23:47. Sarah, ingegnere di una fintech, clicca quella notifica Slack sul token GitHub in scadenza. Il bottone verde luccica a dovere; fa login e crolla a letto.
La mattina piomba come un treno merci: repo privati clonati, chiavi AWS fregate, DB di produzione che perdono dati verso un server a Bucarest. Quella pagina ‘GitHub’? Un clone pixel-perfect, montato in meno di due ore con un kit di phishing gratuito su un sito WordPress hijackato. Il webhook Slack weaponizzato chiude il cerchio.
Il phishing non è più sparare alla cieca. È precisione chirurgica, che mira dritto agli sviluppatori di corsa come noi.
La macchina da clonazione: da sito legittimo a trappola per credenziali in pochi minuti
Prendi HTTrack o wget –mirror, puntalo su github.com/login. Bam—HTML, CSS, JS, immagini risucchiati. L’attaccante ritocca: cambia l’action del form verso il suo logger PHP. La vittima digita le credenziali; lo script le acchiappa, le salva in un file, reindirizza al vero GitHub con un finto ‘errore—riprova’.
Ecco la semplicità che ti stende:
php $data = $_POST; file_put_contents('logs.txt', json_encode($data) . "\n", FILE_APPEND); header('Location: https://real-site.com/login-error'); exit();Dodici righe. Migliaia di campagne al mese. Non serve un dottorato.
Ma il vero asso è la durata online. Google Safe Browsing fiuta un sito in un’ora? Inutile. Entra in scena lo stack di evasion—strati di if-then che ritardano l’inevitabile.
Primo: domain cloaking. La ‘а’ cirillica (U+0430) si finge la ‘a’ latina (U+0061). paypаl.com sembra identico, ma punta altrove. O l’inferno degli omoglifi: rnicrosoft.com al posto di microsoft.com.
Snippet da un kit trapelato che controlla il visitatore:
python BLOCKED_RANGES = ["66.249.0.0/16", # Google "157.55.0.0/16", # Bing "40.77.0.0/16"] # Microsoft def should_serve_payload(request): ip = request.remote_addr # ... bot checks, referrer sniff return True
Bot dei big tech? Pagina bianca. Utenti veri? Payload servito.
Come funzionano davvero le difese (e perché falliscono)?
Le aziende di security mischiano segnali: feature URL in XGBoost o transformer fine-tuned. L’entropia del dominio smaschera il gibberish dei botnet (alto punteggio Shannon urla ‘generato da algoritmo’). Subdomini brand come paypal.secure-login.xyz? Bandiera rossa—PayPal non è il dominio registrabile.
Similitudine visiva? Il problema più tosto. Browser headless renderizza la pagina sospetta, scatta screenshot above-fold, la pHasha contro versioni note. CNN classifica. Pesante da calcolare; gli attaccanti schivano con delay JS o caricamenti condizionali.
Ma ecco il punto: queste analisi se lo perdono. È come ai tempi di Xerox PARC: tool legittimi (wget, PHP) trasformati in armi. Allora i demo delle GUI generavano app; oggi, marketplace di crimeware. Kit di phishing a 20$ su Telegram—spionaggio democratizzato, quello da Guerra Fredda per script kiddies.
E la previsione? L’AI è dietro l’angolo. Dimentica i cloni statici; gli LLM genereranno pagine dinamiche che si adattano al volo ai tuoi quirk di browser. Il rilevamento arrancherà ancora di più.
Perché nel 2024 frega ancora i top engineer?
Psicologia facile: fatica da context-switch. Slack ronza in crunch time; chi controlla l’URL? Ma la tech si sposta sotto i piedi. Browser avvisano su HTTPS self-signed? I kit si pappano cert reali via abusi Let’s Encrypt o account rubati.
Check entropia? I kit ora mimano domini umani—bassa casualità. Cloaking evolve: geofencing serve roba pulita agli scanner della tua zona.
La breccia di Sarah? Nessuna differenza visiva; stessi font, responsive magico. Tool come VirusTotal flaggano dopo, ma è poco consolante.
Trovale da solo. Passa il mouse sui link—non combacia? Scappa. Controlla HTTPS troppo entusiasta su path sospetti. Devtools browser: ispeziona elementi per form rogue che postano a endpoint strani. Calcolo entropia? Hack console: `(-btoa(‘domain’).split(‘’).reduce((s,c)=>s+M
