[INDICE]:
1° DISCLAIMER (per newbe & sbirri)
2° DISCLAIMER (per wannabe & hacker)
1) IL SOCIAL ENGINEERING IN GENERALE
2) DI COSA HO BISOGNO
3) SOCIAL ENGINEERING APPLICATO ALLE CHAT
4) FARE MALE QUALCUNO VIA CHAT
5) SOCIAL ENGINEERING APPLICATO ALLE EMAIL
6) FARE MALE QUALCUNO VIA EMAIL
7) COME DIFENDERSI
8) GLOSSARIO
9) NOTE FINALI
---------------------------------------------------------------------
[1° DISCLAIMER (per newbes & sbirri)]:
Questa guida è stata realizzata per aiutare le persone, e in particolare
gli utenti inesperti, a riconoscere tentativi di truffa ed aggressione da partre
di altri, pertanto gli esempi di tecniche di attacco presenti devono considerarsi
come puri esempi atti al riconoscimento dei tali e non come insegnamenti al
danneggiamento altrui.
L'autore (il M3xican) non si assume nessuna responsabilità dell'uso errato e/o
dannoso che verrà fatto delle informazioni presenti in questa guida.
---------------------------------------------------------------------
[2° DISCLAIMER (per wannabes & hackers)]:
Questa guida è stata realizzata per aiutare le persone che sono infastidite
da stupidi lamer via chat o via email, la sto scrivendo perchè mi sono arrivate
molte email di utenti in difficoltà. Se ritieni che l'argomento sia lamer, che
io sia un lamer, che queste sono tutte cazzate, che tu avresti saputo scrivere
in maniera più semplice, più chiara, più bella, non me lo venire a dire via
email (sprechi tempo, lo so già che tu 6 un genio...), smetti di leggere e elimina
il file, nessuno ti ha chiesto di scaricarlo.
---------------------------------------------------------------------
[1) IL SOCIAL ENGINEERING IN GENERALE]
Social Engineering può essere tradotto con ingegneria sociale, ovvero la
scienza che si occupa dei rapporti con gli altri...
Il social engineering, infatti è "l'arte" che permette di ottenere informazioni
e/o compiere azioni che normalmente sono riservate a pochi.
Come si realizza questo? Semplice, spacciandosi per uno di quei pochi!
In pratica il social engineering si basa sulla menzogna, si contatta una vittima,
ci si finge qualcun altro che in qualche modo potrebbe essere, od è, legato alla
vittima e si prova ad ottenere informazioni e/o a compiere azioni sotto la falsa
identità.
Ecco un esempio:
Se telefono a un tizio e gli chiedo di darmi il numero della sua carta di credito,
lui come minimo mi ride in faccia e mi riempie di insulti... ma se invece chiamo
il tizio e mi spaccio per un impiegato della sua banca (meglio ancora se
realmente esistente), dicendo che dobbiamo effettuare un operazione temporanea
di transito del suo capitale a causa di problemi interni e che abbiamo bisogno
del suo numero per risolverli... bhè, al 90% otterremo quello che vogliamo
(dipende sempre dall'altra persona, e da quanto riusciamo ad essere convincenti).
Logicamente il social engineering non è una scienza esatta, se pretendete di
mandare una fake email alla casa bianca dicendo di essere Bush e di voler
sapere i codici per attivare una guerra nucleare perchè ve li siete scordati,
non credo che verrete tanto creduti...
Ricordate sempre la buona riuscita dell'operazione di social engineering
si basa sempre su due fattori:
1- La nostra abilità e furbizia.
2- La demenza della vittima =)
Spero che sia chiaro che l'esempio di prima era solo un esempio, qui non
imparerete a fottere i numeri di carta di credito (anche perchè se lo
sapessi fare non starei qui a scrivere sto manuale, ma su di una spiaggia con
1 bonazza in bikini vicino... =)!
Bene, finita la teoria iniziale, passiamo a qualcosa di più pratico.
---------------------------------------------------------------------
[2) DI COSA HO BISOGNO]
Allora, per poter comprendere appieno questa guida è necessario avere conoscenze
basi di HMTL & JAVASCRIPT, alcuni esempi che farò saranno interamente basati su questi
due linguaggi, benchè cercherò di spiegarli in modo da farli capire anche a un dummie
la conoscenza di essi è indispensabile per chi vuole operare da se e non limitarsi a
eseguire un copia e incolla dei miei listati.
