Sono state rilevate campagne di phishing che sfruttano il grande successo dei dispositivi Flipper Zero e che, quindi, prendono di mira tutta la comunità che ruota attorno alla sicurezza informatica e al pentesting.
In particolare, nelle attività malevole rilevate dal ricercatore informatico Dominic Alvieri viene preso di mira lo shop online e la possibilità di effettuare un ordine per l’acquisto del dispositivo, ormai introvabile sui canali ufficiali. Inutile dire che all’incauto acquirente non verrà consegnato alcun modello di Flipper Zero, mentre verranno rubate informazioni personali e criptovalute.
Indice degli argomenti
Che cos’è Flipper Zero
Flipper Zero, lo ricordiamo, è un dispositivo integrato che consente ad appassionati di hacking e pentesters di effettuare diversi test utilizzando vari sensori. È praticamente un kit multifunzione in un unico piccolo dispositivo.
Il dispositivo ha definitivamente aperto una nuova pietra miliare nel mondo dei dispositivi per “hacker”. Un gadget ben fatto, che probabilmente può essere definito come un iPhone tra gli strumenti di settore.
Può fare molto già nella versione standard, ma con firmware “alternativi” ancora di più. È completamente open source e personalizzabile, inoltre ha fatto nascere anche nuovi tentativi di espansione hardware, tra gli appassionati, per amplificarne ulteriormente le funzionalità.
Dal momento del suo lancio, nel 2020, grazie a una grande campagna di crowdfunding portata a termine con successo, la sua fama è cresciuta notevolmente e anche gli ordini sono stati sopra le aspettative, così che, a metà 2022 quando si è iniziato a recapitare i primi esemplari ai sostenitori che l’hanno acquistato, la produzione si è interrotta in determinati intervalli di tempo, proprio a causa dell’eccessiva domanda.
Il phishing a tema Flipper Zero
Quello che gli attori malevoli stanno sfruttando ora, dunque, è proprio questa difficoltà di acquisto e disponibilità dei dispositivi Flipper Zero. Per farlo, utilizzano falsi account social e false pagine web di acquisto, che non hanno niente a che vedere con lo store ufficiale, a parte la grafica e il design, ovviamente identici all’originale.
New Flipper Zero phishing campaign
official @flipper_zero
⚠️ Fake Twitter accounts ⚠️@fIipper_zero
@fIipperzeroshop@FIipperZero
⚠️ Fake Flipper Zero stores ⚠️
/flipper-zero.shop @Hostinger
/flipperzerostore.net @namesilo #cybersecurity #infosec @TwitterSafety pic.twitter.com/SSotF37qqB— Dominic Alvieri (@AlvieriD) January 2, 2023
Alvieri, facendo emergere per primo la vicenda, ha individuato due store online falsi, e un account Twitter registrato con il medesimo handle nel quale la lettera “l” (elle minuscola) è stata sostituita dalla lettera “I” (i maiuscola), al fine di ingannare un occhio poco attento e apparire il più simile possibile all’originale.
Uno dei due store online è stato già sospeso dall’hosting provider, mentre invece l’altro (flipper-zero.shop, che si può vedere in immagine) è tuttora attivo e funzionante. Risiede sull’infrastruttura tecnologica di Hostinger, del quale ne sfrutta anche il servizio di e-commerce Zyro, prodotto Web offerto proprio da tale provider come accessorio premium aggiuntivo allo spazio web.
Una volta completato l’ordine, il falso store online suggerisce il pagamento tramite Bitcoin o Ethereum, fornendo all’acquirente gli indirizzi dei wallet da utilizzare per il pagamento.
Come evidenziato da Bleeping Computer “gli indirizzi di portafoglio elencati non hanno ricevuto alcun pagamento, quindi il negozio in particolare non è riuscito a ingannare alcun ricercatore di sicurezza o ha utilizzato nuovi portafogli dopo ogni transazione”.
Come difendersi
Gli utenti che cedono alle richieste dei truffatori, magari intercettando pagine come queste anche tramite i social, inviano i loro soldi in Bitcoin, pensando di aver risolto il problema della disponibilità del dispositivo Flipper Zero, ma in realtà stanno solo perdendo i loro soldi in modo irreversibile.
I truffatori, infatti, sono in grado di ricevere i pagamenti in Bitcoin senza lasciare alcuna traccia, rendendo praticamente impossibile rintracciarli e quindi recuperare i soldi persi.
Il consiglio è quello di fare sempre molta attenzione ai canali ufficiali, in questo caso di Flipper Zero (flipperzero.one), sia quando si scambiano dettagli sui social network, ma anche se si decide di portare a termine un acquisto online.
Inoltre, è importante evitare di bypassare la momentanea indisponibilità di un prodotto dai canali ufficiali: questo ci aiuterà a essere più prudenti e incorrere in meno pericoli come questo.
