SOTTO ATTACCO

La Matrioska delle farmacie online

Il mondo delle farmacie online è – detto in maniera molto riduttiva – un’enorme matrioska di contenitori e rimandi, volutamente anonimizzati.

Fare luce sul sistema non è stato un compito facile e trovare un nome da collegare a questo gioco di specchi ha richiesto un vero e proprio “deep dive” tecnico nei meandri

Abbiamo iniziato scegliendo il portale più gettonato tra i vari siti che offrono la possibilità di acquistare medicinali senza ricetta: apertafarmacia.it

Il primo passo, per scoprire chi sta dietro ad un sito web, è quello di effettuare un “whois”, un comando che dovrebbe teoricamente rivelare il gestore del sito e un nominativo a cui questo è intestato.

Non poteva essere così semplice però; dietro apertafarmacia.it abbiamo trovato un semplice prestanome. Un vicolo cieco.

Abbiamo allora deciso di indagare sulle altre informazioni che venivano mostrate in chiaro.

Come si può notare, a piè pagina erano presenti dei numeri di telefono, ma – ancora più interessante – un indirizzo email per eventuale supporto clienti.

Questa è stata la prima chiave per scoprire il vaso di pandora di questi siti. Curiosamente, infatti, l’indirizzo fornito ([email protected]) non era esclusivo per il sito che stavamo analizzando, ma trovava corrispondenze in tantissimi altri portali volutamente indirizzati al pubblico “nostrano”.

Tra questi abbiamo trovato:

  • https://nuovapillola.com/
  • https://vera-farmacia.com/
  • https://apotekreseptfritt.com/
  • https://realia-farmacia.com/
  • https://forsta-apotek.com/
  • https://pharmacie-nationale.com
  • https://farmacia-amore.com
  • https://medsitalia.com/
  • https://itfarmaci.com
  • https://apo-sverige.com/
  • https://mypharmameds.com/
  • https://www.apotekmeds.com
  • https://farmacia-amore.com/

Ma l’elenco potrebbe continuare per svariate pagine.

Questa è stata la svolta decisiva, è possibile che tutti questi siti abbiano un’origine e una matrice comune? È possibile che siano parte di un unico business che di fatto vende in maniera non troppo dissimile ad un franchise l’opportunità di allestire questi siti?

Per scoprirlo abbiamo indagato nelle pagine nascoste di questi portali in cerca di informazioni su un possibile programma di affiliazione.

E non deve sorprendere che presto le nostre domande hanno trovato una conferma positiva. Tutti i siti elencati, sono di fatto controllati da un unico portale: https://ipillcash.com/

Quello che vediamo nell’immagine riportata qui sopra è il cuore di tutti i siti che si occupano di vendita di farmaci senza prescrizione.

Una piattaforma che – una volta registrati – fornisce dietro pagamento l’intera infrastruttura per “aprire” la farmacia on-line.

Non solo, questa web page è la stessa che gestisce in background ordini, vendite, spedizioni e pagamenti.

Avevamo quindi trovato il “come” di tutti questi siti, ci mancava il “chi”. Fortunatamente questo su questo sito le tracce del creatore non erano state coperte così bene come nei casi precedenti.

Ecco il nostro uomo: Mikle Bodro. Alias, nome di fantasia? Non lo sappiamo ovviamente per certo. Quello che abbiamo scoperto però, è come questo nome continui a ripetersi nel tempo (ne abbiamo trovato traccia fino al 2013) dietro tutte le infrastrutture web necessarie per la creazione di questi siti.

Anche scavando più a fondo, facendo un’analisi più approfondita dei domini, il nome continua ad apparire con una certa frequenza, anche se ogni tanto ne compaiono alcune variazioni.

Ma è difficile tenerne traccia e risalire ad un nominativo – di seguito anche un esempio di altro alias utilizzato. Quello che è certo è che l’attività di questo “uomo all’Avana” sembra connessa alla maggior parte dei domini attivi nel campo di queste farmacie illegali.

Non è da escludere che si tratti di un individuo che risiede nell’area dell’ex Unione Sovietica, in quanto appare molto frequentemente in forum e pagine cirilliche e soprattutto quando contattato ha risposto tramite un dominio email che corrispondeva al fuso orario UTC+2. È un complesso gioco di scatole cinesi che richiede di scavare in maniera approfondita. Ma il risultato finale è così sepolto da essere difficile da intravedere…

I pezzi mancanti del puzzle

Insomma, dietro il fenomeno delle farmacie online serberebbe celarsi un programma di affiliazione e franchise costruito ad-hoc per chi voglia cimentarsi in questa attività illegale.

Rimangono comunque aperti alcuni quesiti su come è possibile che questi portali continuino con insistenza ad apparire nelle prime pagine di Google.

Anche qui abbiamo le risposte: non si tratta di altro che di un’operazione di black marketing molto aggressiva.

Infatti, i siti controllati e creati grazie all’infrastruttura di Mikle sono in grado di fare spam aggressivo su tantissimi portali; come? Grazie ad un’attività di injection; ovvero inserendo di nascosto il proprio URL all’interno di siti perfettamente legittimi (senza che i gestori se ne accorgano) per aumentare la propria reputazione online e quindi ingannando Google sulla loro stessa affidabilità.

E i dati?

In tutto questo rimane l’ultimo quesito: dietro tutta questa illegalità e gioco di matrioske, il servizio che viene venduto è legittimo? E soprattutto, i nostri dati sono al sicuro?

A quanto sembrerebbe, l’attività di vendita e consegna di farmaci effettivamente avviene, tanto è vero che alcuni siti tra quelli elencati hanno addirittura impostato una pagina di trust-pilot per ricevere feedback dai clienti.

Per quanto riguarda i dati inserti all’intero di questi siti da parte dei clienti, invece, il responso alla domanda è tutt’altro che positivo.

Come si legge in questo estratto di Threat nel noto Raid forum (un forum – appunto – dove i Criminal hacker comprano/vendono dati rubati) ipillscash è spesso oggetto di discussione.

Abbiamo anche avuto modo di notare come tutti questi portali, nonostante un’impostazione all’apparenza professionale, sono in realtà altamente vulnerabili a possibili attacchi da parte dei Criminal Hacker.

Come opera il franchise

Pochi giorni dopo la fine della prima fase di analisi tecnica delle infrastrutture, abbiamo deciso di testare a fondo se, come in effetti era pubblicizzato, fosse possibile aprire una di queste farmacie.

Abbiamo contattato quindi la mail di support su ipillscash.com e iniziato a parlare in privato – via Telegram – con il nostro “partner manager”.

Ovviamente questi non si è presentato, ma non è difficile pensare che dietro lo schermo potesse trovarsi la persona che abbiamo spesso incrociato nelle nostre analisi: Mikle (e così lo abbiamo salvato tra i contatti).

Come primo step ci ha fornito un ID unico per effettuare la prima registrazione della nostra ipotetica farmacia.

Fatto questo step abbiamo iniziato a discutere immediatamente dei dettagli tecnici del sito. Mikle stesso ci ha proposto varie opzioni di design e template.

Erano disponibili vari linguaggi, la moneta preferita per settare gli acquisti e ci ha anche offerto la possibilità di mettere in piedi un sito multi-linguaggio.

Durante questi primissimi scambi, il nostro contatto ha rivelato rapidamente come gran parte della merce venisse comprata direttamente dall’Europa e – probabilmente – distribuita da magazzini in Paesi del Vecchio continente.

Non solo, Mikle ha anche sostenuto di lavorare a stretto contatto con uno dei più grandi webmaster in Europa.

Non solo Viagra

Sempre in queste fasi “di apertura contrattuale”, ha fatto presente come recentemente fossero disponibili altre droghe senza ricetta per la vendita, compresi dei nootropi – le famose “smart drugs” -. Compresi nell’offerta erano presenti:

  • provigil
  • Modafinil

Curiosamente sono elencati anche dei medicinali come l’Ivermectina, fonte di grandissimi dibatti sulla sua efficacia per combattere il COVID-19. Tra i vari rimedi “non ufficiali” ci ha elencato:

Tra questi ha elencato:

  • stromectol
  • Zithromax
  • PLAQUENIL

I farmaci qui elencati, come il viagra e i suoi derivati, non sono vendibili senza ricetta nel nostro Paese, ma sono soggetti alla Ricetta Ripetibile Limitativa; ovvero medicinali soggetti a prescrizione medica limitativa, vendibili al pubblico su prescrizione di centri ospedalieri o di specialisti.

Sempre in fase di trattativa, Mikle ha suggerito di acquistare un dominio internet con hosting ad Hong Kong, probabilmente per confondere ancora meglio le acque.

Ottenute queste informazioni abbiamo interrotto i contatti con il venditore.

The first step, to find out who is behind a website, is to perform a “whois”, a command that should theoretically reveal the manager of the site and a name to which it is registered.

It couldn’t be that simple though; behind apertafarmacia.it we found a simple front man. A dead end.

Come si può notare, a piè pagina erano presenti dei numeri di telefono, ma – ancora più interessante – un indirizzo email per eventuale supporto clienti.

Questa è stata la prima chiave per scoprire il vaso di pandora di questi siti. Curiosamente, infatti, l’indirizzo fornito ([email protected]) non era esclusivo per il sito che stavamo analizzando, ma trovava corrispondenze in tantissimi altri portali volutamente indirizzati al pubblico “nostrano”.

Tra questi abbiamo trovato:

  • https://nuovapillola.com/
  • https://vera-farmacia.com/
  • https://apotekreseptfritt.com/
  • https://realia-farmacia.com/
  • https://forsta-apotek.com/
  • https://pharmacie-nationale.com
  • https://farmacia-amore.com
  • https://medsitalia.com/
  • https://itfarmaci.com
  • https://apo-sverige.com/
  • https://mypharmameds.com/
  • https://www.apotekmeds.com
  • https://farmacia-amore.com/

Ma l’elenco potrebbe continuare per svariate pagine.

Questa è stata la svolta decisiva, è possibile che tutti questi siti abbiano un’origine e una matrice comune? È possibile che siano parte di un unico business che di fatto vende in maniera non troppo dissimile ad un franchise l’opportunità di allestire questi siti?

Per scoprirlo abbiamo indagato nelle pagine nascoste di questi portali in cerca di informazioni su un possibile programma di affiliazione.

E non deve sorprendere che presto le nostre domande hanno trovato una conferma positiva. Tutti i siti elencati, sono di fatto controllati da un unico portale: https://ipillcash.com/

Quello che vediamo nell’immagine riportata qui sopra è il cuore di tutti i siti che si occupano di vendita di farmaci senza prescrizione.

Una piattaforma che – una volta registrati – fornisce dietro pagamento l’intera infrastruttura per “aprire” la farmacia on-line.

Non solo, questa web page è la stessa che gestisce in background ordini, vendite, spedizioni e pagamenti.

Avevamo quindi trovato il “come” di tutti questi siti, ci mancava il “chi”. Fortunatamente questo su questo sito le tracce del creatore non erano state coperte così bene come nei casi precedenti.

Ecco il nostro uomo: Mikle Bodro. Alias, nome di fantasia? Non lo sappiamo ovviamente per certo. Quello che abbiamo scoperto però, è come questo nome continui a ripetersi nel tempo (ne abbiamo trovato traccia fino al 2013) dietro tutte le infrastrutture web necessarie per la creazione di questi siti.

Anche scavando più a fondo, facendo un’analisi più approfondita dei domini, il nome continua ad apparire con una certa frequenza, anche se ogni tanto ne compaiono alcune variazioni.

Ma è difficile tenerne traccia e risalire ad un nominativo – di seguito anche un esempio di altro alias utilizzato. Quello che è certo è che l’attività di questo “uomo all’Avana” sembra connessa alla maggior parte dei domini attivi nel campo di queste farmacie illegali.

Non è da escludere che si tratti di un individuo che risiede nell’area dell’ex Unione Sovietica, in quanto appare molto frequentemente in forum e pagine cirilliche e soprattutto quando contattato ha risposto tramite un dominio email che corrispondeva al fuso orario UTC+2. È un complesso gioco di scatole cinesi che richiede di scavare in maniera approfondita. Ma il risultato finale è così sepolto da essere difficile da intravedere…

I pezzi mancanti del puzzle

Insomma, dietro il fenomeno delle farmacie online serberebbe celarsi un programma di affiliazione e franchise costruito ad-hoc per chi voglia cimentarsi in questa attività illegale.

Rimangono comunque aperti alcuni quesiti su come è possibile che questi portali continuino con insistenza ad apparire nelle prime pagine di Google.

Anche qui abbiamo le risposte: non si tratta di altro che di un’operazione di black marketing molto aggressiva.

Infatti, i siti controllati e creati grazie all’infrastruttura di Mikle sono in grado di fare spam aggressivo su tantissimi portali; come? Grazie ad un’attività di injection; ovvero inserendo di nascosto il proprio URL all’interno di siti perfettamente legittimi (senza che i gestori se ne accorgano) per aumentare la propria reputazione online e quindi ingannando Google sulla loro stessa affidabilità.

E i dati?

In tutto questo rimane l’ultimo quesito: dietro tutta questa illegalità e gioco di matrioske, il servizio che viene venduto è legittimo? E soprattutto, i nostri dati sono al sicuro?

A quanto sembrerebbe, l’attività di vendita e consegna di farmaci effettivamente avviene, tanto è vero che alcuni siti tra quelli elencati hanno addirittura impostato una pagina di trust-pilot per ricevere feedback dai clienti.

Per quanto riguarda i dati inserti all’intero di questi siti da parte dei clienti, invece, il responso alla domanda è tutt’altro che positivo.

Come si legge in questo estratto di Threat nel noto Raid forum (un forum – appunto – dove i Criminal hacker comprano/vendono dati rubati) ipillscash è spesso oggetto di discussione.

Abbiamo anche avuto modo di notare come tutti questi portali, nonostante un’impostazione all’apparenza professionale, sono in realtà altamente vulnerabili a possibili attacchi da parte dei Criminal Hacker.

Come opera il franchise

Pochi giorni dopo la fine della prima fase di analisi tecnica delle infrastrutture, abbiamo deciso di testare a fondo se, come in effetti era pubblicizzato, fosse possibile aprire una di queste farmacie.

Abbiamo contattato quindi la mail di support su ipillscash.com e iniziato a parlare in privato – via Telegram – con il nostro “partner manager”.

Ovviamente questi non si è presentato, ma non è difficile pensare che dietro lo schermo potesse trovarsi la persona che abbiamo spesso incrociato nelle nostre analisi: Mikle (e così lo abbiamo salvato tra i contatti).

Come primo step ci ha fornito un ID unico per effettuare la prima registrazione della nostra ipotetica farmacia.

Fatto questo step abbiamo iniziato a discutere immediatamente dei dettagli tecnici del sito. Mikle stesso ci ha proposto varie opzioni di design e template.

Erano disponibili vari linguaggi, la moneta preferita per settare gli acquisti e ci ha anche offerto la possibilità di mettere in piedi un sito multi-linguaggio.

Durante questi primissimi scambi, il nostro contatto ha rivelato rapidamente come gran parte della merce venisse comprata direttamente dall’Europa e – probabilmente – distribuita da magazzini in Paesi del Vecchio continente.

Non solo, Mikle ha anche sostenuto di lavorare a stretto contatto con uno dei più grandi webmaster in Europa.

Non solo Viagra

Sempre in queste fasi “di apertura contrattuale”, ha fatto presente come recentemente fossero disponibili altre droghe senza ricetta per la vendita, compresi dei nootropi – le famose “smart drugs” -. Compresi nell’offerta erano presenti:

  • provigil
  • Modafinil

Curiosamente sono elencati anche dei medicinali come l’Ivermectina, fonte di grandissimi dibatti sulla sua efficacia per combattere il COVID-19. Tra i vari rimedi “non ufficiali” ci ha elencato:

Tra questi ha elencato:

  • stromectol
  • Zithromax
  • PLAQUENIL

I farmaci qui elencati, come il viagra e i suoi derivati, non sono vendibili senza ricetta nel nostro Paese, ma sono soggetti alla Ricetta Ripetibile Limitativa; ovvero medicinali soggetti a prescrizione medica limitativa, vendibili al pubblico su prescrizione di centri ospedalieri o di specialisti.

Sempre in fase di trattativa, Mikle ha suggerito di acquistare un dominio internet con hosting ad Hong Kong, probabilmente per confondere ancora meglio le acque.

Ottenute queste informazioni abbiamo interrotto i contatti con il venditore.

Analisi Ransomware: DEADBOLT
Corso di Ethical Hacking: al via il nuovo corso di formazione Swascan Academy
NAVIGAZIONE
SWASCAN SRL

SOCIETA’ SOGGETTA ALLA DIREZIONE
E COORDINAMENTO DI TINEXTA S.P.A.

Headquarters: Via Fabio Filzi, 2b
20063 Cernusco sul Naviglio MI - Italy

P. IVA: 09399680967

© 2017 - 2024 | Swascan Srl

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.