venerdì 16 dicembre 2016

Scrocchiamo sto wireless

#telefonate

 Mi sbatto tre ore per capire come mai un pc connesso in terminal server, non stampi sulla stampante posta nelle sue vicinanze, tolgo driver, rimetto, 2 volte, i driver, easy print ecc...

 Cliente: "Ah aspè aspè...siamo collegati su una rete wireless diversa da quella della stampante...."
Io: "No tranquillo...non fa nulla..."

 D.
alle Nessun commento:

mercoledì 14 dicembre 2016

#telefonate "...dove è il pulsante bianco..?"



Al telefono con una cliente:
Lei: "non parte il server aiuto che facciamo? dopo che TU lo hai spento non riparte!!Il programma non entra...."
Io: "Ci sta il server spento...ovvio! Ma il gruppo di continuità è acceso?"
Lei: "cosa è il gruppo, quale è?Quello bianco?quello nero?" (cosa sei razzista??)
Io: "Ragà, ma non sapete quale è il gruppo!?!? sta sopra il server!!"
Lei: "....UFFA..."
Io: "Allora...il gruppo è tipo un fornetto a microonde...MA STATE SCHERZANDO!?"
Lei: "Ma non ti puoi collegare?" (ma dove!?!? al tuo cervello per farti spostare il ditino sul pulsante che non vedi?)
Io: "ascolta...vedi il server?vedi il led verde?cosa fa, lampeggia?"
Lei: "si lampeggia"
Io: "Bene, premi il pulsante bianco cosi si accende..."
Lei: "...dove è il pulsante bianco..?"
Io: "ci sta uno sportellino vicino al led ve...MA NON LO AVETE MAI ACCESO IL SERVER!!?"
Lei: "...ok, premuto" (sento il tipico rumore da ventola che accelera)
Io: "ecco adesso sta partendo!"
Lei: "qui mi da ancora errore impossibile trovare.."
Io: "ASPETTATE CHE PARTA IL SERVER!!"
Ovviamente dopo hanno richiamato perchè ancora non riescono ad entrare, io da remoto vedo che il server ancora manco è partito del tutto, e sempre DA QUI, dico a loro CHE SONO LI, ora potete entrare! UN CIECO CHE DICE AD UN VEDENTE DOVE SBATTERE LA TESTA!
No, io forse appaio spesso cattivo, ma non si possono sentire ste cose...
alle Nessun commento:

mercoledì 22 giugno 2016

"Fiscing" come ti frego le password che tu stesso mi dai...

Quest'oggi vi parlo di quelle tecnica subdola chiamata *fishing*, tale tecnica, prevede che l'utente debba abboccare (da qui il termine fishing) a dei siti costruiti ad hoc dove lui stesso provvede ad inserire i dati sensibili come utente, password, conti correnti, numeri di Cdc, pin e quant'altro. Questo è possibile perché il sito è generalmente una fedele replica di quelli legittimi. Esistono molti siti "attaccati" da fenomeni di fishing, e bene specificare che non è esatto definirlo attacco in quanto il sito originale non viene generalmente toccato, se il sito legittimo dovesse essere sostituito da un altro falso, allora si parlerebbe di dns poisoning ecc...ma in questo esempio tratteremo di un sito fake.
Andiamo per ordine...da un paio di giorni mi arriva sul cellulare un normale sms di quelli con numeri mittenti sconosciuti e brevi, nel mio caso dal numero 4216.

Già a vedere il tipo di scrittura, la punteggiatura, puzza di cazzata. Ad ogni modo dal pc vado su www.posteid.date e mi si apre il sito della postepay...ovviamente fake!

Preso dalla noia, procedo ad inserire i dati, da notare che a differenza del sito originale, non presenta la dicitura in rosso...sembra quasi voglia non far sbagliare l'utente nell'inserimento...che bravi!

Preso sempre dalla voglia del sapere, mi armo di un software Acunetix Web Scanner, che permette di scovare le falle nei siti web, porte aperte ed eventuali pagine di autenticazione normalmente non accessibili, file asp non processati ecc...L'occhio mi cade su un file .\users.txt accessibile tramite browser, lo punto tramite Chrome ed ecco cosa ottengo, screen shot della scansione in corso e contenuto del file rilevato...