Per quanto riguarda i programmi, c'è bisogno di un buon trojan tipo sub7 e di un buon
fake mailer/bomber tipo Xmass2000 entrambi li potete trovare su http://napolihak.da.ru .
Inoltre è necessario un requisito personale, che purtroppo nessuno vi può dare, la
rapidità di pensiero e di organizzazione. La prima è necessaria per sapersela cavare
in ogni situazione imprevista, la seconda per saper pianificare al meglio le nostre azioni.
---------------------------------------------------------------------
[3) SOCIAL ENGINEERING APPLICATO ALLE CHAT]
Il social engineering nelle chat può essere effettuato per diverse ragioni:
- Venire a conoscenza di quante più informazioni sulla vittima per poter essere in
grado di compilare una word list con delle password che lui potrebbe usare (per
utilizzarla da qualche parte).
- Sapere l'indirizzo email della vittima.
- Ottenere l'IP della vittima.
- Infettare la vittima con un trojan.
Ma vediamo le cose con calma.
Per ottenere quante più informazioni possibili su di una vittima ci sono diversi modi.
Il più semplice, dal punto di vista della realizzazione, è quello di chattare con la
vittima, mantenendo il dialogo sempre su di un tono molto tranquillo...
Mi spiego meglio: se contattiamo un tizo in chat e senza dargli il tempo di parlare
gli chiediamo, nome, cognome, città, hobby, ecc... difficilmente otterremo una risposta.
Ma se con lui instauriamo un rapporto di amicizia reciproca e magari salviamo ogni
volta la conversazione che abbiamo avuto, alla fine saremo in grado di stilare una
word list.
Questa operazione può richiedere da alcuni giorni ad alcune settimane, e non sempre
porta a buoni risultati, ma in genere è la più sicura, in quanto la vittima, se siete
abili, non potrà mai sospettare nulla di voi, per qualsiasi cosa gli accada... =)
Questa tecnica ha un problema di fondo, si basa sul dialogo, e considerando che in
genere si cerca di fare del male a persone con cui non si hanno buoni rapporti...
è un pò difficile pretendere di minacciare uno di morte e il giorno dopo, come per magia,
pretendere che chatti con voi d'amore e d'accordo...
In questo ci può aiutare il social engineering.
Ci sono diverse tecniche per riuscire a chattare con la vittima:
1- Il modo più semplice per chattare con un uomo qual'è? Semplice... fingere di essere
una donna!
Questa tecnica permette nel 99% dei casi la buona riuscita dell'obbiettivo preposto.
Per farlo è necessario crearsi nella chat un nick di donna (se si usano chat basate su
programmi tipo C6. altrimenti è sufficiente collegarsi con un nick di donna nelle chat
basate sul web/java), e contattare la vittima.
Il primo grande problema che si incontra utilizzando questa tecnica, è quello che non
appena si accede in chat con un nick di donna si viene bombardati da richieste di altri
uomini (richieste di sesso x di più!). Per questo è indispensabile rendersi indisponibili
a chattare con gli altri (sempre se si usa un programma di chat tipo C6, in cui cioè,
è possibile selezionare una opzione simile) per potersi concentrare sul proprio obbiettivo.
La prima volta che usai questa tecnica non pensai a rendermi indisponibile (stavo su C6),
e appena entrai in una stanza (che era una stanza normalissima, una di quelle fatte
proprio da C6, non dagli utenti) fui contatto da 15 uomini e dopo poco pure da una
lesbica...
siccome non capivo più un cazzo perchè avere 16 finestre aperte sullo schermo non è una
cosa molto gestibile... dovetti chiudere C6!
Un altro problema è che la vittima potrebbe essere uno dei milioni di malati sessuali
che affolano le chat, che considerano la chat come una cosa erotica e basta, in tal
caso appena lo contatterete lui vi chiederà di fare sesso... in questi casi io chiudo
e passo ad altre tecniche, ma se voi avete lo stomaco di fare sesso con un uomo per
cercare di ottenere qualche password... bè, auguri!
Se invece la vittima è disposta almeno nelle prime volte al dialogo, bhè, dateci
dentro e cercate di ottenre quante più informazioni potete, magari la prima volta
fate una specie di botta-risposta per conoscerlo, in pratica proponete che ognuno
parli di se. Abbiate cura al termine della conversazione di salvarla per poterla
osservare con cura in seguito. Inoltre prima di un'azione del genere preparate una
scheda su di voi, in modo da non creare sospetti nel caso non vi venisse al momento
cosa inventare su una determinata domanda fatta dalla vittima, per essere ancora più
convincenti mandategli anche una vostra foto... logicamente non vostra =) ma di una
ragazza con cui avete chattato, in quanto deve essere credibile (se mandate una foto
presa dal sito di pamela andersson non penso vi crederà... =).
2- Un altro metodo è quello di diventare "colleghi" della vittima.
Ovvero prendiamo il caso che il bastardo sia uno che va nelle chat a dire cose tipo
"meridionali di merda, terroni, ecc..", bhè... persone così non sono altro che
ignoranti e stupide, quindi degli ottimi bersagli per il social engineering =)
Come ci dobbiamo comportare noi? Semplice, assecondiamolo, comportiamoci come lui,
diamo forza alle sue menate.
Poi contattiamolo in privato e iniziamo a chattarci.
Questa è una tecnica che può ferire un pò nell'orgoglio, in quanto io, da napoletano,
non direi nemmeno se costretto con una pistola alla tempia "terroni di merda", ma basta
pensare che questo piccolo sacrificio con buona probabilità ci permetterà di fare
davvero del male al coglione, che tutto risulta più facile...
Questa tecnica è un pò rischiosa, in quanto alle volte ci si fa scoprire dalla vittima
in quanto si usa un espressione o si dice qualcosa che uno come lui non direbbe mai
(se ad esempio vi scappa un'espressione napoletana tipo "azz'" mentre chattate con
quello che attacca i terroni, vi fate scoprire).
3- Una evoluzione della tecnica precedente è quella di utilizzare due nick
contemporaneamente nella stessa chat dove è presente la vittima.
Tale tecnica può essere realizzata facilmente in chat basate sul web (tipo quella
di yahoo, ecc..) aprendo due volte contemporaneamente la stessa pagina (quindi
eseguendo due volte il browser) e entrando con due nick diversi.
Nelle chat basate su programmi c'è bisogno di un piccolo accorgimento.
Prendiamo ad esempio C6, se apriamo il programma e poi tentiamo di riaprirlo non
succede niente, in quanto il programma è già in esecuzione, ma se copiamo la cartella
in cui è contenuto in un altra cartella e da lì eseguiamo il programma, verrà aperto
una seconda volta il programma, e quindi potremmo connetterci con due nick
contemporaneamente =) (questo trucco mi è stato svelato da Nemesys, che ringrazio).
Ora che abbiamo due nick possiamo guadagnare molto più facilmente la fiducia della
vittima.
Ad esempio con un nick lo attacchiamo, riempiendolo di parole, sfottendolo, offendendolo,
e con l'altro lo difendiamo, per poi andarlo a contattare in privato, magari per
commentare la demenza della persona che lo attaccava (sempre voi).
Logicamente queste 3 tecniche servono solo per farvi conoscere la persona, il dialogo
poi lo dovete impostare voi a seconda dei casi, non esiste una regola generale su
come comportarsi.
L'importante è sempre di immergersi nel personaggio che si sta fingendo di essere,
in modo da non tradirsi mai.
Una volta che siete riusciti a chattare con la vittima non dovrebbe risultare
difficile ottenere la sua email, soprattutto se si utilizza un nick di ragazza e
si esegue la parte seguente:
ci si collega, si contatta la vittima, ci si parla un poco, e dopo un paio di minuti
all'improvviso si dice che per un motivo qualsiasi dovete andare subito, ma... ma,
ditegli anche che volete restare in contatto con lui, e che volete la sua email, se
lui è diffidente dategli una vostra creata appositamente per le operazioni di social
engineering e ditegli di contattarvi lì (abbiate cura nella scelta dell'email, se il
vostro nick è ad es.: bella21, l'email non potrà essere alberto_rossi@tin.it).
Ottenere l'IP della vittima è un operazione semplicissima, basta collegarsi con un
nick di ragazza, chattare 1 pò e poi mandargli la vostra foto (quella falsa, di cui
ho parlato prima), che lui sicoramente vorrà.
Logicamente per fare ciò c'è bisogno di una chat che permette lo scambio di files,
altrimenti niente!
Non appena la foto comincerà ad essere inviata, aprite una finestra MS-Dos
(Avvio-->Esegui-->command oppure doppio clik sull'icona di ms-dos presente in
avvio) e digitate il seguente comando:
c:>netstat -an
Tale comando visualizzerà tutte le connessioni attive al momento, e quindi anche
l'IP della vittima.
Se volete maggiori informazioni riguardo l'uso di netstat potete scaricare la
guida su di esso sempre su
http://napolihak.da.ru nella sezione MANUALI-->HACKING
Di come infettare la vittima con un trojan ne parlerò tra breve nella sezione (4).
Tutte le tecniche illustrate sopra sono rivolte contro vittime maschi, ma se vogliamo
attaccare una ragazza?
Bhè... il discorso diventa molto più complicato, infatti (almeno su C6) le ragazze
presenti, non ti rispondono nemmmeno se dici di essere il Papa... perchè nel 90% dei
casi stanno impegnate (a fare...).
Comunque provate sempre, la speranza è l'ultima a morire.
---------------------------------------------------------------------
[4) FARE MALE QUALCUNO VIA CHAT]
Il modo per riuscire a colpire col maggior danno possibile un utente di
internet qual'è?
Semplice, infettarlo con un trojan!
Tutti gli attacchi di questo modo su IP al massimo gli fanno crashare il pc, un trojan
è (quasi) per sempre e dà poteri pressapoco illimitati sul pc vittima!
Qui non spiegherò come usare un trojan, ma come infettare una vittima via chat.
La prima regola del social engineering è quella di fingere, camuffare e mentire sempre.
Questo cosa vi fa venire in mente...?
Per poter far eseguire un trojan alla vittima bisogna convincerla che sia un qualcosa
di totalmente diverso da una cosa dannosa, anzi, che è una cosa che gli può interessare.
Ci sono due casi principali, quando si vuole infettare qualcuno:
1) La persona che si vuole infettare è un perfetto sconosciuto.
2) La persona che si vuole infettare ci da la sua fiducia (poichè siamo riusciti a
guadagnarla grazie alle tecniche spiegate nella sezione (3).
Il primo caso può essere più semplice in determinate condizioni, ovvero quando si va
nelle chat in cui si scambia materiale pornografico.
Entrare nella chat con la seguente frase è il 90% del lavoro: "Chi vuole scambiare un
filmato con delle foto?"
quanto prima verrete contatti da più persone interessate allo scambio (i malati sono
tanti x fortuna =).
E cosa gli passeremo noi? Semplice, il server del trojan, ovvero la parte del trojan
che deve eseguire la vittima.
In questo caso però dovremmo sfruttare l'opzione di sub7 che permette di modificare
l'icona del server per renderla uguale a quella dei filmati .avi .
Logicamente il file sarà sempre .exe, per questo nel caso la vittima ci chieda
spiegazioni potremmo dire che è un filmato realizzato con 1 programma per il ritocco
dei filmati, che produce file eseguibili per poterli rendere utilizzabili da tutti...
questa è una mega palla, ma secondo voi chi si fa infettare da un trojan non è uno
che crede ancora a Babbo Natale? =)
Quando invece si vuole infettare un utente "normale" bisogna considerare bene la
situazione, non esiste una regola precisa, bisogna improvisare a seconda della
situazione, non so, magari dicendo alla vittima che si è uno sviluppatore di
software e che gli si vuole fare provare la propria ultima opera...
Il secondo caso necessita del lavoro di fraternizzazione con la vittima spiegato
nella sezione (3), ma garantisce risultati quasi sicuri.
Una volta ottenuta la fiducia della vittima potrete sempre fargli credere quello
che volete.
Ad esempio se una vostra amica vi manda un giochino via email, dicendo che è molto
carino, voi non lo provate? =)
Logicamente sta a voi creare la situazione più favorevole e la scusa più credibile.
In entrambi i casi impostate il server del trojan in modo che produca un messaggio
di errore, così poi potrete usare la scusa che si è danneggiato durante il collegamento.
Per quanto riguarda i possibili attacchi DoS che possono essere effettuati su di
un IP verrà realizzata in futuro una guida (poichè l'argomento è vasto e non
completamente inerente con l'argomento di questa guida), pertanto per ora non
vi anticipo niente.
Invece per cosa fare con l'email della vittima leggevi le sezioni (5) e (6)
presenti nel file soc_eng2.txt
---------------------------------------------------------------------
[5) SOCIAL ENGINEERING APPLICATO ALLE EMAIL]
Il social engineering applicato alle email è sicuramente più difficile
nella realizzazione di quello applicato alle chat, ma se svolto con cura permette
di ottenere migliori risultati (in genere...).
Lo scopo principale del social engineering applicato alle email è quello di ottenere
una password dell'account dell'utente, del suo sito personale, ecc..
Per fare ciò ci sono diverse tecniche:
1- Ci si crea un indirizzo email dello stesso dominio della vittima, con nick tipo
serv_assist, assistenza, marketing, sevizio.assistenza ecc...
In pratica se la vittima ha un indirizzo ciccio@isp.it noi dobbiamo andare a
crearci un indirizzo tipo serv_assist@isp.it . Fatto ciò scriviamo una bella
email alla vittima in cui diciamo più o meno così:
>Gentile Utente,
> A causa di problemi tecnici alcune informazioni sui nostri utenti sono state
smarrite.
> Per poterle ripristinare abbiamo bisogno del suo login e della sua password,
pertanto la preghiamo di
> inviarceli a questo indirizzo: serv_assist@isp.it
> Certi della sua collaborazione la ringraziamo.
>
> Il Responsabile Tecnico isp.it
> Ing. Mario Monti
Logicamente potete inventare scuse meglio articolate per rendere il tutto più credibile.
Però... questa tecnica, ha possibilità di riuscita tendente a 0... Bisogna solo essere
così fortunati da trovare un utente che ha acquistato il suo primo pc un giorno prima
(che tralatro deve essere pure un pò idiota...).
Io qui l'ho citata per non tralasciare niente, ma vi sconsiglio vivamente di usarla,
anche perchè così rischiate solo di mettere in allerta la vittima, che riconsocerà
molto più facilmente eventuali tentativi di social engineering.
2- Questa tecnica richiede una maggiore preparazione, ma garantisce probabilità di
riuscita nettamente superiori alla prima.
La prima cosa che dobbiamo fare è studiare il provider che fornisce l'email alla vittima.
Facciamo sempre l'esempio che la vittima abbia come indirizzo cicco@isp.it .
Noi ci colleghiamo al sito di isp.it e preleviamo i loghi in esso presenti, se
magari ci creiamo un account su di esso e aspettiamo che ci venga inviata un
email da loro (in genere ogni ISP ha un servizio di newsletter abbinato alla
casella email). Terminata questa fase di studio prepariamo un email che sia
quanto più familiare al sito, e alle email inviate.
Ad esempio, se l'isp invia email mettendo in alto una fascia verde con
all'interno il suo logo, noi ripeteremo esattamente il procedimento visto nel
punto 1 ma aggiungendo i particolari grafici appropiati.
Per fare ciò è necessario conoscere l'HTML in quanto bisognerà creare una
pagina HTML per poi passare tutto il codice in un email.
3- La terza tecnica è una seccessiva evoluzione della seconda.
In pratica è richiesta la stessa preparazione con una piccola aggiunta alla fine...
La piccola aggiunta consiste nell'inserimento di un form, ovvero di due campi
in cui la vittima deve inserire il proprio login e password e cliccare poi
sul pulsante invia.
L'email si presenterà esattamente come quella spiegata nel punto 2 soltanto che
l'aggiunta del form la farà sembrare ancora più autentica.
Però sorge un problema... per utilizzare un form è necessario poter disporre di
un server che gestisca script cgi, il che è praticamente impossibile nei servizi
gratuiti, quindi o sborsate per un server, o... vi affidate a qualche servizio
di gestione form gratuito tipo Bravenet (www.bravenet.com).
Una volta registrati al servizio vi verrà fornito il codice HTML che dovrete
inserire nel vostro sito.
Però il codice che vi verrà fornito visualizzerà la loro grafica e i loro
pulsanti, e questo a noi certo non va bene... per questo bisogna modificarlo
e renderlo simile a quello sottostante.
(le xxxxxxxx sono il vostro numero identificativo di bravenet)
I primi due campi input non devono essere modificati, in quanto sono quelli che
bravenet usa per riconoscervi, i secondi due sono quelli che definiscono i campi
che la vittima deve compilare, l'ultimo è quello che definisce il pulsante invia.
Il codice HTML soprastante può essere inserito in tabelle e contornato da elementi
grafici (ad esempio si può usare come pulsante invia l'immagine utilizzate da
isp.it per i suoi pulsanti).
