dati, quindi si è rintracciabili (in linea di massima, perchè poi si trova il modo di fare una postepay con dati falsi). Invece esistono servizi che non richiedono documenti per una carta con iban associato. Pochi giorni fa ho cercato e ho trovato appunto una banca polacca che con dati falsi e il numero di telefono (si trova il modo per aggirare anche quello), mi ha dato una carta virtuale visa, con associato il codice bancario... Ora arriva la parte interessante... (e vi ricordo che è ipotetico, non farò mai una roba simile, anzi ho già avvertito alcuni amministratori dei negozi delle vulnerabilità)
Se cambiassi le informazioni di pagamento di uno o più negozi (per qualche ora) e indirizzassi i pagamenti verso l'account bancario polacco e lascassi aspettare i clienti fino all'accredito, poi potrei spostare i soldi su altri siti (o magari comprare bitcoin) per far perdere le tracce del denaro? Riuscirebbero i clienti truffati a bloccare il denaro in qualche modo? Avendo usato un computer pubblico (ad esempio in biblioteca) con un proxy, dati falsi, numero di telefono falso risulterei irrintracciabile? E infine, dopo aver fatto girare il denaro online, magari su più siti, passando per i bitcoin e altro, avrei la garanzia di essere irrintracciabile al 99,99%, magari facendoli finire su un'altra carta postepay?
Faccio queste domande, perchè mi sembra di avere tutti gli strumenti per fare una truffa da migliaia di euro (un solo negozio di quelli che ho visto, oggi ha ricevuto ordini per più di 30000€ :O), ma mi sembra strano che sia così semplice. Quali sono i punti del mio ragionamento che non vanno (a parte la fiducia dei clienti a fare un bonifico su uno store italiano verso un conto polacco )?
Grazie per le informazioni e attenti ai siti dove mettete i vostri dati
Come premessa voglio dire che questa discussione è solo ipotetica, non si promuove nessuna azione illegale, è nata da curiosità e non da bisogno di informazioni per rubare denaro a nessuno. Se volete fare i moralisti, evitate perchè ho già la mia morale che mi impedisce di fare certe cose.
Bene, allora posso dire che recentemente mi sono specializzato nella sicurezza dei siti web, e così girovagando in internet ogni tanto provo a trovare qualche vulnerabilità nei siti, in particolare nei negozi online. Quello che ho trovato è abbastanza preoccupante. Ho trovato l'accesso ai dati di innumerevoli negozi italiani (alcuni deserti, altri con qualche migliaio di utenti) e le password in molti non sono criptate oppure sono criptate con un semplice md5 (facilmente decrittabile se di pochi caratteri). E tra le password ho trovato anche quelli degli utenti amministratori, con le quali posso modificare il prezzo degli articoli, i codici sconto, i prodotti, le pagine... Insomma, posso modificare tutto, compresi i metodi di pagamento. (Tralasciamo il fatto che posso ricavare una lista di decine di migliaia di email/password, che il 50% degli utenti usa uguali su diversi siti (tipo paypal, tipo l'email, tipo facebook ecc...) Su questo ultimo punto (i pagamenti) voglio dilungarmi un attimo. Recentemente un mio amico è stato truffato online, dopo aver pagato con bonifico (verso una postepay evolution) non ha ricevuto l'oggetto. Non so ancora se è riuscito a ricevere i soldi indietro, ma so che un bonifico è sicuro fino ad un certo punto, infatti dopo l'accredito, il truffatore può riscuotere i soldi dalla postepay associata e ciao, spariscono. Ovviamente per fare una postepay ci vogliono tutti i dati, quindi si è rintracciabili (in linea di massima, perchè poi si trova il modo di fare una postepay con dati falsi). Invece esistono servizi che non richiedono documenti per una carta con iban associato. Pochi giorni fa ho cercato e ho trovato appunto una banca polacca che con dati falsi e il numero di telefono (si trova il modo per aggirare anche quello), mi ha dato una carta virtuale visa, con associato il codice bancario... Ora arriva la parte interessante... (e vi ricordo che è ipotetico, non farò mai una roba simile, anzi ho già avvertito alcuni amministratori dei negozi delle vulnerabilità)
Se cambiassi le informazioni di pagamento di uno o più negozi (per qualche ora) e indirizzassi i pagamenti verso l'account bancario polacco e lascassi aspettare i clienti fino all'accredito, poi potrei spostare i soldi su altri siti (o magari comprare bitcoin) per far perdere le tracce del denaro? Riuscirebbero i clienti truffati a bloccare il denaro in qualche modo? Avendo usato un computer pubblico (ad esempio in biblioteca) con un proxy, dati falsi, numero di telefono falso risulterei irrintracciabile? E infine, dopo aver fatto girare il denaro online, magari su più siti, passando per i bitcoin e altro, avrei la garanzia di essere irrintracciabile al 99,99%, magari facendoli finire su un'altra carta postepay?
Faccio queste domande, perchè mi sembra di avere tutti gli strumenti per fare una truffa da migliaia di euro (un solo negozio di quelli che ho visto, oggi ha ricevuto ordini per più di 30000€ :O), ma mi sembra strano che sia così semplice. Quali sono i punti del mio ragionamento che non vanno (a parte la fiducia dei clienti a fare un bonifico su uno store italiano verso un conto polacco )?
Grazie per le informazioni e attenti ai siti dove mettete i vostri dati
Comment