image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di Questa è la tech che salverà le schede video da 8GB Questa è la tech che salverà le schede video da 8GB...
Immagine di Uso della VRAM ridotto all'osso con la nuova versione del DLSS Uso della VRAM ridotto all'osso con la nuova versione del DL...

Concorsi online, così gli hacker vincono sempre

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Redazione

a cura di Redazione

Pubblicato il 28/05/2018 alle 18:40

Molte aziende usano i concorsi online per fare marketing. Invitano i clienti a collegarsi ai loro siti web per votare al fine di ottenere un determinato montepremi. Si crea così una competizione, che in poco tempo, ahimè, diventa sleale.

Chi conosce le basi del networking, i linguaggi di programmazione web e sa individuare le vulnerabilità di un sito, ha sicuramente tutte le carte in regola per hackerare la piattaforma di voto mediante exploit. In questo modo, difatti, i voti possono essere aumentati drasticamente.

Di seguito, vi spieghiamo come funzionano questi metodi di hacking e, soprattutto, come difendersi dagli stessi, in modo da creare dei contest online sicuri e non manipolabili.

Richiesta HTTP: GET o POST?

richieste HTTP server concorso online

Ci sono parecchi metodi che permettono agli hacker di vincere sempre. Per truccare i voti dei concorsi online, la prima cosa che fanno è analizzare la struttura della piattaforma web. Nello specifico, controllano se il sito elabora le richieste HTTP con il metodo GET oppure con il metodo POST.

Se viene usato il metodo GET, le URL (Uniform Resource Locator), ovvero gli indirizzi web, apparirebbero con una struttura tipo example.com/thanks.asp?cliente=nome&vote=true. In questo caso, diventa banale truccare il concorso. Basta infatti cancellare i cookie e cambiare indirizzo IP, nel caso venga registrato (quasi mai), per votare all'infinito.

Se invece viene utilizzato il metodo POST, i dati non vengono visualizzati nella URL, ma passano direttamente nel database attraverso il corpo della richiesta. Questo fa sì che il concorso online sia più sicuro, ma non a prova di hacker.

Con il metodo POST, i cybercriminali verificano innanzitutto quali sono le opzioni di voto disponibili. Poi, scelgono la più vulnerabile per compiere l'hacking. Di solito, le opzioni di voto sono:

  • Cookie: voto registrato in anonimo, probabilmente senza tracciare l'indirizzo IP
  • Account Facebook: accesso mediante Facebook e voto
  • Account online: registrazione al sito e voti
  • Email di conferma: una delle opzioni più utilizzate nei concorsi online, che invia un'email all'indirizzo di posta del cliente e gli chiede di confermare cliccando sul link

Hacking del cookie

Tra queste opzioni, l'hacker sceglie innanzitutto il cookie. Prova a disattivare i cookie nel browser e vede se il sito gli consente ugualmente di votare in anonimo. Se così fosse, potrebbe fare click all'infinito, finché non si stanca. Invece, se ad esempio venisse tracciato l'indirizzo IP, dovrà usare anche un server proxy o una VPN per mascherare i voti.

Hacking dell'email di conferma

Se non fosse disponibile il cookie, si passa all'email di conferma. C'è una vulnerabilità intrinseca nella maggior parte dei sistemi predisposti dai grandi provider di posta elettronica.

Per colpa degli MX record (Mail eXchanger record), un indirizzo email del tipo email@example.com, grazie a un semplice carattere, il + precisamente, può corrispondere a infiniti indirizzi email. Ad esempio, se si invia un'email a email+abc@example.com, il messaggio arriverà ugualmente all'indirizzo email@example.com. È risaputo che questo metodo funziona con molti provider.

In questa maniera, gli hacker automatizzano il processo di iscrizione mediante un software creato appositamente per tale scopo. Poi, usano un altro programma per accedere al server di posta, trovare le email di iscrizione, captare i link e cliccarli in automatico. Ovviamente, gli indirizzi email in questione risulteranno essere anonimi.

In alternativa, gli hacker potrebbero avvalersi di indirizzi email che si autodistruggono dopo 10 minuti o anche meno. Così facendo, nessuno riuscirebbe mai a rintracciarli.

Creare concorsi online sicuri

Ne deriva che i concorsi online sono estremamente difficili da gestire, soprattutto se il montepremi è alto. Bisogna quindi effettuare una configurazione ad hoc affinché risultino sicuri. Ecco alcuni accorgimenti:

  • non usare il metodo GET
  • evitare l'email di conferma e il voto anonimo tramite cookie
  • forzare l'uso di un account per riconoscere l'utente
  • usare la verifica a due fattori (2FA)
  • usare la verifica tramite SMS
  • tracciare l'indirizzo IP e i DNS
  • utilizzare il voto tramite account Facebook
  • rendere invisibile il concorso a chi non è registrato

Con questi accorgimenti sarà molto più difficile truccare un concorso online. Più che altro, sarà dura per gli hacker automatizzarlo. Tutto ciò si dovrebbe tradurre in una vincita più onesta.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Questo nuovo materiale "vive" e ricostruisce gli edifici
  • #2
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #3
    Anche Amazon nella rete del “NO IVA”: ecco gli affari nascosti
  • #4
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #5
    Milioni di stampanti in tutto il mondo a rischio sicurezza
  • #6
    Questa è la tech che salverà le schede video da 8GB
Articolo 1 di 5
Uso della VRAM ridotto all'osso con la nuova versione del DLSS
Le ottimizzazioni della VRAM hanno raggiunto un nuovo traguardo con l'ultimo aggiornamento alla tecnologia DLSS 4 di NVIDIA.
Immagine di Uso della VRAM ridotto all'osso con la nuova versione del DLSS
5
Leggi questo articolo
Articolo 2 di 5
Questa è la tech che salverà le schede video da 8GB
Una ricerca di AMD dimostra come generare alberi e vegetazione in tempo reale riduca drasticamente l'uso della VRAM nei rendering 3D di diverse volte.
Immagine di Questa è la tech che salverà le schede video da 8GB
2
Leggi questo articolo
Articolo 3 di 5
Queste DRAM consumano il 20% in meno e performano di più
L'industria delle memorie DRAM sta assistendo a una rivoluzione che potrebbe ridefinire i parametri di efficienza energetica e delle prestazioni.
Immagine di Queste DRAM consumano il 20% in meno e performano di più
Leggi questo articolo
Articolo 4 di 5
Mediaworld fa il NO IVA, ma Amazon batte il prezzo su questo tablet Lenovo
Il NO IVA di Mediaworld non basta! Amazon ha il tablet Lenovo Tab M11 a un prezzo ancora più basso, solo 138€. Tra i migliori tablet entry level!
Immagine di Mediaworld fa il NO IVA, ma Amazon batte il prezzo su questo tablet Lenovo
1
Leggi questo articolo
Articolo 5 di 5
NVIDIA pensa già alle RTX 50 SUPER: ecco quando arriveranno
Le nuove RTX 50 SUPER debutteranno probabilmente al CES 2026. Le novità riguardano principalmente la VRAM, aumentata del 50% rispetto ai modelli base.
Immagine di NVIDIA pensa già alle RTX 50 SUPER: ecco quando arriveranno
14
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.