Come ho scritto qualche giorno fa (clicca qui) , mi sono improvvisato reporter per smascherare una palese truffa, che però magari agli occhi di qualcuno potrebbe non essere tale.
Si tratta di un sito che promette di poter scoprire la password di qualunque utente facebook, twitter o di qualsiasi account di posta elettronica.
Ho contattato il sito diverse volte, ogni volta mostrandomi con un’identità diversa ovviamente, chiedendo di scoprire le password di alcuni fornitori di email gratuite (Tiscali, Alice, Fastweb, Email) e anche la password di un’email di un mio dominio che avevo appositamente creato!
Risultato: il tizio (o i tizi) che sta dietro a questa truffa scrive sempre che è in grado di scoprire la password, che il servizio costa 150 euro per una cosa normale, e fino a 300 euro se la questione è più difficile. Una volta gli ho chiesto anche se è legale (hihihi) e mi ha risposto che ovviamente è legale, anzi "Il servizio e totalmente legale visto in termini di legge dato che il compenso richiesto viene effettuato tramite ricarica postepay per ovvi motivi legali e fiscali sopratutto.". Chiarissmo, no? Hahaha.
Poi dicono che ci voglio 3/4 ore per recuperare la password. Diciamocela tutta: l’unico sistema "automatico" per reperire password (cioè non usando truffe più sofisticate, vale a dire farsela dire in qualche modo dall’utente) è il cosiddetto "brute force". Cioè "forza bruta". In pratica un programma prende delle parole da un dizionario (magari contenente centinaia di migliaia di parole) e le prova tutte. Funziona? No. Perchè? Primo perchè ci mette un sacco di tempo. Secondo perchè basta che io invece di usare una parola di uso comune uso il nome del mio cane "Sguarasgnauz" o magari una cosa del tipo "dklwj6" che l’ho fottuto. Terzo perchè ormai tutti ma proprio tutti i sistemi di accesso controllano se capita che sbagli troppe volte la password, figuriamoci un sistema che ne prova migliaia!!!! Quindi 3/4 ore…?? Impossibile. Magari 3/4 settimane di duro lavoro… e certo non ricompensate con 150 euro…
Allora ho chiesto di avere una prova. Dopo qualche ora mi scrivono e mi dicono che la password è stata reperita con successo. Altre volte mi scrivono il giorno dopo dicendo che hanno avuto dei "problemi sul server", ma che sono riusciti a sgamare la password. Allora chiedo cosa devo fare per avere una prova. E lì scatta un’altra barzelletta. Dietro richiesta ti mandano come presunta prova un’email spedita dall’indirizzo di cui tu hai chiesto la password. Ha ha ha scusate ma fa troppo ridere. Forse non tutti lo sanno, ma è facilissimo fare una cosa del genere. Un’email non è altro che un file di testo che inizia con dei dati (che di solito rimangono "nascosti" seguiti dall’oggetto e dal corpo della missiva elettronica. Cosa c’è scritto in quei campi? Per esempio l’indirizzo del mittente. Quindi è facilissimo, per chi ha un minimo di pratica, inserire a mano qualsivoglia indirizzo come utente. E per chi non ha nemmeno quel minimo di pratica (come i nostri "hackers") esistono dei siti che mandano email "anonime". In pratica tu metti il mittente, il destinatario, ecc. Ottimo per fare scherzi: puoi scrivere al tuo collega facendogli credere chs ta ricevendo un’email dal capo nella quale viene licenziato. Peccato che funzionavano 15/20 anni fa. Adesso molto facilmente s la posta finisce nella cartella dello SPAM perchè ci si accorge che l’indirizzo messo come mittente non corrisponde al computer dalla quale viene realmente inviata e la cosa è sospetta. Come si fa a scoprire il trucco? Ho analizzato a fondo l’email e mi sono accorto che arrivava da un sito straniero di "fake email". In molti casi ho fatto finta di non accorgermene e ho continuato la trattativa, in un caso invece gliel’ho fatto notare. Mi hanno risposto che era un mio tentativo di frodarli (hahahaha), in quanto loro avevano lavorato sodo e io con delle scuse non volevo pagarli.
In un caso ho preteso un’email presa dalla casella "hackerata", ma mi hanno detto che per problemi di privacy non potevano. Cioè, fammi capire, rubi una password (dicendo che è perfettamente legale) e poi ti fermi davanti alla privacy? hahahhaha.
In un altro caso ho detto di aver spedito un’email alla casella e gli ho chiesto "cosa ho scritto??" e ovviamente non hanno saputo farlo
Ho segnalato questa cosa a un famoso giornalista scopritore di "bufale" informatiche, chissà mai che non ci tiri fuori un bell’articolo!