Come creare false pagine Web di siti autorevoli

© 2001-2005 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).

Prima versione: 12/5/2001. Ultimo aggiornamento: 20/10/2005.

In breve

E' possibile, ed estremamente facile, creare delle pagine Web che sembrano avere indirizzi (URL) di siti autorevoli. Un navigatore distratto, che non ha un browser sicuro, vede un URL che inizia con (per esempio) http://www.microsoft.com ed è quindi convinto che le informazioni che sta visualizzando provengano da quel sito, mentre in realtà provengono da una fonte scelta a piacere dall'autore del raggiro.

Qui sotto descrivo alcuni dei metodi usatissimi (singolarmente o in combinazione) dai truffatori per rubare le password degli utenti dei servizi bancari via Internet: creano un sito-trappola, identico a quello della banca vera, e mandano alla vittima un e-mail che chiede una "verifica" della password, da fare cliccando sul link fornito nel messaggio, che apparentemente rimanda alla banca vera ma in realtà porta al sito-trappola. E' un sistema noto in gergo come phishing.

Inoltre Internet Explorer 6.0, perlomeno nelle versioni fino a dicembre 2003, ha un particolare difetto in base al quale lo si può indurre a visualizzare nella barra di navigazione un indirizzo falso a piacere. Questo problema è descritto e dimostrato in un'altra pagina di questo sito, dove sono riportate anche le istruzioni per correggerlo tramite la patch fornita a febbraio 2004 da Microsoft.

La soluzione

Tenere gli occhi aperti, non fidarsi dei messaggi che chiedono di verificare password, e usare un browser sicuro. Alcuni browser hanno l'accortezza di avvisare quando un indirizzo potrebbe essere fasullo.

Il metodo della chiocciolina

Supponiamo che Maurizio riceva da un amico, Piero, un e-mail di questo tipo:

From: Piero
To: Maurizio
Subject: Ecco cosa guarda Bill Gates nei momenti liberi
-------
Ciao Maurizio,
un amico mi ha segnalato una chicca! Dentro il sito Microsoft c'e'
nascosta una copia integrale del sito di Playboy!!!
L'indirizzo e' questo:

http://www.microsoft.com&item=q209354rexsddiuyjkiuylkuryt2583453453fsesfsdfsfasfdfdsf@www.playboy.com

Ciao da Piero.

Se Maurizio guarda distrattamente (come facciamo tutti, ammettiamolo) il chilometrico link che Piero gli ha mandato, penserà che si tratti davvero di una pagina del sito Microsoft. In realtà il link porta alle normali pagine di Playboy, ma l'illusione è perfetta.

Fra l'altro, il link citato qui sopra non è inventato: funziona sul serio. Provare per credere (sempre che non vi dia problemi avere lo schermo invaso dalle donnine di Playboy).

Lascio a voi immaginare quanti scherzi (e raggiri) si possono combinare con questo sistema.

Questo metodo funziona grazie alle regole di funzionamento di Internet, che consentono ai browser di interpretare indirizzi Web redatti in questo modo:

sito_apparente@sito_reale

Qualsiasi cosa venga scritta prima della chiocciolina viene sostanzialmente ignorata, e quindi si può usare una stringa lunga a piacere: più è lunga, più è improbabile che la vittima dell'inganno se la legga tutta e scopra il trucco.

Certo, un navigatore attento può accorgersi della presenza di quel "www.playboy.com" sospetto in fondo al link proposto e quindi sospettare l'inganno. Ma si può mascherare in vari modi il nome del sito dopo la chiocciolina, come descritto qui sotto.

Il metodo dell'indirizzo numerico semplice

A ogni nome di sito Internet corrisponde un indirizzo numerico o indirizzo IP, composto da quattro numeri. Per esempio, al momento in cui scrivo, c'è un sito per adulti, diramazione di Playboy.com, che ha l'indirizzo IP 216.163.137.3. I browser interpretano questo indirizzo IP e lo usano per portarvi a visitare il sito corrispondente.

In combinazione con il metodo della chiocciolina, questo permette di architettare burle come questa:

From: Piero
To: Maurizio
Subject: Ecco cosa guarda Bill Gates nei momenti liberi
-------
Ciao Maurizio,
un amico mi ha segnalato una chicca! Dentro il sito Microsoft c'e'
nascosta una copia integrale del sito di Playboy!!!
L'indirizzo e' questo:

http://www.microsoft.com&item=q209354@216.163.137.3

Ciao da Piero.

In questo modo, ogni riferimento visivo alla vera destinazione di questo link è scomparso.

Un navigatore attento potrebbe accorgersi dell'inganno notando che dopo la chiocciolina c'è appunto un indirizzo IP, ossia quello del sito che viene effettivamente raggiunto cliccando sul link, e insospettirsi. Ma ci sono altri modi meno evidenti, descritti qui sotto, per esprimere un indirizzo IP.

Il metodo dell'indirizzo numerico dotless

Per evitare di lasciare nel link l'indirizzo numerico esplicito, che potrebbe indurre al sospetto, si può esprimere l'indirizzo IP formulandolo in un altro formato molto meno riconoscibile, chiamato dotless decimale, che ha l'aspetto di un numero intero a 32 bit, non suddiviso da punti.

Un indirizzo IP "normale" si converte in uno dotless decimale come segue: se l'indirizzo IP è 1.2.3.4, si prende il 4 e lo si moltiplica per 1, si prende il 3 e lo si moltiplica per 256, si prende il 2 e lo si moltiplica per 65536 (256x256), e si prende l'1 e lo si moltiplica per 16777216 (256x256x256). Poi si sommano i quattro risultati e si ottiene l'equivalente dotless decimale.

