2006/06/19

Allerta Banca Intesa: e-mail trappola

Tentativo di phishing contro i clienti di Banca Intesa

Questo articolo vi arriva grazie alla donazione straordinaria di "trucchis".

Correntisti di Banca Intesa, occhio ai messaggi che vi segnalano un blocco del conto! Si tratta di una trappola, costruita (peraltro maluccio) sul modello del phishing.

Come vedete nell'immagine qui accanto, il messaggio arriva con tanto di logo di Banca Intesa e mittente falso (conti@bancaintesa.it) e avvisa che

"per i motivi di sicurezza abbiamo sospeso il vostro conto di operazioni bancarie in linea a Banca Intesa. Dovete confermare che non siete
una vittima del furto di identità per ristabilire il vostro conto."

I dubbi sull'autenticità del messaggio dovrebbero nascere notando l'italiano assai maccheronico della frase successiva ("Dovete scattare il collegamento qui sotto e riempire la forma alla seguente pagina per realizzare il processo di verifica"), ma la forza psicologica dell'agitazione suscitata dal messaggio, combinata con un mittente falsificato e il logo, possono indurre a sorvolare questo dettaglio e a cliccare sul link fornito nel messaggio, che apparentemente porta a

http://www.bancaintesa.it/verifica_profilo/index.htm

ma in realtà porta a

http://64.76.81.234/horde/services/images/.intesa/www.bancaintesa.it/

che contiene una copia del sito di Banca Intesa. Chi abbocca al messaggio immetterà i codici di accesso nel sito-clone e li regalerà quindi ai truffatori che hanno inviato il messaggio, dando loro accesso al proprio conto bancario. In tal caso, è indispensabile avvisare subito la banca e cambiare i codici.

Il resto del messaggio è persino divertente, tanto è sgangherato, ma a quel punto la trappola è probabilmente già scattata, per cui c'è poco da ridere:

"Li ringraziamo per la vostra attenzione rapida a questa materia. Capisca prego che questa è una misura di sicurezza progettata per contribuire a proteggere voi ed il vostro conto. Chiediamo scusa per eventuali inconvenienti.

Francamente, Reparto Di Rassegna Di Conti Di Banca Intesa

Non risponda prego a questo E-mail. La posta trasmessa a questo indirizzo non può essere risposta a."


La barra anti-phishing di Netcraft segnala già automaticamente questo pericolo e indica che il sito-trappola si trova in Colombia. Usatela per prevenire questo tentativo di truffa e i suoi tanti imitatori attuali e futuri.

30 commenti:

  1. http://rtrsat.blogspot.com/2006/06/doppio-phishing-italia-germania.html

    Quasi in contemporanea ..... Saluti

    RispondiElimina
  2. In caso si "effettui" il login sul sito trappola (ovviamente con login e password inventati al momento) viene presentato l'avviso:
    "Questo conto e stato blocato!
    Per sbloccare il conto inserite i vostri dati. Dopo dovete aspettare 10 minuti per collegarvi al vostro conto!"

    Contestualmente vengono chiesti:
    - "Numero Progressivo"
    - "Chiave di Sicurezza"
    - "Password Dispositiva"
    - "E-Mail."

    "Inserendo" (per così dire) i dati richiesti si viene reindirizzati al VERO sito di Banca Intesa.

    Notare che Banca Intesa ha sul suo sito una mini guida anti truffe informatiche e ha attivo un numero verde da contattare in caso ci sia cascati. Peccato che il numero verde per i privati sia operativo solo lun-ven 8-22 e sabato 9-15. Non copre quindi gli orari in cui è più facile che un cliente sia a casa su Internet... Non mi sembra un granché come "servizio" (anche se è già qualcosa).

    RispondiElimina
  3. Tra l'altro mi pare che banca intesa faccia inserire i propri dati in una pagina iniziale http e solo dopo (ma a che serve allora?) ridiriga su una pagina https.
    Devo dire che mi paion dei geni, gli informatici di banca intesa!
    Se qualcuno può smentirmi o spiegarmi qualcosa che non so, benvenga.
    A me pare un home banking già molto poco sicuro all'origine!
    Anche siti molto meno importanti (a livello di sicurezza cliante) fanno inserire i propri dati su una pagina iniziale https (ad esempio l'accont di goggle), mi pare incredibile non lo faccia una banca coì importante!!!
    C'è forse dietro qualcosa che non capisco?

