Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Corsa alla Playstation 5, tra truffe, phishing e domini fake

Autore: Fernando Curzi (CyberSecurity analyst, pentester e web developer)
Data Pubblicazione: 17/04/2022

L’uscita di una nuova Sony PlayStation per molti è stato un evento emozionante, ricordo ancora nel lontano 1994 quando riuscii a mettere da parte qualche paghetta per l’acquisto della ps1, La console che ha segnato un’era, quella delle grafiche poligonali 3d anche se in realtà i poligoni nei videogiochi furono introdotti in precedenza dalla Nintendo e da Sega.

Vi starete chiedendo cosa c’entra la PlayStation con i domini fake?

Non preoccupatevi ci arriviamo subito. Come ho detto l’acquisto di una PlayStation è stato sempre un evento emozionante ma comunque per sua natura molto fisico, Cosa voglio dire con fisico? Partivi da casa con il tuo gruzzoletto di soldi in tasca e piombavi all’interno di un Gamestop per acquistarla oppure lasciare un acconto per prenotarla.

L’uscita della nuova PS5 nel novembre 2020 in piena emergenza Covid dopo un bellissimo periodo di lockdown ha generato nella gente qualcosa di mostruoso, praticamente anche chi non ha mai assaporato una sparatoria sulla folla in spiaggia o chi non sa cosa vuol dire guidare su un carro armato in pieno centro su GTA5, si è garantito l’acquisto di una ps5, ma forse 2, per non dire 3. Il che ha portato alla prima ondata di esaurimento scorte (situazione mai accaduta in casa Sony).

I commessi dei centri commerciali quando si videro i nuovi arrivi di ps5 senza nemmeno avere il tempo per sistemare gli scaffali, si ritrovarono sommersi di code lunghissime di persone per garantirsi non più due o tre ps5 ma bensì anche 10 e così via fino ad arrivare ad oggi che è diventato praticamente impossibile acquistarla al prezzo commerciale (399 euro Digital b.) (499 euro).

Le modalità di acquisto di Sony ps5 oggi avvengono solo online all’interno di finestre temporali con code di attesa che durano in totale 5-10 minuti al massimo (dipende dal termine delle relative scorte) ma quasi sempre non arrivi a fare a tempo con il paycheck che si chiudono gli ordini per esaurimento delle scorte.

Gli speculatori e la crisi dei semiconduttori hanno giocato un ruolo predominante su questo fenomeno, tanto che Sony attualmente non riesce a coprire tutta la domanda di ps5 a livello mondiale. Acquistare una ps5 a prezzo originale quindi è possibile solo online e in modalità e tempi ristretti, attraverso finestre temporali che vengono preannunciate e offerte in determinati periodi solo da rivenditori ufficiali: Unieuro, Euronics, Amazon, Gamelife e Gamestop.

Questo paradigma di acquistarle solo online è stato come un invito a nozze per i truffatori che si accingono nell’acquisto costante di domini fake, sui quali caricano CMS in stile E-commerce offrendo comunemente prodotti per la casa, elettrodomestici inesistenti e la mitica e introvabile ps5, portando ignari ma forse suona meglio “inesperti” utenti a farsi fregare.

Per noi che lavoriamo e viviamo in ambienti IT, verificare se un dominio è ufficiale o fake ci basta una strizzata di occhio alla struttura HTML della piattaforma o dalla composizione del suo url, ma Red hot cyber con questo articolo vuole portare all’attenzione questo problema, soprattutto alla gente comune, quella che non ha conoscenze avanzate.

Questo è un manuale di 10 regole per verificare se un dominio è un fake, prenderemo come esempio un e-commerce reale segnalato più volte da diversi utenti che attualmente vende ps5 che di fatto non sono mai arrivate a casa dell’acquirente. Il sito è https://tech-marker.com.

Utilizzerò uno smartphone per questa analisi con lo scopo di avvicinarmi il più possibile all’utente inesperto.

Le URL

Il nome del dominio è il primo fattore che deve portare all’attenzione il visitatore. Un dominio fake potrebbe in qualche modo assomigliare ad uno popolare, oppure essere un prodotto di servizi di URL shortner ed assomigliare a qualcosa del tipo http://bit.io5644.org. Nel nostro caso di analisi tech-marker.com potrebbe essere la copia di un altro sito di elettronica ovvero tech-market.it. Per verificare la proprietà di un dominio vi basta inserirlo in uno dei tanti servizi online di whois come questo: https://whois.domaintools.com/

controllare l’ufficialità su:

https://www.verificasito.it/

E la partita iva su:

https://telematici.agenziaentrate.gov.it/VerificaPIVA/Scegli.do?parameter=verificaPiva

 Se il risultato del whois porta a referenze che non corrispondono a quelle rimarcate sulla pagina del sito come: denominazione sociale, partita iva, nome e cognome proprietario, tel, email, sede legale, data di registrazione, potrebbe essere già un primo campanello di allarme.

Questa prima regola ovviamente non può essere l’unica da verificare ma dovrebbe combinarsi con altre.

C:\Users\542201be\Desktop\IMG_20220417_112210.jpg
C:\Users\542201be\AppData\Local\Microsoft\Windows\INetCache\Content.Word\IMG_20220417_112237.jpg

Data di registrazione del dominio

Un e-commerce fake il più delle volte viene creato per truffare un discreto numero di acquirenti quindi nascerebbe per frodare un tot numero di persone per cessare l’attività al raggiungimento di un determinato obbiettivo che il truffatore seriale si è prefissato. Spesso però questi loschi individui non sono così scaltri, non hanno opportune conoscenze tecniche e non adottano adeguati sistemi di anonimato o tecniche evasive, registrando qualche volta il dominio con il proprio nome e le proprie referenze reali (è successo anche questo), ovviamente il cliente truffato non è sempre così fortunato. Se la query al whois riporta una data di registrazione del dominio troppo recente, è probabile che si tratti di un secondo campanello di allarme da valutare.

C:\Users\542201be\Desktop\Screenshot_2022-04-17-21-05-53-548_com.android.chrome[1].jpg.png

Prodotti e prezzi

I prodotti e i relativi prezzi sono due elementi da tenere in considerazione e analizzare attentamente. Se il truffatore è un professionista del mestiere ovviamente non inserirà sulla piattaforma pochi prodotti a prezzi troppo vantaggiosi ma per attrarre più gente e non destare sospetti cercherà in qualche modo di rimanere vicino a quelli standard commerciali abbassandoli solo su prodotti ove c’è maggiore richiesta e minore offerta, ed ecco come ci ricolleghiamo al discorso della ps5. (la ps5 è venduta dai rivenditori a prezzi maggiorati tra 700 e 900 euro).

C:\Users\542201be\Desktop\Senza titolo.png

Metodo di Pagamento

Consideriamo sempre il caso di un truffatore seriale professionista, esso richiederà il più delle volte come metodo di pagamento solo in bonifico e carta di credito, è intuitivo comprendere che non accetti pagamenti con PayPal o non faccia riferimento esplicito a politiche di resi e rimborsi. Spesso però questo fattore porta il dominio ad essere subito segnalato come fake.

Il truffatore perfezionerà la piattaforma con sistemi di pagamento sicuro come il classico PayPal ma gestirà le api di collegamento in maniera volutamente non corretta, inducendo il sistema ad un malfunzionamento per problemi tecnici e richiedendo per il completamento dell’operazione di pagamento un diverso metodo di pagamento. Questo sito non utilizza pen niente Paypal ma si nota benissimo che il sistema preferito sono i bonifici bancari e le carte di credito.

C:\Users\542201be\Desktop\Screenshot_2022-04-17-21-21-09-804_com.android.chrome[1].jpg.png

Ricapitolando: Richieste di pagamento in bonifico o carta di credito senza Paypal oppure con PayPal ma in stato di blocco sono sintomi di un terzo campanello di allarme.

Sede legale

Dalla nostra precedente query al whois ci segniamo l’indirizzo della sede legale (qualora dovesse esserci) e facciamo un po’ di Osint (Open Source Intelligence). Apriamo Google Maps e inseriamo le referenze trovate, da questo momento in poi saremo in grado di verificare se la sede esiste veramente oppure corrisponde al civico di un negozio di saponette. (questa regola ovviamente ha senso se la piattaforma o il whois non riportano il numero di partita iva da verificare al link precedente dell’agenzia dell’entrate). 

C:\Users\542201be\Desktop\Screenshot_2022-04-17-21-19-40-946_com.android.chrome[1].jpg.png
C:\Users\542201be\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Screenshot_2022-04-17-21-29-31-842_com.google.android.apps.maps.jpg

Premettendo che la denominazione sociale non è tra le società censite da Google, ma comunque rimane un po’ insolito piazzare una sede legale sul confine Italia-Svizzera.

Recensioni

Le recensioni offrono un discreto grado di analisi di affidabilità, ma come ben saprete dal momento che esistono i domini fake esistono anche le recensioni fake, non le prenderei troppo in considerazione ma se analizzate con le pinze aiutano già da subito ad orientarsi su cosa bolle in pentola. Le migliori recensioni le trovate su https://trustpilot.com ma è più consigliabile buttare giù il nome del dominio sulla barra di ricerca di Google con qualche dorks legata alla kayword “truffa” tipo:  site: tech-marker.com inurl: truffa 

scorrerete magari qualche forum che ne parla.

C:\Users\542201be\Desktop\Screenshot_2022-04-17-21-33-23-871_com.android.chrome[1].jpg.png

Contatti

Se non ci trovassimo d’avanti a gente veramente pessima nel mestiere di truffatore non avremmo mai a disposizione sul sito il reale numero di telefono del malintenzionato o meglio un numero di telefono direttamente riconducibile alla reale persona. anche se potrebbe accadere che il truffatore e l’interlocutore che parla al telefono potrebbero risultare essere la stessa persona. Quindi che si fa’ con il numero di telefono? Facciamo altro Osint. Andate sul sito https://sync.me   e dategli in pasto il numero di telefono che servirà per verificare il nome e cognome del proprietario del numero, il meccanismo di sync.me funziona sulla base dei permessi dei contatti in rubrica che vengono rilasciati dagli utenti su sync.me, quindi si crea una rete legale che permette di verificare per esempio anche i numeri di spam.

C:\Users\542201be\Desktop\Screenshot_2022-04-17-21-36-48-006_com.android.chrome[1].jpg.png
C:\Users\542201be\Desktop\Screenshot_2022-04-17-21-59-16-674_com.miui.gallery[1].jpg.png

Su questa analisi, considerato il numero di telefono direi  di non sentirmela nemmeno di provare con sync.me.

Struttura HTML e CSS del sito

Questa è una regola rivolta ad utenti di un livello superiore rispetto alla soglia media. Valutare sempre la struttura HTML con la funzione ispeziona del browser, spesso nel Dom delle pagine web ci si trovano informazioni veramente importanti per identificare un dominio fasullo, una di queste potrebbe essere lo scarso utilizzo di librerie e framework CSS, font non personalizzati, immagini dei prodotti caricati presi da siti no Copyright, loghi standard e altri elementi percettibili ad occhio nudo per chi ha qualche conoscenza di programmazione web. 

Certificato TLS

Il certificato TLS (Transport Layer Security) corrisponde a quel lucchetto che vedete accanto ad ogni indirizzo di una pagina web nel vostro browser.

C:\Users\542201be\Desktop\Senza titolo.png

All’interno di quel lucchetto sono racchiuse informazioni importanti riguardanti l’ufficialità del dominio garantite da terze entità arbitrarie e dovrebbe prevenire anche la riservatezza dei dati trasmessi. I certificati TLS in effetti vengono integrati all’interno di protocolli di comunicazione web come http, smtp e ftp trasformandoli in https, smtps e ftps ovvero le normali richieste al web server che si fanno quando si naviga su internet o si invia un messaggio di posta elettronica. I certificati TLS servono oltre a garantire l’identità del destinatario anche alla cifratura dei dati trasmessi con l’utilizzo di particolari algoritmi di cifratura più o meno efficienti. Tutto questo che ci siamo detti è la regola del comune mortale ma purtroppo per noi che lavoriamo in ambito security è solo una legenda metropolitana che d’altro canto ho finalmente sfatato sul mio canale youtube “Hackerpunk” vi lascio il link per andarvi a vedere il video e iscrivervi al mio canale https://youtu.be/sMV3h8Mi1aQ

Come potrete notare nel nostro caso di analisi il dominio https://tech-marker.com prevede la navigazione con il certificato TLS, questa situazione è tanto normale quanto oscena, questo perché gli host provider permettono tranquillamente l’installazione dei certificati TLS a tutte le piattaforme web senza preoccuparsi e scavare a fondo sulle attività fraudolente che svolge quella stessa piattaforma, il che garantisce al truffatore e al suo sito fake anche il bollino verde. Dividiamo quindi le due classi di domini fake: da una parte abbiamo domini fake senza certificato TLS, ovvero i clone di domini che risiedono su web server di proprietà del malintenzionato e differiscono nel namedomain di alcuni caratteri (es. facebook.com è diverso da faceboook.com o da faceebook.com). Questa tipologia di pseudopiattaforme web sono utilizzate solo per attività di phishing come: rubare credenziali o dati di carte di credito e vengono create e distrutte in maniera dinamica. Dall’altra parte abbiamo piattaforme web regolarmente create su host provider con spazi, cms e database condivisi e sono utilizzate per vendere prodotti che non arrivano mai a destinazione e possono anche rimanere online per molto tempo, come nel caso del nostro dominio di analisi che vende dal dicembre 2021. 

Buon senso

Questa è la regola che dovrebbe essere dentro ognuno di noi, una dote innata che lascio l’interpretazione ad ognuno di voi.

Per il momento questo articolo è aggiornato con la lista sottostante in merito ad alcuni domini fake segnalati da alcuni utenti per la vendita di ps5 e prodotti HI-Tech, rimane in stato di aggiornamento costante sul sito di Red hot Cyber accogliendo le vostre segnalazioni in merito ad altri domini fake che trovate nella rete (inerenti anche ad altre tipologie di prodotti). Se i proprietari di questi domini si dovessero sentire offesi o calugnati,  l’autore dell’articolo è disposto ad accogliere le loro richieste su hackerhood.rhc@gmail.com ed eventualmente rimuovere il dominio dalla lista dei domini fake (qualora ci fossero i requisiti per farlo).

Lista domini fake: