Home
Dialer, passiamo al contrattacco?

30 Ottobre 2003

Dialer, passiamo al contrattacco?

di

La Rete italiana è invasa da e-mail trabocchetto che disseminano dialer sui famigerati numeri 899. Sapersi difendere è bene, ma non basta più. Una proposta per rendere (legalmente) pan per focaccia usando il potere di Internet

Non se ne può più. Come se i dialer che ammiccano dalle pagine Web non fossero già abbastanza infidi e immondi, adesso arrivano anche veicolati dallo spam. Nei giorni scorsi una quantità spropositata di utenti italiani è stata spammata con una falsa segnalazione di un addebito su carta di credito da parte di vari siti porno. L’e-mail dava l’impressione di essere giunta per errore e offriva una password che prometteva accesso a visioni a luci rosse, addebitando il tutto a un fantomatico signor Turchetti (o, nelle successive evoluzioni dello spam, Guiducci, Lami, Cantina, e altri ancora).

Si è trattato naturalmente di uno specchietto per le allodole, ma la forma ingannevole del messaggio è stata comunque sufficiente a suscitare il panico in molti utenti, che hanno bloccato di corsa le proprie carte di credito, temendo di essere state vittima di qualche raggiro telematico, con tutti i disagi del caso. Ci sarebbero insomma gli estremi per una denuncia per procurato allarme. Sul sito reclamizzato dallo spam c’era l’immancabile dialer che dirottava la connessione della vittima su un numero a prefisso 899. Una truffa in piena regola.

Poi è stata la volta di un attacco ancora più pernicioso: un incrocio mostruoso fra dialer e virus, tramite il quale gli utenti hanno ricevuto dai propri conoscenti un invito a scaricare da un sito apparentemente innocuo un salvaschermo, Zelig.scr, che in realtà conteneva un dialer e un motore SMTP che trasformavano la vittima in un ulteriore disseminatore del raggiro.

Il sito è stato chiuso nell’arco di qualche giorno a seguito delle numerosissime proteste degli utenti, ma nel frattempo ha mietuto perlomeno qualche migliaio di vittime, a giudicare dall’impreciso contatore nascosto nel sito-trappola.

Il giochetto dell’e-mail ingannevole si sta ora ripresentando sotto una nuova veste, quella di una falsa comunicazione fra un gestore di siti porno e un suo collaboratore, che lo “avvisa” che il sito delle “modelle” è rimasto aperto a tutti per errore e quindi ci si può connettere gratis. Come no: visitando il sito citato, c’è come sempre il solito dialer. Altro che gratis.

Il sito è già stato segnalato alla casella Abuse del provider, ed è già partito il passaparola che avvisa gli utenti di non abboccare all’ennesima trappola, ma si sa bene come andrà a finire. Passeranno giorni prima che il provider esamini il caso e chiuda il sito. Nel frattempo, migliaia di utenti verranno infettati dal dialer. E una volta chiuso il sito, questa feccia umana non farà altro che trasferirsi a un altro sito di hosting gratuito e ricominciare lo spamming.

Naturalmente la mancanza di educazione dell’utente riguardo i pericoli della Rete ha il suo peso nel successo di questi dialer, ma sperare di insegnare a tutti a non abboccare alle offerte troppo belle per essere vere è vano. Non ci si riesce nella vita reale, figuriamoci se si può aver migliore fortuna in un reame tecnologico complesso e poco capito come la Rete.

Insomma, il tempo che intercorre fra la segnalazione all’Abuse e il momento in cui il sito viene chiuso è troppo lungo. I metodi formali di lotta agli abusi non funzionano. E se passassimo al contrattacco?

Il tallone da killer

Il punto debole di questi spammatori di dialer è che se il loro sito non è accessibile per qualsiasi motivo, la campagna di spam è inutile: gli ingenui che abboccano non riusciranno a visitarlo e farsi infettare.

Ci sarebbe un modo semplice e legale per stroncarli sul nascere ancor prima che l’Abuse schiodi le proprie oberate terga dalla poltrona e chiuda il sito: visitarlo. Ma visitarlo in tanti, e a modo nostro: ossia a ripetizione, scaricando infinite volte (ma in modo innocuo) il dialer, in modo da intasare il sito. Il sito raggiungerà rapidamente il limite di accessi giornaliero e verrà messo offline automaticamente.

È un effetto noto e collaudato, conosciuto come slashdotting dal nome del sito Slashdot.org, celebre perché ogni pagina Web che segnala viene sommersa di visite dei suoi lettori, e al provider non resta altro che killare temporaneamente la pagina in questione mettendola offline.

A differenza dei discussi netstrike contro i siti istituzionali, che possono essere interpretati come interruzione di pubblico servizio, questa è un’azione perfettamente legale: si fa esattamente quel che vuole il pornospammer di turno, ossia si visita il suo sito e si scarica il suo dialer. L’unica differenza è che il dialer viene scaricato senza mai eseguirlo.