Se magari nel sito di isp.it è presente una mascherina per accedere alla posta
via web, possiamo copiare il codice che ci interessa dalla loro pagina e modificare
solo i campi del form inerenti all'invio dei dati (che non dovranno più essere
usati per accedere all'area utente, ma che ci dovranno essere inviati).
Il tutto sta nella vostra capacità realizzativa.
Tale tecnica è senza dubbio la migliore e la più efficace in quanto non richiede
di possedere un indirizzo email appropriato, poichè la vittima ci invierà i dati
tramite il form presente nell'email.
Quindi in questo caso dovremmo utilizzare un programma tipo Xmass2000 con cui
inviare la nostra fake email basata sull'HTML preparato.
Sia la tecnica 2 che la 3 necessitano di immagini, tali immagini possono essere
prelevate dal sito proprietario dell'email della vittima (negli esempi fatti
isp.it) e caricate su un qualsiasi server gratuito (ormai ogni ISP offre uno
spaio web gratuito) per poterle poi utlizzare quando si vuole ed evitare che
eventuali aggiornamenti del sito da cui sono state prelevate compromettano il
nostro operato.
Se infatti ad esempio il logo di isp.it ha indirizzo
http://isp.it/img/loghi/logo_main.gif e noi utilizziamo questo indirizzo nel
nostro codice HTML e libero lo cambia per qualsiasi motivo, bhè... il nostro
piano fallisce ancora prima di cominciare!
---------------------------------------------------------------------
[6) FARE MALE QUALCUNO VIA EMAIL]
Ci sono diversi modi di fare male qualcuno via email, ma anche qui il
modo che comporta maggior danno è quello di riuscire a infettarlo con un trojan.
Molti lamer inviano fakemail a indirizzi vari con un file .exe allegato, magari
lasciando anche il testo vuoto, sperando nella curiosità/stupidità di chi
riceve l'email.
Ma questo è un sistema che ormai non funziona nemmemo per sbaglio...
Quindi per poter sperare che la vittima esegua il nostro bel server dobbiamo
affidarci ancora una volta al social engineering.
A mio parere la tecnica più affidabile è la seguente:
Inviamo una fake email come spiegato nella seconda tecnica nella sezione (5)
alla vittima spacciandoci per l'ISP che gestisce il suo indirizzo con il seguente testo:
>Gentile Utente,
> Siamo lieti di informala che da oggi è possibile utilizzare il nuovo
programma di connessione di
> isp.it.
> Il nuovo programma vi permetterà di ottenere connessioni più sicure
e più stabili.
> Tale programma le è stato allegato a questa email, per poterlo
utilizzare è necessario eseguire
> il file allegato e seguire i semplici passi dell'installazione.
> Per eventuali dubbi o domande inviate un email a assist_tecn@isp.it
>
>
> Il Responsabile Tecnico isp.it
> Ing. Mario Monti
(l'indirizzo assist_tecn@isp.it deve essere inventato, di certo non vi
interessa conoscere le lamentele delle vittime =)
Come allegato dell'email inseriremo il server del nostro sub7 avendo cura di
modificare l'icona con quella del vero programma di connessione dell'ISP.
Magari per rendere la cosa quanto meno sospetta possiamo far generare un
messaggio di errore al server di sub7 in modo che l'utente creda che ci sia
stato qualche problema.
Per ottenere le icone dei vari ISP è sufficente trovare un cd di connessione
a internet che viene distribuito nei negozi, per strada, nei giornali.
Tutti gli ISP distribuisco il proprio CD gratuitamente da qualche parte.
Se proprio non riuscite a trovarlo, provate a chiedere a qualche vostro amico
se utilizza quel determinato ISP.
Se anche questa ricerca risulta infruttuosa, provate a vedere sul sito
dell'ISP se è possibile scaricare il loro programma di connessione, in genere
dopo che ci si è registrati si ha tale possibilità.
I trojan non sono l'unico metodo che si ha per nuocere a qualcuno, infatti è
possibile utilizzare anche un semplice linguaggio chiamato javascript, che va
ad interagire con le pagine HTML per aumentarne l'interattività con l'utente...
questo nelle intenzioni iniziali, ma ogni cosa può sempre essere usata in
diversi modi. =)
Se ad esempio nell'email (basata sempre su un HTML) alleghiamo un codice tipo questo:
Non appena la vittima selezionerà il messaggio verranno generati infiniti box di
alert (quelli con l'icona del punto esclamativo nero nel triangolo giallo) con
la scritta 'PIANGI BaStArDo!!!!' che obbligheranno l'utente a spegnere il pc,
infatti anche la combinazione CTRL+ALT+CANC non può nulla...