Per esempio, l'indirizzo IP del sito per adulti citato nel metodo dell'indirizzo numerico semplice, ossia 216.163.137.3, si converte in formato dotless nel numero 3634596099, che ha l'aria perfettamente innocua e si può usare come destinazione di un link-burla:

From: Piero
To: Maurizio
Subject: Ecco cosa guarda Bill Gates nei momenti liberi
-------
Ciao Maurizio,
un amico mi ha segnalato una chicca! Dentro il sito Microsoft c'e'
nascosta una copia integrale del sito di Playboy!!!
L'indirizzo e' questo:

http://www.microsoft.com&item=q209354@3634596099

Ciao da Piero.

Su Internet.com ho trovato un piccolo programma Javascript che esegue la conversione al formato dotless decimale (scritto da Jonathan Benaknin (jbenaknin@email.com) e leggermente modificato dal sottoscritto). Basta immettere nella casella IPa la prima parte dell'indirizzo IP, nella casella IPb la seconda parte, e così via. Eccolo:

IPaIPb IPc IPd =

Fra l'altro, esistono anche altre forme di indirizzi IP dotless, ad esempio quelle esadecimali e ottali, ma ve le risparmio. Il principio è grosso modo lo stesso.

Il metodo del nome mascherato

Si può anche codificare l'URL (il nome) del sito-burla anziché il suo indirizzo IP come descritto fin qui.

Normalmente, quando vogliamo visitare un sito, ne digitiamo il nome. Se voglio visitare ad esempio la CNN, digito nel mio browser il nome del suo sito (che è cnn.com). Tuttavia esiste anche un altro modo di rappresentare il nome di un sito: codificandolo in modo che ogni carattere del nome sia sostituito (tenetevi forte) dal suo equivalente ASCII esadecimale preceduto dal simbolo di percentuale. Niente panico, traduco subito.

Ad esempio, la lettera "c" di cnn.com si codifica come %63, la lettera "n" come %6E, il punto come %2E, e così via (più sotto trovate la tabella completa delle equivalenze). In questo modo, cnn.com diventa un incomprensibile %63%6E%6E%2E%63%6F%6D.

Provare per credere: il link http://cnn.com e il link http://%63%6E%6E%2E%63%6F%6D portano entrambi al sito della CNN. Lo stesso sistema può essere usato anche per specificare la directory e la sottodirectory di un sito.

A questo punto è facilissimo creare link-burla usando i metodi descritti prima. Supponiamo che io voglia far credere a un utente che un link porta al sito Microsoft, mentre in realtà porta al mio sito www.attivissimo.net e in particolare al file q01704.htm nella sottodirectory /b/. Per prima cosa creo il link-burla in chiaro (senza codifica):

http://www.microsoft.com&item=q209354@attivissimo.net/b/q01704.htm

Fatto questo, converto la parte che voglio nascondere (il nome del sito che davvero ospita la burla) usando le equivalenze indicate in fondo a questa pagina nell'Appendice. Per non generare un indirizzo esageratamente lungo, converto una lettera sì e una no, tanto è comunque sufficiente a mascherare il vero indirizzo. E già che ci sono, nascondo anche la chiocciolina, sostituendola con %40. Ed ecco il risultato:

http://www.microsoft.com&item=q209354%40a%74t%69v%69s%73i%6Do%2En%65t/b/q01704.htm

Un link che con molti browser è perfettamente funzionante e maschera completamente il fatto che in realtà porta a un sito ben diverso da quello apparentemente indicato.

Note

Questi sono soltanto alcuni dei tanti metodi per occultare la vera natura di un link, e gli spammer (chi bombarda gli utenti di pubblicità via Internet) e i phisher (i truffatori che rubano password di servizi bancari) li usano spesso per il loro squallido lavoro. Conoscere i loro metodi è un ottimo sistema per evitare le loro trappole.

Se volete saperne di più e conoscere anche gli altri metodi per nascondere un indirizzo IP, visitate http://www.pc-help.org/obscure.htm (in inglese).

Attenzione: se volete creare un esempio vostro, tenete presente che la tecnica di specificare l'indirizzo IP (camuffato o meno) al posto del nome del sito non funziona con molti siti web. Molti fornitori di spazio Web associano più di un nome di dominio a uno stesso indirizzo IP.
Quando digitate il nome del sito, il software del fornitore di spazio Web riceve la richiesta e la smista alle pagine Web del sito. In casi come questi non si può digitare l'indirizzo IP per accedere al sito: se lo fate, finirete sulle pagine del fornitore di spazio Web.
In pratica questo sistema offre l'illusione di avere un proprio sito, ma in realtà crea una coabitazione (tanti siti rispondono allo stesso indirizzo). Non c'è una corrispondenza biunivoca fra URL e indirizzo IP.

Ringraziamenti

Devo ringraziare innanzi tutto Odo, che mi ha suggerito la prima versione di questa pagina, e poi tutti i lettori che l'hanno collaudata. Grazie!

Appendice: Tabella di conversione

tabella di conversione

Per convertire un carattere nel codice equivalente, digitare il simbolo di percentuale (%) seguito dai due caratteri indicati nell'angolo superiore della casella. Esempi: r = %72, F = %46, # = %23.

Commenti, critiche o segnalazioni?

Se avete qualche dettaglio o correzione da contribuire a questa pagina, scrivetemi presso topone@pobox.com. Grazie!