Cerca nel blog

2006/03/20

Sicurezza: phishing contro Poste Italiane, più curato del solito

Questo articolo vi arriva grazie alle gentili donazioni di "3638254" e "hel38b".
L'articolo è stato aggiornato dopo la sua pubblicazione iniziale.

Da sabato scorso (18/3/2006) sta intasando le caselle di posta degli utenti italiani un nuovo tentativo di truffa basato sul meccanismo del phishing: stavolta il bersaglio è costituito dalle Poste Italiane. La particolarità di questo ennesimo attacco è la cura con la quale è stato realizzato. Per evitare danni è sufficiente cancellare l'e-mail contenente la tentata truffa.

La cura particolare si nota nella confezione del testo, corredato del logo delle Poste Italiane per conferire maggiore autorevolezza apparente (come potete vedere nell'immagine in alto a sinistra) e proveniente da un indirizzo Poste.it falsificato:

Gentile Cliente di Poste Italiane,

Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualità dei servizi bancari.

Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che Lei troverà alla fine di questo messaggio.

[link apparentemente autentico a Bancopostaonline.poste.it]

Ci scusiamo per ogni eventuale disturbo, e La ringraziamo per la collaborazione.

© Poste Italiane, 2006

Il link citato nel messaggio porta in realtà a un sito-trappola, apparentemente identico a quello autentico delle Poste, nel quale l'utente è invitato a immettere i propri codici di autenticazione. Se lo fa, li regala al truffatore, che gestisce il sito-trappola.

Il messaggio contiene inoltre del testo nascosto, costituito da frasi in inglese che singolarmente hanno senso compiuto ma nel complesso sono sconnesse. Si tratta presumibilmente di testo generato casualmente, usato per confondere i filtri antispam.

Secondo la newsletter di sicurezza SalvaPC, il sito-trappola in questo caso specifico è in realtà costituito da vari siti, almeno uno dei quali è già stato disattivato. Uno di quelli che ho testato personalmente si trova in Corea (dllinfo.cc) e viene rilevato dalla preziosa barra anti-phishing di Netcraft, che vi consiglio vivamente di installare in Firefox o (se proprio dovete) Internet Explorer.

Diffidate sempre di ogni richiesta di codici ricevuta via e-mail: nessuna banca o organizzazione seria manderà mai una richiesta del genere. Per essere sicuri di visitare il sito autentico, non cliccate mai sui link offerti da messaggi di questo genere, ma digitate a mano l'indirizzo, oppure usate la versione memorizzata nei vostri Preferiti.

13 commenti:

Anonimo ha detto...

Anche mi è arrivata quest'email e non mi fidavo. Sapevo che quest'email sia truffa. Si capisce da come si scrive.

gmg ha detto...

E' arrivata anche a me. Anzi me ne sono arrivate due ed una delle due riportava un termine in Inglese nell' oggetto. Ovviamente la cosa più sospetta di tutte è che io NON sono cliente di Poste Italiane!
Oggi invece me ne è arrivata un' altra che puzza di phishing, ma non saprei. Riporto il resto qui sotto:

Visa assicura che solamente tu potrai utilizzare la tua carta Visa online..


Abilita la tua carta di credito alle ultime misure di sicurezza Visa.com, segui il link riportato per abilitare la tua carta di credito alle transazioni autenticate protette dal protocollo SSL3 e dalla tua password personale:

http://www.visa.com/usa.visa.com/personal/security/vbv/

La tua carta Visa non potr più essere utilizzata senza il tuo consenso!

Che ne pensate?

Anonimo ha detto...

E' da un po' che sto pensando: se io andassi sul sito civetta e immettessi un nome utente fittizio e una password fittizia, e come me facessero tutti, non sarebbe un buon sistema per mettere i bastoni fra le ruote ai phishers? E magari un aiuto alla polizia e alle poste nel beccare quelli che cercano di trarre vantaggio dal phishing? Giusto un'idea.

Paolo Attivissimo ha detto...

Sì, immettere dati fittizi è un buon sistema, utile a diluire i dati reali regalati ai truffatori dalle vittime.

Gasodromo ha detto...

Ma sul fatto che la polizia, postale o non, e quindi la Giustizia (rigorosamente con la G maiuscola mi raccomando!) si interessino a questi malaffari, non c'è da sperarci...
Come d'altra parte nessuno si prenderà mai la briga di bloccare in maniera definitiva e punire S.E.V.E.R.A.M.E.N.T.E. quelli che diffondono i dialer... TROPPI interessi stanno dietro a queste attività al limite del lecito (per non dire: criminali)!
Andrebbero a toccare troppe società che hanno i loro interessi proprio nel tollerare - per dirla eufemisticamente - questi "gentiluomini di Internet"...

Anonimo ha detto...

Basterebbe che, al momento della sottoscrizione dei vari contratti (carta di credito, banking on line...), le varie banche scrivessero (E SPIEGASSERO A VOCE) ai clienti che mai e poi mai si metteranno in contatto per ottenere codici e quant'altro e che prima di fare qualunque cosa bisogna sempre informarsi al numero verde apposito.

atigra ha detto...

Provate a cambiare le ultime due lettere dell'url della pagina truffa. Al posto quindi di "pi" sostituite con "a", fate poi la prova con "b", poi con "c", ecc... da rimanere stupefatti. Ho trovato in un sito anti-phishing che esistono dei veri e proprio kit di phishing da installare penso nei server ed avere, sotto un unico dominio, molte varianti di pagine truffa.

Anonimo ha detto...

io lavoro con un pubblico "eterogeneo" (sportello comunale) e so com'è suscettibile. Un privato che vende un servizio MAI farebbe balenare all'utente che potrebbero insorgere problemi: è sempre tutto sotto controllo! (HAKUNA-MATATA, Bwana) - Franco

Anonimo ha detto...

Stavo analizzando il messaggio che mi era arrivato ma a questo punto cominciano a vacillarmi alcuni concetti oramai "assodati": e' normale che da un QUALUNQUE computer si possa visualizzare un immagine posta sul server di poste e per di piu' con il protocollo https?
Loro ci sono riusciti e questo puo' tranquillamente portare molte persone a fidarsi del messaggio-truffa...

Oppure e' il server delle poste che non e' stato configurato correttamente?

possibile?

Hayabusa ha detto...

Il messaggio Visa riportato sopra e' ovvio che sia un tentativo di phishing. Comunque se se ne vuol avere la prova basta copiare ed incollare nel browser l'indirizzo riportato: non esiste sul sito visa.com.

Ovviamente, come nel caso della truffa "Poste Italiane" in oggetto, il link vero porta ad un'altro sito molto simile come compitazione ma non uguale (basta che un / sia sostituito con un . per avere un dominio completamente differente...)

Paolo Attivissimo ha detto...

' normale che da un QUALUNQUE computer si possa visualizzare un immagine posta sul server di poste e per di piu' con il protocollo https?

Sì. Infatti molti programmi di posta (come Thunderbird e Mail, per esempio) permettono di disattivare la visualizzazione delle immagini remote.

Anonimo ha detto...

'spetta... Mi sono spiegato mooolto male...
Ho preso il sorgente html, da li ho estrapolato l'indirizzo dell'immagine (https://postemail.poste.it//cgi-bin/webmail.cgi ecc...) e su un altro computer ho provato a vedere cosa succedeva inserendo il suddetto indirizzo e li ho "visto" che chiunque poteva vedere l'immagine inserita nel messaggio del phishing senza doversi precedentemente autenticare sul server di poste... :-|
Tutto cio' non mi sembra assolutamente normale e comunque NON dovrebbe essere ne corretto ne salutare...

Francesco

tux_errante ha detto...

ci sarebbe da dire che il phishing prosegue imperterrito sulla casella postale di Poste.it
Stavolta si inviano false email di bonus da un mittente UGUALE a quello delle poste.
E' assurdo che non mettano nemmeno un filtro per lo spam.

http://tuxerrante.blogspot.com/2010/07/non-aprite-quella-posta.html