Cerca nel blog

2005/08/08

[IxT] Allerta phishing Bancoposta

Da ieri mi stanno arrivando numerosissime segnalazioni di un nuovo tentativo di phishing su vasta scala ai danni degli utenti italiani.

Il messaggio che arriva sembra provenire da "support@bancopostaonline.poste.it" e tradisce la propria natura truffaldina principalmente per colpa del suo italiano decisamente stravagante:

"Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.

Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.

Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:"

Il link proposto è in apparenza questo:

https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp

ma in realtà nasconde questo indirizzo coreano:

http://www.withwith.or.kr/zboard/icon/formslogin.php

che tuttora, mentre scrivo (8:30 dell'8/8/2005), contiene una copia ben fatta del sito delle Poste, con le caselle per immettervi i codici di accesso al servizio, regalandoli così ai truffatori.

La toolbar anti-phishing gratuita di Netcraft riconosce già questa destinazione indicandone la pericolosità. Inoltre il sito-truffa non visualizza il lucchetto che indica una transazione sicura (quello vero sì).

Valgono le solite raccomandazioni:
  • non fidatevi mai di un invito a cliccare su un link per reimmettere i vostri codici; si tratta sempre di un tentativo di truffa
  • quando visitate un sito ad accesso controllato da codici segreti, digitatene il nome a mano, oppure usando i Preferiti
  • fate sapere in giro che esistono truffe di questo genere
  • se non immettete i vostri codici nel sito-trappola, siete al sicuro anche se avete ricevuto il messaggio-esca
  • i truffatori non vi hanno inviato il messaggio perché sanno che avete un conto Bancoposta: più semplicemente, ne hanno mandate migliaia di copie a tutti gli indirizzi che sono riusciti a trovare, sperando di imbattersi anche in qualche correntista.
E a proposito di phishing, mi è arrivato il piccolo premio di Netcraft che ho vinto per essere stato il primo a segnalare un sito-trappola qualche giorno fa: una mega-tazza con il logo della società, dalla quale sto in questo momento sorseggiando un te' per colazione.

Ciao da Paolo.

18 commenti:

Anonimo ha detto...

Ciao Paolo, ti segnalo una cosa... con il conto BancoPosta i codici d'accesso non ti permettono di effettuare alcuna operazione, solo visualizare i movimenti e l'estratto conto. C'è in più un codice alfanumerico di 10 caratteri... ad ogni operazione ti vengono richiesti 4 caratteri a caso.
Se tu noti immetendo dei dati fasulli nella prima form fasulla ti manda ad una seconda che richiede tutto il codice "dispositivo", ciò significa che hanno già avuto accesso al sito e hanno colonato anche la pagina che richiede il codice dispostivo.

Anonimo ha detto...

Anche in questo caso come per BancaIntesa le immagini sono prese direttamente dal sito bancoposta... potrebbero fare un giocheto di "cambio immagini" come ha fatto il webmaster di BancaIntesa

Anonimo ha detto...

Hello Paolo , quale correntista di Poste Italiane mi sono permesso di inoltrare a loro la tua segnalazione ( naturalemnte citandone la fonte). Forse glielo hanno gia fatto notare ... comunque una segnalazione in piu non farà male.
Ermanno Donatini

Anonimo ha detto...

Pensa che il sito è ancora su....

Anonimo ha detto...

>Inoltre il sito-truffa non visualizza il lucchetto
>che indica una transazione sicura (quello vero sì).

Col mio FireFox (su XP) il lucchettino appare! :-O

Anonimo ha detto...

Oggi 09-08-05 il sito è ancora aperto e funziona chiedendo di immettere i codci...PAZZESCO che nessuno lo faccia sparire...

Anonimo ha detto...

Credo che abbiano bucato il sito dove è ubicato il fake; non è detto che siano koreani solo per il fatto che il sito hosting è koreano!

Anonimo ha detto...

In realtà nella prima maschera di login si può scrivere qualsiasi cosa, visto che ovviamente non c'è alcun controllo.

Anonimo ha detto...

# non fidatevi mai di un invito a cliccare su un link per reimmettere i vostri codici; si tratta sempre di un tentativo di truffa
# quando visitate un sito ad accesso controllato da codici segreti, digitatene il nome a mano, oppure usando i Preferiti.......
Veramente io preferisco usare Firefox, dopo aver letto l'Acchiappavirus di quel Paolo A. non so se lo conosci.
I Preferiti Firefox li chiama Segnalibri.

Anonimo ha detto...

Non lasciamo passare inosservata la postilla...
In coro: Vogliamo una foto di Paolo col tazzone di Netcfraft!!!

Anonimo ha detto...

volevo segnalare che l'email col sito fasullo gira ancora.. il mittente fasullo è adesso:

"Banco Posta online" "tag"BlondieCallaghan@bancopostaonline.poste.it"tag"

e l'oggetto:

BancoPosta: Misure di sicurezza -"vostra email"

saludos,
har|ock

Anonimo ha detto...

A me sono arrivati messaggi da: BancoPostaonline [AlbertAguirre@poste.it]
Il msg è particolarmente fake in quanto è un oggetto grafico/testuale e il sito e rediretto su google.be e poi rediretto ancora su vlriodks.pisem.net che richiede i codici.
Tutto funziona benissimo!!

Ciao
Marco

Anonimo ha detto...

Ciao Paolo,
anche a me è arrivata questa email truffa, il problema è che io non ho neanche un conto bancoposta. come di deve fare per denunciare questa gente?

Paolo Attivissimo ha detto...

Puoi rivolgerti alla Polizia delle Comunicazioni di zona:

http://www.poliziadistato.it/pds/informatica/contatti.html

Ciao da Paolo.

Anonimo ha detto...

E' in atto un tentativo di phishing molto insidioso, visto che l'email l'ho ricevuta il 22 novembre e il sito-truffaldino è ancora in piedi, oggi 28 novembre, a quasi una settimana dalla sua comparsa!!!
Da info ottenute sul sito joker.com, l'URL del sito truffaldino risulta registrato da tale Brian Zimmerman, californiano. Ho l'impressione che i dati anagrafici del Brian siano stati rubati e usati dai truffatori per registrare il sito in capo a qualcuno che non c'entra niente... Un pò quel che capita a chi riceve email col virus allegato: da anni ormai il mittente apparente, non è mai il mittente vero!
Il comando dos Tracert bancopostaonline-it.com fornisce, alla fine, il seguente schema:
17 364 ms 364 ms 374 ms delhi-203.197.228-246.vsnl.net.in [203.197.228.246]
18 375 ms 372 ms 370 ms 202.159.212.163
19 370 ms 364 ms 373 ms 202.159.212.163
20 367 ms 368 ms 364 ms 203.94.243.26
21 363 ms 363 ms 364 ms 203.94.244.173
Quest'ultimo indirizzo ip, inserito nella pagina
hxxp://www.geobytes.com/IpLocator.htm
è localizzato in Nuova Deli, India. Il server che ospita il sito-truffa è di proprietà della Mahanagar Telephone Nigam Ltd., ISP Division, New Delhi.
Mi domando perchè è così difficile oscurare la pagina di phishing... D'accordo non si può immadinare di mandare in India un Rambo alla caccia di un server da sfasciare a mazzate... se poi il truffatore ha un altro server in Siberia e un altro in Paraguay, dove trasferire al volo la sua paginetta Web... Ma non sarebbe possibile che un Giudice orinasse all'autorità che ha venduto l'URL-truffa (apnic.net ?) di cancellarlo dai database? Così che non esista più la corrispondenza tra la stringa dell'URL e l'indirizzo ip di destinazione?
Tutte riflessioni che faccio a seguito della constatazione che nonostante sia passata una settimana, il sito truffa è ancora lì!!!
Ecco l'email che ho ricevuto (in ufficio):
>Egregio utente,
>Il reparto sicurezza della nostra banca le notifica che sono state prese misure
>per accrescere il livello di sicurezza dell'online banking, in relazione ai frequenti
>tentativi di accedere illegalmente ai conti bancari.
>Per ottenere l'accesso alla versione più sicura dell'area clienti preghiamo di dare la sua autorizzazione.

>*Fare click qui per andare alla pagina dell'autorizzazione <
>http://bancopostaonline-it.com:8081/bpol/bancoposta/formslogin.asp/secure/i ndex.htm
>*

>La preghiamo di trattare le nuove misure di sicurezza con la massima serietà e di
>esaminarle bene immediatamente.

>Distinti saluti,
>Il reparto sicurezza

>Questo messaggio di posta elettronica è stato generato automaticamente il 22.11.2005, alle ore 20.43
-----------------------------
Assolutamente geniale, italiano quasi perfetto, esca ben farcita ai confini della realtà... Incredibile e geniale quel ... "Per ottenere l'accesso alla versione più sicura dell'area clienti preghiamo di dare la sua autorizzazione"... capace di far cadere nel tranello anche chi, a prima botta, sarebbe ancora capace di essere diffidente... e ancora ... "la preghiamo di trattare le nuove misure di sicurezza con la massima serietà" ... terribile nella sua efficacia comunicativa. Questo vuol dire che se il messaggio raggiunge mille correntisti della banca delle poste, penso che due o tre e anche più sarebbero portati a fornire le credenziali richieste!

C'è nessuno che immagina come si potrebbe applicare qualche tecnica di "deface" al sito, in attesa che autorità, poste ecc. ecc. lo spengano? Ciao a tutti e... in guardia!...

Anonimo ha detto...

Ciao, Paolo! xchè il sito di cui al msg precedente è ancora in piedi all'indirizzo IP 203.94.244.173? Sembra che non solo la Mahanagar Telephone Nigam Ltd., ISP Division, New Delhi ma neppure l'autorità che assegna gli indirizzi IP siano capaci di intercettare e cancellare il sito di un cliente che lo gestisce per fini palesemente illeciti! E' passato quasi un mese ed io sono davvero meravigliato! Cosa c'è dietro? Possibile che Poste e Polizia non abbiano fatto passi verso tali autorità? Grazie. mb

Anonimo ha detto...

Caro Paolo, sapresti fare un'ipotesi sul perchè questo benedetto sito indiano è ancora in piedi da novembre??? Apprezzerei un commento. Grazie. mb

Frà ha detto...

Grazie Paolo mi hai rassicurato

ho appena ricevuto quella fottuta mail l'ho aperta ma per fortuna firefox mi ha avvertito