    Giacomo

    RispondiElimina
  4. Questa mattina stessa ho ricevuto la mail incriminata e ho pubblicato anche io un report sul mio blog. Si tratta senza dubbio di un fenomeno pericolossisimo difficilmente indivisuabile dagli utenti alle prime armi.

    RispondiElimina
  5. Si noti anche la data in altro a destra riportata nel sito trappola: 17 marzo 2006. :)

    RispondiElimina
  6. Si noti anche la data in altro a destra riportata nel sito trappola: 17 marzo 2006. :)

    RispondiElimina
  7. Si noti anche la data in altro a destra riportata nel sito trappola: 17 marzo 2006. :)

    RispondiElimina
  8. Si noti anche la data in altro a destra riportata nel sito trappola: 17 marzo 2006. :)

    RispondiElimina
  9. Anche io ho ricevuto l'email in questione. Devo dire che NON ho un conto Banca Intesa, e quindi l'email è già sospetta solo per questo, poi l'italiano sgangherato dovrebbe sicuramente mettere sul chi vive chi la legge, e poi le banche non mi risulta (non ho conto corrente quindi non parlo per esperienza) non mandano email di questo genere...
    E comunque se uno sospetta di avere il conto bloccato NON clicca sul link e va sul sito di banca intesa...

    RispondiElimina
  10. Idem! Anche io ho trovato la stessa mail, e dato che io SONO un correntista di Banca Intesa mi è preso un colpo: chi diavolo glie l'ha detto, dato che faccio gli acquisti in linea con una carta ricaricabile delle poste?
    Però il fatto che sia arrivato anche a correntisti di altre banche mi consola...

    Gabriele

    RispondiElimina
  11. anche a me è arrivata, l'ho vista giusto dieci minuti fà controllando la posta, era già nella crtella spam su GMail

    peccato che neanche io ho un conto su Banca Intesa...

    ciao

    RispondiElimina
  12. chi diavolo glie l'ha detto, dato che faccio gli acquisti in linea con una carta ricaricabile delle poste?

    Nessuno, sparano a caso nel mucchio...

    Moreno

    RispondiElimina
  13. Tra l'altro mi pare che banca intesa faccia inserire i propri dati in una pagina iniziale http e solo dopo (ma a che serve allora?) ridiriga su una pagina https.

    Esatto. C'è da dire che una volta sulla pagina https per operare devi digitare i codici operativi, tuttavia il tuo numero di carta di credito è già lì in bella vista. Ho scritto a Banca Intesa per protestare, e mi hanno condito con un "grazie per il suggerimento, ne terremo conto". Sì, buonanotte.

    RispondiElimina
  14. La sezione della homepage di BancaIntesa dove autenticarsi per il login è caricata in un IFrame che proviene dalla pagina
    https://www.privati.intesabci.it/rete/ambro/cmn/LoginPilot?referer=PIU
    per cui la connessione è protetta fin dal login.

    RispondiElimina
  15. La sezione della homepage di BancaIntesa dove autenticarsi per il login è caricata in un IFrame che proviene dalla pagina
    https://www.privati.intesabci.it/rete/ambro/cmn/LoginPilot?referer=PIU
    per cui la connessione è protetta fin dal login.


    Questo è interesante, c'è modo per l'utente di verificarlo? In ogni caso non resta il fatto che il numero della tua carta di credito è accessibile a un livello non protetto da codici operativi ma solo da codici di login?

    RispondiElimina
  16. OK, trovato l'URL del frame. Clic con tasto destro (solo nel frame superiore) e voce Proprietà. Non va bene però che la protezione sia "nascosta" all'utente.

    RispondiElimina
  17. Non va bene però che la protezione sia "nascosta" all'utente.

    Che poi infatti non si accorge della differenza quando finisce su un sito fasullo...
    (Ammesso che usi un browser decente - tipo Firefox - che evidenzi il fatto che la pagina è https).