È sufficiente una net.posse di qualche migliaio di utenti, meglio se in banda larga, per schiantare un sito gratuito come quelli usati da questi dispensatori di dialer per giocare a rimpiattino. La tattica, fra l’altro, è applicabile da chiunque in tutta sicurezza, senza alcun pericolo di infezione. Basta non usare il normale browser, ma un programmino come wget, che non fa altro che accedere a un sito e scaricare la pagina o il file che gli si dice di scaricare, senza eseguirlo o aprirlo in alcun modo: anzi, gli si può persino dire di scaricarlo e cestinarlo istantaneamente.

Wget è disponibile per tutti i principali sistemi operativi, Windows compreso, ed è banale scrivere uno script o un file batch che gli dica di scaricare a ripetizione il dialer e poi cancellarlo. L’importante è ricordarsi di usare l’opzione di wget che disabilita i proxy, in modo da scaricare il dialer effettivamente dal sito trappola anziché dalla cache di qualche provider intermedio.

Anticorpi cercansi

Si tratta, insomma, di creare un gruppo di volontari ai quali inviare via e-mail una semplice segnalazione di un URL da interdire: una sorta di “sistema immunitario” della Rete. I volontari dedicherebbero una piccola parte della propria banda all’esecuzione ripetuta di wget, e il sito sparadialer verrebbe reso rapidamente inaccessibile a tutti coloro che potrebbero ingenuamente cascare nella trappola tesa dai suoi loschi proprietari.

Non ci sarebbe il pericolo di bersagliare siti innocui, perché è facile verificare la natura truffaldina di un sito segnalato prima di iniziarne l’interdizione. E il consumo di banda, distribuito su un elevato numero di utenti, sarebbe trascurabile per il singolo volontario ma devastante per la pagina che ospita il dialer. Il provider che ospita la pagina non corre rischi, perché i suoi meccanismi automatici disabilitano la pagina non appena supera i limiti di traffico consentiti. Tutti salvi, insomma, tranne i cattivi.

Naturalmente i gestori del dialer non farebbero altro che traslocare in breve tempo, ma nel frattempo la Rete sarebbe protetta. Inoltre il trasloco renderebbe vana la loro campagna di spam, obbligandoli a rifarla daccapo, con tutti gli oneri e le inefficienze che questo comporta. Per la net.posse è invece facile riprendere la mira e proseguire l’interdizione sul nuovo bersaglio. Una volta tanto, i meccanismi della Rete e la legge dei grandi numeri giocherebbero a nostro favore. Alla fine, per il delinquente il gioco non varrebbe la candela.

Chi c’è dietro agli 899

Ma non si potrebbero più semplicemente denunciare questi truffatori e far staccare loro la linea 899? Per esempio scoprire chi è l’intestatario del numero 899208906 contenuto nel worm Zelig e segnalarlo alla Polizia delle Telecomunicazioni?

Non è così semplice. Presso il sito dell’Istituto Superiore delle Comunicazioni e Tecnologie dell’Informazione c’è un interessante elenco pubblico delle società alle quali sono assegnati i numeri 899: Telecom Italia, Wind, Fastweb, Albacom, Edisontel, Atlanet e tanti altri nomi blasonati, ciascuno con l’indicazione di quali numeri della serie 899 possiede.

Ma non sono loro le società da denunciare, perché sono assegnatarie di primo livello, che subaffittano i numeri 899. Il subaffitto permette loro di lucrare legalmente su meccanismi inequivocabilmente truffaldini, ma questa è un’altra storia: ciò che conta è che a loro volta questi subaffittuari rivendono il servizio ad altre società, magari estere, in un gioco intercontinentale di scatole cinesi.

Risalire al vero intestatario, insomma, è un’impresa ardua, e la decisione di staccare la proficua linea 899 deve passare per i melmosi canali della burocrazia dell’operatore telefonico. I tempi della procedura formale sono dunque kafkianamente lunghi: così, intanto che il colosso decide e la pratica segue stancamente il proprio iter, il pornospammer fa i propri porci comodi. E noi paghiamo.

Per questo è inutile affidarsi a riluttanti salvatori che si muovono solo se sospinti da carte bollate. Dobbiamo rimboccarci noi le maniche per proteggere la Rete. Gli strumenti li abbiamo, e siamo infinitamente più agili nell’usarli di qualsiasi elefante burocratico. Sfruttiamoli.

Oltre a richiedere l’ovvia disabilitazione gratuita dei numeri 899 su tutti i nostri contratti telefonici, possiamo dunque lottare attivamente contro questi vampiri bloccando i loro siti. Io ho già pronta una piccola lista di siti sparadialer e uno zoccolo duro di utenti pronti a bloccarli. Se vi va di partecipare a un primo esperimento e fare qualcosa contro questa marea montante d’immondizia, non dovete far altro che scrivermi.

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.