Cerca nel blog

2005/10/20

Arriva il phishing “tre in uno”

Questo articolo vi arriva grazie alle gentili donazioni di "darkelf", "mauro" e "leonida228".

Nuovo caso di phishing, stavolta con la particolarità del "tre in uno": lo stesso messaggio-esca copre tre banche diverse. Il testo è questo:
Oggetto: Banca Intesa/ San Paolo IMI/ Fineco di verifiche di email - [e-mail del destinatario]

Banca Intesa/ San Paolo IMI/ Fineco chiede il vostro contributo:

Per i possessori di un conto Banca Intesa o di un conto San Paolo IMI o di un conto Fineco, a seguito di verifiche di l'indirizzo di posta elettronica nei nostri database clienti, si è reso necessario utilizzo online la conferma dei Suoi dati. Le chiediamo perciò di confermarci i dati in nostro possesso, accedendo al seguente form protetto:

Per i possessori di un conto Banca Intesa: [link apparente a http://www.bancaintesa.it]

Per i possessori di un conto San Paolo IMI: [link apparente a http://www.sanpaolo.com]

Per i possessori di un conto Fineco: [link apparente a http://www.fineco.it]
La difesa è sempre la stessa: non cliccate sui link presenti nei messaggi e non credete alle richieste di verifica provenienti da banche e simili.

Il fatto che questo tentativo di phishing ricorra al "tre in uno" può essere visto sia come un affinamento delle tecniche dei criminali informatici (così hanno più probabilità, nel loro invio alla cieca, di imbattersi in qualcuno che è effettivamente correntista di una delle banche indicate), sia come un gesto di disperazione dei medesimi: forse il tasso di successo del phishing "monobanca" è calato al punto da non essere più remunerativo.

I link che portano apparentemente ai siti delle banche sono camuffati usando le solite tecniche di ridirezione tramite versioni locali di Google e con la "obfuscation" (spiegata in una pagina del mio sito) delle vere coordinate dell'indirizzo del sito-trappola, che puntano a un sito russo.

Stando ai miei rapidi test, i siti-trappola sono già stati bloccati, ma potrebbe essere un effetto delle blindature dei miei computer. Come potete leggere nei commenti, c'è chi segnala che compare una finestra pop-up sopra la finestra del sito vero della rispettiva banca.

Aggiornamento (2005/10/20 12:55): una fonte giudiziaria italiana mi segnala che è già in corso l'attività di blocco, coordinata insieme alle autorità russe. La situazione è altalenante, perché appena viene chiuso un sito-trappola, i criminali ne aprono un altro. Stando alla segnalazione, i pop-up sono tuttora aperti, ma i collettori dove vanno le credenziali sono chiusi. Di conseguenza, eventuali utenti che abboccassero all'esca non dovrebbero correre rischi.

8 commenti:

Anonimo ha detto...

Ma! io nn credo siano stati bloccati. secondo me il fatto che si apra il sito vero, fa parte della truffa. infatti insieme ad esso si apre una pop-up e quella viene da un sito russo..! Inoltre.. usate FireFOX! Si rifiuta di aprire quell'URL astruso!

ciaoatutti
sandro

Alessandro ha detto...

Mi e' arrivata su tre account diversi! ;-(

Anonimo ha detto...

è arrivata anche a me, e ho pensato fosse vecchia perchè la pagina sembra bloccata. nessun pop-up con Internet Explorer

Anonimo ha detto...

Ciao Paolo,

non riesco ad accedere al tuo sito questa mattina, ma volevo segnalare una cosa che potrebbe aiutare diverse persone e non ho visto (magari invece c'è, nel caso perdonami) segnalata da nessuna parte. Ieri sera mio marito ha preso un dialer piuttosto tenace semplicemente sbagliando a digitare "google.it" nella barra dell'indirizzo di Internet Explorer. Ha digitato "oogle.it", si è visto aprire una valanga di pagine web e poi ha passato il resto della serata a cercare di ripulire il computer. Potrebbe succedere a chiunque, è meglio che si sappia, non credi?

Grazie,

Alessandra

Paolo Attivissimo ha detto...

per Alessandra: sto controllando l'accessibilità del sito, anche a me non risponde, vedo di scoprire cos'è successo.

problemi come quello di "oogle.it" ce ne sono a bizzeffe, impossibile segnalarli tutti: l'unico rimedio è smettere di navigare con programmi vulnerabili come Internet Explorer. Dai una scorsa al mio Acchiappavirus, lo puoi scaricare gratis (quando torna disponibile il sito, grrrr), spiega tutta la faccenda.

Ciao da Paolo.

Anonimo ha detto...

Il phishing tre in uno è arrivato anche a me. Confermo la tesi del popup sul sito reale. Ma IE (che se ne dica) è settato per non aprirle, basta saper navigare.

Curiosità: ogni volta invio almeno 10, 15 volte il modulo con nick e password di pura fantasia.
Forse non sarebbe male l'idea d'operare tutti allo stesso modo; come dire, chi di spam colpisce di spam perisce! Almeno così lavorano un po' anche loro. :)

Anonimo ha detto...

Grazie Paolo,

per la sollecita risposta mattutina e per i consigli. Ho peccato di ingenuità... Ora che il tuo sito è di nuovo accessibile, scaricherò l'acchiappavirus e studierò un po'.

Alessandra

Marco ha detto...

Mi chiedo come sia possibile che qualcuno caschi ancora in simili truffe... addirittura il "tre in uno"! (anche io ho ricevuto questo messaggio nella posta elettronica). La sola valutazione, a colpo d'occhio, del messaggio di questi criminali dovrebbe farci sorridere: come è possibile che tre istituti bancari richiedano le stesse informazioni in un unico messaggio??? :-D ROTFL!!!!