La cosa più bella è che il messaggio non può essere cancellato se non quando
il javascript ha terminato il suo compito, ovvero mai... quindi ogni volta che
il messaggio viene selezionato si è costretti a riavviare il pc, quindi pensate
cosa succede se si inviano 20, 30 messaggi uguali, se l'utente non sa come
potersi difendere deve solo cancellare il suo client di posta, in quanto ogni
volta che vi accede almeno uno viene selezionato automaticamente.
Un altro attacco simile. ma molto più crudele può essere il seguente:
In questo caso non appena la vittima selezionerà l'email verranno aperte
infinite finestre a http://napolihak.da.ru
il che come minimo farà cadere la connessione, e come massimo farà crashare
il pc vittima.
Grazie ad un comando javascript si può anche formattare il pc della vittima,
ma non ho intenzione di spiegarlo qui,
sarebbe un informazione troppo preziosa per i lamers.
Entrambe gli attacchi basati su javascript non funzionano su servizi di webmail,
ovvero su con quelli account che si consultano direttamente da internet, tipo yahoo.
---------------------------------------------------------------------
[7) COME DIFENDERSI]
Questa guida, come detto nel primo disclaimer, è stata scritta per
insegnare gli utenti inesperti a difendersi dagli attacchi lamer.
Tutti gli attacchi descritti sono stati spiegati per poterli facilmente individuare.
In questa sezione però vi darò altri consigli per poterli prevenire e/o annullare.
Per quanto riguarda le chat, c'è poco da dire, la diffidenza è l'unica arma,
che però se accompagnata da un buon firewall e da un buon antivirus assicura
una discreta sicurezza.
Logicamente il mio consiglio è quello di non eseguire mai file che ci vengono
date da persone in chat, a meno che non siano nostri amici (reali) di lunga data.
Per quanto riguarda le email il discorso cambia.
Infatti oltre al solito suggerimento di cestinare all'istante le email di
provenienza sconosciuta contenenti allegati .exe e di utilizzare un antivirus
ci sono altri accorgimenti per prevenire attacchi basati su script allegati alle mail.
Se infatti si subisce un attacco basato su un javascript basta riavviare il pc,
eseguire Internet Explorer e andare in OPZIONI-->PROTEZIONE-->PERSONALIZZA LIVELLO
e disattivando controlli e plug-in Active-X e esecuzione script.
Poi riavviare Outlook e selezionare il messaggio "infetto", questa volta però non
accadrà niente e potremo cancellarlo liberamente.
Un consiglio generale è anche quello di rinominare i files comando più pericolosi
come i seguenti:
format.com --> form.com
deltree.exe --> dt.exe
tali files sono contenuti nella cartella windowscommand e possono essere
rinominati col seguente comando:
c:>rename comando.xxx nuovo_nome.xxx
dove xxx è l'estensione del file.
In tal modo eventuali tentativi di formattarci il disco rigido non avranno successo
in quanto nello script ci sarà una riga di questo genere:
comando_js("format c: /q /autotest >> NULL")
che otterrà come risultato solo un misero "comando o nome di file non valido" =)
---------------------------------------------------------------------
[8) GLOSSARIO]
-Script CGI(Common Gateway Interface):, script che permettono al client di
comunicare con il server per determinate azioni più o meno complesse (come
ad esempio un operazione di login oppure una ricerca di un termine).
-Fake mail: email fasulla, che nasconde l'identità di chi la manda sostituendola
con un'altra inventata da chi la invia.
-ISP: Internet Service Provider, ovvero fornitore di servizi internet, sono quelle
società che offrono collegamenti a internet e servizi connessi come ad esempio
una casella email, uno spazio per il proprio sito, ecc...
---------------------------------------------------------------------
[9) NOTE FINALI]
Per chi volesse discutere (civilmente) degli argomenti trattati in questa
guida è possibile contattarmi tramite i recapiti indicati nella parte iniziale
del file e tramite il forum del sito http://napolihak.da.ru .
Mi raccomando tenete d'occhio il sito tra breve altre nuove guide!
© GnomixLand
http://www.gnomixland.com/
http://www.gnomixland.com/