Cerca nel blog

2005/10/20

Arriva il phishing “tre in uno”

Questo articolo vi arriva grazie alle gentili donazioni di "darkelf", "mauro" e "leonida228".

Nuovo caso di phishing, stavolta con la particolarità del "tre in uno": lo stesso messaggio-esca copre tre banche diverse. Il testo è questo:
Oggetto: Banca Intesa/ San Paolo IMI/ Fineco di verifiche di email - [e-mail del destinatario]

Banca Intesa/ San Paolo IMI/ Fineco chiede il vostro contributo:

Per i possessori di un conto Banca Intesa o di un conto San Paolo IMI o di un conto Fineco, a seguito di verifiche di l'indirizzo di posta elettronica nei nostri database clienti, si è reso necessario utilizzo online la conferma dei Suoi dati. Le chiediamo perciò di confermarci i dati in nostro possesso, accedendo al seguente form protetto:

Per i possessori di un conto Banca Intesa: [link apparente a http://www.bancaintesa.it]

Per i possessori di un conto San Paolo IMI: [link apparente a http://www.sanpaolo.com]

Per i possessori di un conto Fineco: [link apparente a http://www.fineco.it]
La difesa è sempre la stessa: non cliccate sui link presenti nei messaggi e non credete alle richieste di verifica provenienti da banche e simili.

Il fatto che questo tentativo di phishing ricorra al "tre in uno" può essere visto sia come un affinamento delle tecniche dei criminali informatici (così hanno più probabilità, nel loro invio alla cieca, di imbattersi in qualcuno che è effettivamente correntista di una delle banche indicate), sia come un gesto di disperazione dei medesimi: forse il tasso di successo del phishing "monobanca" è calato al punto da non essere più remunerativo.

I link che portano apparentemente ai siti delle banche sono camuffati usando le solite tecniche di ridirezione tramite versioni locali di Google e con la "obfuscation" (spiegata in una pagina del mio sito) delle vere coordinate dell'indirizzo del sito-trappola, che puntano a un sito russo.

Stando ai miei rapidi test, i siti-trappola sono già stati bloccati, ma potrebbe essere un effetto delle blindature dei miei computer. Come potete leggere nei commenti, c'è chi segnala che compare una finestra pop-up sopra la finestra del sito vero della rispettiva banca.

Aggiornamento (2005/10/20 12:55): una fonte giudiziaria italiana mi segnala che è già in corso l'attività di blocco, coordinata insieme alle autorità russe. La situazione è altalenante, perché appena viene chiuso un sito-trappola, i criminali ne aprono un altro. Stando alla segnalazione, i pop-up sono tuttora aperti, ma i collettori dove vanno le credenziali sono chiusi. Di conseguenza, eventuali utenti che abboccassero all'esca non dovrebbero correre rischi.

Nessun commento: