Concorsi online, così gli hacker vincono sempre

Molte aziende usano i concorsi online per fare marketing. Invitano i clienti a collegarsi ai loro siti web per votare al fine di ottenere un determinato montepremi. Si crea così una competizione, che in poco tempo, ahimè, diventa sleale. Chi conosce le basi del networking, i linguaggi di programmazione web e sa individuare le vulnerabilità […]

Molte aziende usano i concorsi online per fare marketing. Invitano i clienti a collegarsi ai loro siti web per votare al fine di ottenere un determinato montepremi. Si crea così una competizione, che in poco tempo, ahimè, diventa sleale.

Chi conosce le basi del networking, i linguaggi di programmazione web e sa individuare le vulnerabilità di un sito, ha sicuramente tutte le carte in regola per hackerare la piattaforma di voto mediante exploit. In questo modo, difatti, i voti possono essere aumentati drasticamente.

Di seguito, vi spieghiamo come funzionano questi metodi di hacking e, soprattutto, come difendersi dagli stessi, in modo da creare dei contest online sicuri e non manipolabili.

Richiesta HTTP: GET o POST?

Ci sono parecchi metodi che permettono agli hacker di vincere sempre. Per truccare i voti dei concorsi online, la prima cosa che fanno è analizzare la struttura della piattaforma web. Nello specifico, controllano se il sito elabora le richieste HTTP con il metodo GET oppure con il metodo POST.

Se viene usato il metodo GET, le URL (Uniform Resource Locator), ovvero gli indirizzi web, apparirebbero con una struttura tipo example.com/thanks.asp?cliente=nome&vote=true. In questo caso, diventa banale truccare il concorso. Basta infatti cancellare i cookie e cambiare indirizzo IP, nel caso venga registrato (quasi mai), per votare all'infinito.

Se invece viene utilizzato il metodo POST, i dati non vengono visualizzati nella URL, ma passano direttamente nel database attraverso il corpo della richiesta. Questo fa sì che il concorso online sia più sicuro, ma non a prova di hacker.

Con il metodo POST, i cybercriminali verificano innanzitutto quali sono le opzioni di voto disponibili. Poi, scelgono la più vulnerabile per compiere l'hacking. Di solito, le opzioni di voto sono:

• Cookie: voto registrato in anonimo, probabilmente senza tracciare l'indirizzo IP
• Account Facebook: accesso mediante Facebook e voto
• Account online: registrazione al sito e voti
• Email di conferma: una delle opzioni più utilizzate nei concorsi online, che invia un'email all'indirizzo di posta del cliente e gli chiede di confermare cliccando sul link

Hacking del cookie

Tra queste opzioni, l'hacker sceglie innanzitutto il cookie. Prova a disattivare i cookie nel browser e vede se il sito gli consente ugualmente di votare in anonimo. Se così fosse, potrebbe fare click all'infinito, finché non si stanca. Invece, se ad esempio venisse tracciato l'indirizzo IP, dovrà usare anche un server proxy o una VPN per mascherare i voti.

Hacking dell'email di conferma

Se non fosse disponibile il cookie, si passa all'email di conferma. C'è una vulnerabilità intrinseca nella maggior parte dei sistemi predisposti dai grandi provider di posta elettronica.

Per colpa degli MX record (Mail eXchanger record), un indirizzo email del tipo email@example.com, grazie a un semplice carattere, il + precisamente, può corrispondere a infiniti indirizzi email. Ad esempio, se si invia un'email a email+abc@example.com, il messaggio arriverà ugualmente all'indirizzo email@example.com. È risaputo che questo metodo funziona con molti provider.

In questa maniera, gli hacker automatizzano il processo di iscrizione mediante un software creato appositamente per tale scopo. Poi, usano un altro programma per accedere al server di posta, trovare le email di iscrizione, captare i link e cliccarli in automatico. Ovviamente, gli indirizzi email in questione risulteranno essere anonimi.

In alternativa, gli hacker potrebbero avvalersi di indirizzi email che si autodistruggono dopo 10 minuti o anche meno. Così facendo, nessuno riuscirebbe mai a rintracciarli.

Creare concorsi online sicuri

Ne deriva che i concorsi online sono estremamente difficili da gestire, soprattutto se il montepremi è alto. Bisogna quindi effettuare una configurazione ad hoc affinché risultino sicuri. Ecco alcuni accorgimenti:

• non usare il metodo GET
• evitare l'email di conferma e il voto anonimo tramite cookie
• forzare l'uso di un account per riconoscere l'utente
• usare la verifica a due fattori (2FA)
• usare la verifica tramite SMS
• tracciare l'indirizzo IP e i DNS
• utilizzare il voto tramite account Facebook
• rendere invisibile il concorso a chi non è registrato

Con questi accorgimenti sarà molto più difficile truccare un concorso online. Più che altro, sarà dura per gli hacker automatizzarlo. Tutto ciò si dovrebbe tradurre in una vincita più onesta.