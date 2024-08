Pensate a tutti, dico tutti i modi per trovarsi un compagno di avventure. Pensate a tutte le scene dei film che stanno venendo girati nella vostra testa. Pensate a voi protagonisti di L’Arte di Cavarsela, di Hunger Games, di Colpa delle Stelle. Pensateci. In nessuno di questi casi viene coinvolto un hacker, e c’è una ragione se è così.



D3V è un utente/blogger del sito Ultimate Hackers, e nella giornata di ieri ha pubblicato un post dal titolo piuttosto eloquente, “Getting a Girlfriend: The Hacker’s Way”. In questo post, D3V racconta il suo intreccio sentimentale una ragazza indiana che “un anno prima ho incontrato su un treno diretto a Delhi.” Si potrebbe trattare di uno slancio artistico narrativo, di un po’ di gonzo jouranlism, forse addirittura una pubblicità progresso contro l’incoscienza informatica.

In breve, D3V ha deciso di sfruttare ogni strumento di OSINT (Open Source Intelligence) a sua disposizione per rintracciare la ragazza di cui si era innamorato, “Ciao ragazzi, voglio raccontarvi una storia,” esordisce, “La storia di come mi sono innamorato di una sconosciuta e ho conquistato il suo cuore grazie all’hacking.” Non c’è modo di verificare integralmente la veridicità della storia, ma il livello di dettaglio proposto da D3V nel racconto non lascia grandi dubbi, purtroppo.

Che si tratti di un’esperienza reale, di una strana fanfiction in salsa informatica o di una sparata come altre, la storia di D3V è un perfetto esempio di come non andrebbero usati gli strumenti di “hacking” a disposizione di tutti per violare la privacy delle altre persone.

“Questa è la storia di come mi sono innamorato di una sconosciuta e ho conquistato il suo cuore grazie all’hacking.”

D3V si trova in un treno diretto a Delhi e improvvisamente nota una ragazza indiana accompagnata dalla famiglia, si invaghisce di lei a prima vista ma il colpo di grazia arriva quando comincia a parlare e ridere con un amico, “Non so di cosa stessero parlando, ma lei stava ridendo e a quel punto mi sono innamorato della sua innocenza.” Ciononostante, D3V non è tipo da approcciare ragazze a caso — Quindi, “Continuo a guardare meme su Facebook.” Giusto.

La ragazza poco dopo si ritrova a chiedere al fratello di ricaricarle il credito del cellulare. D3V drizza le orecchie e in pochi minuti di origliamento riesce ad appuntarsi le prima 6 cifre (che omettiamo, come il resto dei dati personali della ragazza) del suo numero di telefono, che aveva comunicato a voce al fratello prima.

Passa il tempo, e D3V nota che la ragazza gli lancia qualche occhiata, ma “non sono il fesso che fraintenderebbe una cosa del genere per un segnale,” spiega D3V nel post. Infine, arrivati a una fermata intermedia nel percorso la ragazza scende dal treno — Non prima però di spaccare un bel sorrisone a D3V, “Quel momento mi ha migliorato la giornata, ho passato il resto del tempo a sorridere come uno scemo.”

“Non sono il fesso che fraintenderebbe una cosa del genere per un segnale”

Senonché il nostro, poco dopo il sorriso, si accorge della tragedia: della ragazza non sa nulla a parte le prime 6 cifre del numero di telefono, il nome (origliato dalla madre) e la stazione in cui è scesa. Ma per D3V questo è bastato. Così D3V, una volta tornato dal suo viaggio a Delhi, decide di mettersi al lavoro e avendo a disposizione soltanto pochissime informazioni su di lei decide di pensare a uno script Python che gli permettesse di rintracciarla.

Sfruttando quindi le prime 6 cifre del suo numero di telefono della ragazza e il suo nome, cerca di risalire al numero di telefono e al nome completo della proprietaria di quel numero.

D3V avvia lo script poco prima di farsi un riposello: il mattino dopo la magia delle macchine gli restituisce ben 8 numeri di telefoni il cui proprietario ha lo stesso nome della ragazza del treno, “Ah! Mi sarei dovuto preparare per questo momento, ma non lo ero.” D3V sbarella e va a casa di una sua amica — girl friend, e precisa, “girlfriend e girl friend hanno due significati diversi,” — a cui chiede di chiamare gli 8 numeri e intrattenere un po’ di conversazione, così da dare a lui il tempo di riconoscere la voce della ragazza.

L’amica, giustamente, lo prende per scemo, “Dopo avermi ascoltato ha avuto tre diverse reazioni: 1) Ma che cazzo? 2) AHAHAHAH 3) Ma sei serio?” Come darle torto. Ciononostante, l’amica si presta a questo slancio spionistico da Operazione Gladio e al terzo numero chiamato D3V riconosce infine la voce della ragazza. Sbarella di nuovo (terza volta dall’inizio di questa storia), ringrazia l’amica e salva il numero ottenuto per vedere se il nome sarebbe apparso su WhatsApp. Il tentativo però si rivela un buco nell’acqua, ma abbiamo capito che D3V non si lascia scoraggiare facilmente.

Così apre Facebook, slogga dal suo account e “nella pagina di login inserisci il numero/email e prova qualche password a caso per 2-3 volte, poi clicca su ‘Ho dimenticato la password’ e digita l’email/numero di telefono ed ecco l’account!” Così facendo è riuscito a risalire all’account della ragazza e a scoprire, nell’ordine, la sua immagine profilo (“Ora ho un bel wallpaper,” scrive D3V), dove studia (“Posso fare un sacco di cose con il sito della scuola”), la sua città natale, i suoi artisti preferiti e infine che, “È una ragazza, è viva, è single e mi ha guardato sorridendo.”

Uno screen del sito della scuola da cui D3V è partito.

A questo punto D3V aveva due opzioni, “Le mando una richiesta d’amicizia e le parlo — Ma potrebbe non accettarla, potrebbe spaventarsi, potrebbe dirmi che mi ha sorriso da amica, ma d’altronde è l’opzione più semplice,” spiega. “Oppure qualcos’altro, non so ancora cosa.”

D3V è un hacker imprevedibile, quindi decide di fare un salto nel sito della scuola della ragazza e constata che si tratta di un “normale sito in HTML con 7-8 pagine,” spiega. “Dovevo essere diverso da tutti gli altri babbi, dovevo essere qualcuno di cui si poteva innamorare.”

Così decide di dare un’occhiata ai risultati scolastici delle classi di quell’anno, ma non contento vuole scoprire se ci sono anche i risultati degli anni successivi. Non c’era granché da fare su quel sito vista la sua semplicità, così “ho effettuato un reverse IP lookup con questo sito e ho scoperto che c’erano altri 946 siti sullo stesso server.” Con questo malloppo a disposizione, D3V verifica rapidamente lo status di questi URL e infine ottiene accesso al server principale di questi siti attraverso un webshell, da cui risale ai dati della ragazza per clonarli.

“Non sapendo più cosa fare ho googlato ‘Stalking’ e sono finito su Stalkscan.org e ho scoperto tutto ciò che le piaceva.”

“Non ho trovato la sua mail ma ho trovato la sua data di nascita e il nome di suo padre e sua madre,” spiega. “E sapevo anche che era brava in matematica, visti i voti.” Il prossimo passo per D3V era ovvio, “Non sapendo più cosa fare ho googlato ‘Stalking’ e sono finito su Stalkscan.org e ho scoperto tutto ciò che le piaceva.”

Dopo tutto questo lavoro una cosa per D3V era chiara, “La ragazza non sapeva niente di cybersecurity, così ho architettato un attacco phishing,” ottima idea. “Ho creato un account su Facebook chiamato Facebook Security e l’ho contattata fingendomi parte dello staff di Facebook, impegnato a verificare il suo account per paura che si trattasse di un account per spam.” Allegando un paio di link che rimango censurati nel post di D3V.



A questo punto la storia si conclude, e D3V ci rimanda alla prossima puntata della sua guida al rimorchio 100% legale. Non è da escludere che si tratti di uno stunt per raccogliere qualche lettore in più, quello che è certo è che NO SE VOLETE TROVARE UNA RAGAZZA CERCARLA SU STALKSCAN È PROPRIO L’UNICA COSA CHE DOVETE FARE, SUL SERIO.