    Notare che tempo fa Banca Intesa obbligava i clienti a loggarsi con un certificato digitale, cosa che rendeva virtualmente impossibile il rimanere vittima di phishing; poi sono tornati indietro... Mah!

    RispondiElimina
  18. OFF TOPIC
    Sito anti-complottista (dichiaratamente di destra) con immagini della dinamica del crollo delle twin towers

    http://ospitalieri.splinder.com/

    RispondiElimina
  19. Io ne ho ricevuta una simile nell-aspetto, con il logo colorato ecc., ma con il testo più "classico" della serie "clicchi qui per confermare i suoi dati".
    Yahoo! me l'ha messa nella cartella Spam, l'ho letta solo per curiosità.

    RispondiElimina
  20. Io ho inserito dati fasulli nel sito con nome utente/password e affini oltraggiosi verso il phisher, che non riporto per educazione ;)

    Emanuele

    RispondiElimina
  21. COSA SUCCEDE AL SITO? SI VISUALIZZA SOLO UNA PARTE

    RispondiElimina
  22. Ne ho appena ricevuta una in italiano più "accettabile".

    Il testo è in realtà una gif, l'indirizzo che appare essere
    http : //www.bancaintesa.it/piu/minisiti/contectname/cliente.confim (notare il contect) in realtà è una cosa del tipo
    http : //www.bancaintesa.it.piu.minisiti.contectname.kopard.info/r1/cliente.confim

    Il testo è più rassicurante...o almeno potrebbe rassicurare il non vedere eclatanti strafalcioni (o un messaggio in inglese da una banca italiana)
    "Gentile Cliente di Banca Intesa, il Servizio Tecnico di Banca Intesa sta eseguendo un aggiornamento .."

    Non mi pare sia cosa nuova, al momento non ricordo, se serve comunque inoltro ;-)

    Giusto a titolo di cronaca,ma non di "lamentela", Thunderbird comunque lo ha "lisciato" facendolo passare come messaggio "buono".

    Saluti a tutti.

    RispondiElimina
  23. Off Topic: Paolo come stai?
    Come va la varicella?

    Ciao

    RispondiElimina
  24. "contect"?
    sarà un phisher pugliese...

    RispondiElimina
  25. A me è arrivata sta cavolo di e-mail, non ho un conto Banca Intesa e quindi mi sono insospettito, poi ho letto il testo e sembrava scritto da un bambino di 6 anni. ma la cosa bella sapete qual'è, è che l'e-mail è stata mandata alle 4 di mattina. Quale Banca è aperta a quell'ora.

    RispondiElimina
  26. A me di tali robacce in questi giorni ne stanno arrivando a iosa! E oggi, per la prima volta, qualcuno ha mandato il solito messaggino anche con il logo della banca Mediolanum (prima invece arrivavano solo da BancaIntesa e da SanPaoloIMI). Non ne posso piùùùùùùùùùù!!! *SIGH*

    SYLVY

    RispondiElimina
  27. Paolo,

    mi pare che ci sia un altro phishing in corso (Mediolanum, San Paolo) con allegata un'immagine linkata a un sito.

    L'immagine è questa (innocua nel mio link che è su Imageshack).

    Ne sai qualcosa?

    RispondiElimina
  28. anche a me la settimana scorsa da Banca Intesa e ieri IDENTICA da Banca Mediolanum... e io non ho il conto in nessuna delle 2!

    RispondiElimina
  29. Mi è capitato questa mattina, sono correntista Banca Intesa e in più ho recentemente denunciato lo smarrimento di un blocchetto degli assegni.

    Chiaramente la cosa puzza di truffa (al di la dell'italiano approssimativo) lontano un miglio perchè:

    1. Non ho mai dato la mia email alla banca

    2. Queste comunicazioni non vengono mai gestite via mail.

    3. L'indirizzo web fa riferimento ad un IP 212.22.61.128, che, verificato col comando nslookup porta ad un sito spagnolo.

    Ciao

    Lorenzo

    RispondiElimina
  30. a me è arrivata una e-mail analoga dalla banca di Roma... con le stesse richieste... ma è curioso notare che la mia banca non conosce l'indirizzo e-mail dove è arrivato l'avviso... credo che la truffa la stiano facendo usando anche la banca di roma...

    RispondiElimina

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili