Come hackerare la Cina per soli $ 1.800

I truffatori potrebbero avere un affare caldo in attesa di loro sotto forma di un oscuro nome di dominio cinese in vendita su Internet.

Il dominio wpad.cn è in vendita, secondo una nota pubblicata sul sito. Questo fatto probabilmente non significa molto per la maggior parte delle persone, ma per Duane Wessels è un grosso problema. Dice che se fosse caduto in mani criminali potrebbe essere usato impropriamente per phishing o altri tipi di frodi.

Wessels, il presidente della Measurement Factory, possiede cinque domini wpad: wpad.com, wpad.net, wpad.org, wpad.biz e wpad.us. Tra di loro, ottiene 5 milioni di visite al giorno. La maggior parte di questi proviene da computer Windows che cercano erroneamente informazioni sulla configurazione di rete, grazie a un bug di Windows vecchio di dieci anni che Microsoft ha corretto per la prima volta nel 1.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Nessuno lo sa perché siti come Wessels 'continuano a ricevere molto traffico dopo che Microsoft ha corretto il difetto. Pensa che potrebbe provenire da vecchie versioni di Windows, programmi oscuri con componenti Web incorporati o forse anche server configurati in modo errato sulla rete. Microsoft non ha risposto a una query sul problema martedì.

Secondo Wessels, se i criminali dovessero assumere il controllo del dominio wpad.cn, potrebbero configurarsi come server Web proxy per le loro vittime, reindirizzandoli a un sito di phishing o pubblicità indesiderata sui propri computer.

La falla che invia molto traffico ai siti di Wessels sta nel fatto che alcuni PC cercano un server WPAD (Web Proxy Auto-Discovery) sulla rete. Questi server sono macchine attendibili, configurate dagli amministratori per inviare al PC un file di configurazione Web denominato wpad.dat.

Il nome del server WPAD inizierà con wpad (come in wpad.corp.idg.com) quindi, utilizzando una tecnica noto come devoluzione DNS, i sistemi Windows cercheranno in lungo e in largo per una macchina che inizi con queste quattro lettere. Sfortunatamente, questo a volte li manda fuori dalla rete - per esempio nel sito Web wpad.com di Wessels. I computer in Cina che erano mal configurati in modo analogo probabilmente guarderebbero al dominio wpad.cn.

Wessels e altri esperti DNS pensano che qualcuno potrebbe probabilmente abusare del dominio wpad.cn inviando file wpad.dat dannosi a quei computer. "Potrebbe essere usato per estrarre informazioni come nomi di account e numeri di conto", ha dichiarato Cricket Liu, vice presidente di architettura con Infoblox. "Potresti potenzialmente modificare qualsiasi contenuto che potrebbero vedere."

Contattato da IDG News Service, i broker che rappresentano i proprietari di dominio wpad.cn si sono offerti di venderli a buon mercato. In un intervista con un messaggio istantaneo, un agente di Aomei New Investment Consulting ha detto che il dominio potrebbe essere avuto per 12.000 ¥ (US $ 1,760).

Per i criminali, sarebbe un buon affare, ha dichiarato Tomasz Koperski, vice-CEO con FutureMind.com, che ha acquisito più di 40 domini relativi a wpad. Possiede il dominio wpad.com.tw, ​​ad esempio, che ha ricevuto più di 5 milioni di visite fino a questo mese da computer in cerca di file wpad.dat, ha detto tramite messaggio istantaneo.

I proprietari di wpad.cn probabilmente non lo fanno So del problema WPAD, ha detto Wessels. "La mia ipotesi è che non si accorgano che ricevono un sacco di richieste per questo file di autoconfig proxy", ha affermato. "Se sapessero cosa avevano lì, probabilmente ne farebbero pagare di più."