#2. 91.34.103.28 | 15:23:08 | felice.mastronzo-3434 - amenonmifreghi81 //by 0.0.modulo.php >> 0.0.modulo.verifica.php #3 91.34.103.28 | 7IPS RED. BAN IP ---> echo "91.34.103.28" >> 1/0.9.9.2.3.ipcheck.txt;echo "91.34.103.28" >> 0.0.ipcheck1.txt;
#3 91.34.103.28 | 7IPS RED. WRONG U/P ---> echo "91.34.103.28" >> 1/0.4.3.ipcheck.txt; #3 91.34.103.28 | 7IPS RED. SELFIE ---> echo "91.34.103.28" >> 1/0.9.9.3.9.3.ipcheck.txt; #4 91.34.103.28 | 7IPS RED. WRONG PHONE ---> echo "91.34.103.28" >> 1/0.5.3.ipcheck.txt;
#5 91.34.103.28 | 7IPS RED. LOW S/GRAZIE ---> echo "91.34.103.28" >> 1/0.6.3.ipcheck.txt; #6 91.34.103.28 | 7IPS RED. BANCOPOSTA ---> echo "91.34.103.28" >> 1/0.7.3.ipcheck.txt;
#7 91.34.103.28 | 5IPS RED. POSTE.IT ---> echo "91.34.103.28" >> 0.0.ipcheck1.txt; #8 91.34.103.28 | find . -type f -exec sed -i 's/91.34.103.28/10.10.10.10/g' {} +;
#1. 91.34.103.28 | 15:25:25 | ENTERED ON THE PAGE //runned by index.php --> 1/0.0.ipcheck1.php --> 0.0.Login.html 91.34.103.28 | RED.5 TO POSTE.IT ---> echo "84.11.42.214" >> 1/0.0.ipcheck1.txt;echo "87.13.48.224" >> 1/0.0.ipcheck1.txt; #9 91.34.103.28 | 15:26:13 | 120SEC | Felice Mastronzo | f.mastronzo@libero.it | 3292323888 | 6006343499932323 01/2022 112 //0.0.modulo.verifica.php #10 91.34.103.28 | RICHIESTA FIRST OTP WILL BE THE NEXT STEP 91.34.103.28 | WRONG U/P PAGE --> PASSED OK
91.34.103.28 | NO PHONE PAGE --> PASSED OK 91.34.103.28 | LOW S/GRAZIE PAGE --> PASSED OK 91.34.103.28 | RED. BANCOPOSTA PAGE --> PASSED OK 91.34.103.28 | BAN IP --> PASSED OK 91.34.103.28 | SELFIE PAGE --> PASSED OK
#11 91.34.103.28 | 15:31:33 | WAIT 10SEC. FOR 1.OTP //0.0.richiesta.otp.php 91.34.103.28 | 15:31:33 | RED. 7IPS GRAZIE ---> echo "91.34.103.28" >> 0.1.graziez.ipcheck.txt; 91.34.103.28 | 15:31:33 | RED. 7IPS BANCOPOSTA ---> echo "91.34.103.28" >> 0.1.hbancopostaz.ipcheck.txt; 91.34.103.28 | 15:31:45 | GO FOR 1.OTP RICHIESTA BRO //0.0.z.go.otp.php >> 0.1.conferma.otp.html #12 91.34.103.28 | 15:31:56 | 1.OTP - 333 //0.1.conferma.otp.php ---> 0.1.grazie.php

Come potete benissimo notare, sono presenti in chiaro TUTTI i dati da me inseriti, nome utente, password per accedere al sito delle poste, numero di carta, codice ccv, data di scadenza ecc...già a questo punto potremmo benissimo usare il numero della carta ed il codice, per fare acquisti! Ma il problema non finisce qui! L'utente che cade in questi tranelli generalmente utilizza le medesime password per tutte cose, se per esempio andassimo a cercare di accedere alla email f.mastronzo@libero.it con password "amenonmifreghi", molto probabilmente riusciremmo ad entrare, ed una volta dentro? Potremmo gestire eventuali altri siti alla mail collegati, resettare account, accedere a servizi privati ecc...il tutto senza destare dubbi, non vi sono stati tentativi di brute forcing, l'accesso è stato fatto in maniera classica, del resto si hanno utenti e password da NOI FORNITI!

Ora, questi dati che leggete, sono tutti inventati, ip in primis ecc...ma nel file originale, vi posso assicurare, che i numeri di carta di credito ed il resto dei dati, mi hanno dato la possibilità di accedere a:

•Posta elettronica 
•Facebook 
•Sito della Postepay, e guarda caso sito del BancoPosta, poiché condividono i medesimi account....

Avete anche notato, che ci stanno i numeri di telefono? Ho provato ad inserirlo nel campo di ricerca su facebook, e come per magia, appare il nome dell'utente, potremmo ricattarlo, minacciarlo, potremmo fare di tutto...

Regole fondamentali:
NESSUNO SITO che prevede una autenticazione, chiederà mai di rifornire i propri dati, di confermarli, e sopratutto MAI arriveranno messaggi scritti cosi male, fatevi furbi!   

•Cambiate spesso la password
•Non usate le stesse per tutto 
•Leggete bene, verificate prima e poi FORSE cliccateci  
•Se non siete sicuri di qualcosa, CAMBIATE LA PASSWORD!

PS: Se vi va di provare ad accedere a questa linux box, ha una connessione SSH attiva e pubblicata:


D.
alle Nessun commento:
Iscriviti a: Post (Atom)