Cerca nel blog

2006/07/09

False mail di Poste.it, phishing insolito

Attenti alle false comunicazioni di Poste.it, sono un phishing evoluto



Questo articolo vi arriva grazie alle gentili donazioni di "candyshop.life" e "marvek".

L'articolo è stato aggiornato dopo la pubblicazione iniziale.


Da un paio di giorni mi arrivano segnalazioni di un insolito tentativo di phishing ai danni degli utenti di Poste.it. Non solo il messaggio-esca è confezionato in modo molto professionale, senza errori d'italiano e con un linguaggio molto burocratese e realistico, ma la sua caratteristica saliente è che a differenza dei phishing tradizionali, questo non contiene alcun link-trappola.

Dopo il logo di Posteitaliane, come vedete nell'immagine qui sopra, il messaggio ha un'intestazione molto formale:

Informazioni Utente:
Tipo di Servizi Erogati: Erogazione Servizi Per Privato (cod. 001)
Codice Cliente: 8010225/001(s)
Indirizzo: [ VERIFICATO MEDIANTE TELEGRAMMA ]
Cod. Ufficio postale prima registrazione: 0001826/(S 2)

Davvero geniale l'idea del "verificato mediante telegramma": in questo modo il phisher evita di rivelare che non sa l'indirizzo postale del destinatario ma crea l'impressione di conoscerlo.

Oggetto: Comunicazione Urgente nr. 802 - 07/2006

Gentile Cliente,

I servizi PosteOnLine di PosteItaliane, che Le consentono di effettuare operazioni postali direttament dal Web, saranno temporaneamente interrotti a causa di inefficienze tecniche che il nostro personale tecnico provvederà a riparare.

L'interruzione dei servizi avverrà Lunedì 17 Luglio a partire dalle ore 06.00.Il Ripristino dei suddetti, avverrà entro e non oltre Lunedì 24 Luglio.

Entro tale data tutti i servizi Internet di PosteOnLine saranno ripristinati.Questo processo di upgrade potenzierà i servizi di Web Banking riducendo i tempi di attesa e rendendo le operazioni più sicure e stabili.

Un'interruzione di servizio di un'intera settimana è un po' anomala, persino per i livelli di disservizio ai quali si è purtroppo abituati in Italia, ma passa facilmente inosservata grazie al linguaggio burocratico e alle diffide incluse nel testo:

In base agli artt. 143 e 213/a, da Lei accettati al momento della sottoscrizione del contratto, Posteitaliane declina ogni responsabilità oggettiva e/o soggettiva relativa all'interruzione dei servizi in oggetto, fornendo valide e utili alternative ai servizi resi non operativi da problemi tecnici derivanti da cause che, tuttavia, prescindono dalla volontà di Posteitaliane.L'utente finale viene avvertito con un utile anticipo di almeno 5 giorni per ridurre al minimo eventuali disagi arrecati.

Come ulteriore autenticazione, il messaggio-esca invita a contattare le Poste, confidando che la maggior parte delle vittime non lo farà:

E' possibile richiedere maggiori informazioni a riguardo contattando il numero verde di Posta On-Line dedicati ai servizi di Web Banking.In alternativa, può recarsi in uno dei punti Poste Italiane.E' disponibile un elenco completo di tutti i punti PosteItaliane su territorio nazionale, cliccando sul link riportato nell'intestazione della presente mail.

A questo punto c'è un'altra frase che dovrebbe suscitare qualche dubbio:

Inoltre, tale processo di upgrade provocherà la perdita delle Sue informazioni relative ai Dati di accesso alle operazioni On-Line.

Come è possibile che un'azienda perda intenzionalmente i dati dei clienti? Non sono capaci di farne una copia? L'upgrade lo fanno fare a Mister Magoo?

E' a questo punto che scatta la trappola:

Al fine di ovviare a questo inconveniente, può inviare i seguenti dati via mail (rispondendo alla presente) o via fax (numero specificato di seguito).

1) Nome e Cognome
2) Attuale Nome Utente per l'accesso ai Servizi di PostaOnLine
3) Attuale Password per l'accesso ai Servizi di PostaOnLine
4) Attuale Codice Dispositivo Cliente*.Nel caso di possessore carte Postepay, riportare le ultime 8 cifre ( 4023 6004 XXXX XXXX )** , data di scadenza e codice di verifica riportato sul retro della carta e costituito dalle ultime 3 cifre.
5) Attuale indirizzo email (solo per comunicazioni via fax)

** Solo per i possessori di Carte Prepagate PostePay - Riportare le ultime 8 cifre della Sua carta Postepay.
Esempio: la Sua carta PostePay è costituita dalle cifre 4023 6004 XXXX XXXX - Riportare solo le ultime 8 cifre corrispondenti alle X come sù riportato.
Riportare, inoltre, la data di scadenza riportata sul fronte della carta e il codice di verifica (cvv2).Il codice di verifica è situato sul retro della carta.E' rappresentato dalle ultime 3 cifre presenti sul retro in corrispondenza della striscia bianca.

Si è invitati, insomma, a comunicare tutti questi dati rispondendo al messaggio. Ma il mittente vero del messaggio è posteitaliane@inbox.com, che ovviamente non è un indirizzo di Poste.it ma appartiene al truffatore (alcuni programmi di posta insicuri potrebbero visualizzare soltanto l'indirizzo fasullo assistenza@poste.it).

Rispondendo al messaggio, quindi, regalereste tutti i vostri dati al truffatore. Ecco perché non c'è il classico link-trappola: la trappola sta nell'indirizzo al quale viene mandata la risposta della vittima.

Le finezze psicologiche continuano:

Importante: NON BISOGNA RIPORTARE IL CODICE PIN NE' NESSUN ALTRO TIPO DI INFORMAZIONE NON RICHIESTA NELLA PRESENTE.

"Visto?" dice il truffatore, "noi ci teniamo alla tua sicurezza: mica ti chiediamo il PIN, anzi guai se ce lo mandi!". E' purtroppo una rassicurazione inutile, perché le frodi sulle carte di credito si possono fare anche senza conoscere il PIN (lo so per esperienza personale -- come vittima, non come truffatore, s'intende!).

Come se non bastassero questi giochini mentali, l'artista della truffa rincara la dose:

Come precedentemente riportato, è possibile inviare le suddette informazioni via mail (rispondendo alla presente) o via fax al numero: 899.102.102 (tariffazione unica in tutta italia - 1.02 euro alla risp. più 27 cent/euro al secondo).

L'offerta del numero telefonico è un bluff: fa sembrare molto autorevole il messaggio, ma in realtà l'indicazione esplicita delle tariffe esosissime (27 cent al secondo!) è concepita per indurre l'utente a non chiamare il numero in questione e a inviare i dati via e-mail. Fra l'altro, stando al test di un lettore (grazie pietro.m****), il numero è inesistente, stando perlomeno alla voce registrata che si sente si arriva alla settima cifra.

Si tratta, insomma, di un phishing veramente ben fatto rispetto alla sgrammaticata media del settore. Per contrastarlo, oltre a farne segnalazione alla Polizia delle Comunicazioni, si potrebbe saturare la casella di posta con dati fasulli o anche con semplici e-mail di protesta. Al momento in cui scrivo, la casella sembra essere ancora attiva.

Frugando negli archivi di Google Gruppi, sembra che si tratti di una riedizione di un messaggio già circolato ai primi di aprile 2006 con dati leggermente diversi ma la medesima struttura.

30 commenti:

Anonimo ha detto...

Io gli ho già mandato una pernacchia come protesta....dici che vale?????:-)))))

Anonimo ha detto...

Se ti sembra strano il fatto che si possano perdere i dati dei clienti, non hai mai usato l'home banking di BancoPosta, dove ogni qualche mese si perdono lo storico dei movimenti, dove devi usare Explorer se no non funzionano menu fatti in javascript, dove il sito è operativo praticamente solo in orario di lavoro (al sabato e domenica è chiuso). Insomma, se sei un cliente delle Poste il tuo livello di scetticismo sulle castronerie possibili scende molto in basso, quindi puoi benissimo credere a una mail come questa...

eurocitoyen ha detto...

che mandi una mail alla polizia postale purtroppo non fanno niente... vogliono che vai la e fai la denuncia..
e se chiami alle poste sai che fanno? dicono di cestinare l'e-mail (manco denunciare alle autorità)
Provate voi stessi 803.160 tasto 3 (servizi internet)

Anonimo ha detto...

Esiste una mail equivalente a questa di poste, ma diretta a utenti ebay. La richiesta è di inviare i dati rispondendo alla mail ebay_confirm@inbo... o al numero di fax 899.5532....

Anonimo ha detto...

Veramente io non ho problemi a visualizzare tutto con mozilla e a verificare il mio conto di sabato e domenica

Anonimo ha detto...

Non è proprio vero, dai.
I casi in cui devi ricorrere a IE sono pochissimi. Io uso Opera e mi sono sempre trovato bene. Solo per alcune operazioni ho dovuto usare IE.
E poi non è vero che sabato e domenica è chiuso!!!
E' chiuso solo la notte.
Cunta mia soe ball!

Anonimo ha detto...

Credo che mandare e-mail con dati falsi, finirebbe per creare ulteriori disguidi, io mi limiterei ad inviargli le mie proteste.

Mi sembra assurdo che per denunciare un illecito perpetratosi su internet si debba andare fisicamente dall'autorità competente.

Anonimo ha detto...

Mandata pernacchia con "consigli" (del tipo 'fate le vostre prechiere') allegati.
:-D :-P

Anonimo ha detto...

ovviamente era 'preghiere'

Anonimo ha detto...

gli ho mandato 10 mega di foto (il massimo consentito da Hotmail...) almeno perde un po di tempo a scaricare...

Gian Piero Biancoli ha detto...

Debbo convenire che chi abbia architettato l'email lo abbia fatto proprio bene: mirabile esempio di social engineering come Paolo fa ben notare.
Quello che mi torna strano è che ha fornito in maniera così spudorata l'indirizzo email posteitaliane@inbox.com. L'indirizzo, già ora, potrebbe essere monitorato dalle forze dell'ordine ed ogni eventuale accesso per verificare se qualche pollo c'è cascato, potrebbe rivelare l'identità del truffatore.
Secondo voi, l'ideatore, avrà pensato anche a come superare questo inconveniente o è stato solo molto sprovveduto ?

P.S.
Occorre ricordare, a tal proposito, che c'è stata da poco la prima condanna per phishing in Italia (http://punto-informatico.it/p.aspx?id=1557289)

Salutoni a tutti e state benone

Anonimo ha detto...

mado' quante ne ho scritte nella mail...speriamo solo che capisca il napoletano , perchè le jastemme in napoletano rendono di piu :D

Grande Paolo.

Anonimo ha detto...

E` riportata due volte la frase:
"2) Attuale Nome Utente per l'accesso ai Servizi di PostaOnLine"
e manca la richiesta di password.
Presumo sia un errore di trascrizione perche` il phishing e` fatto davvero bene.
Ciao.
Marco.

Anonimo ha detto...

L'indirizzo, già ora, potrebbe essere monitorato dalle forze dell'ordine ed ogni eventuale accesso per verificare se qualche pollo c'è cascato, potrebbe rivelare l'identità del truffatore.

Di domenica pomeriggio e nella giornata della finale dei mondiali? Non ci credo nemmeno se me lo viene a dire il comandante in capo della polizia postale... *LOL*

Anonimo ha detto...

Abbiamo individuato il signore truffatore - come al solito è un poveretto, gia abbastanza rovinato in modo personale ed economico.

Ci siamo rassicurati che non faccia danno con i fortunatamente pochi dati raccolti. Per fortuna gli italiani sono attenti a questi messaggi e non reagiscono. Molte minacce di morte però ... anche questo un motivo perchè non vogliamo inviare l'identità del signore.

Paolo Attivissimo ha detto...

>Abbiamo individuato il signore truffatore ...

"Abbiamo"? A nome di chi parli?

Gian Piero Biancoli ha detto...

L'idea del fax sarebbe stata senz'altro migliore. Un numero di fax che reindirizzava i fax ad un indirizzo email incontrollabile (ad esempio un .ru) tramite uno dei numerosi servizi gratuiti, sarebbe stata la ciliegina sulla torta... peccato che sia caduto sul banale ... anzi, meglio così!
Salutoni.

Anonimo ha detto...

Piuttosto ben fatto, si': abbastanza corretto l'italiano, ma con quel "sù" (con l'accento sulla u) e una virgola che non ci vuole ("Il Ripristino dei suddetti, avverrà entro...") che rendono piu' credibile il fatto che sia stato scritto da un dirigente delle poste...

Anonimo ha detto...

Abbiamo individuato il signore truffatore - come al solito è un poveretto, gia abbastanza rovinato in modo personale ed economico.

Mi puzza, questo commento.....Potrebbe sembrare scritto dal truffatore stesso, che ora cerca di bloccare le e-mail alla sua casella.

Anonimo ha detto...

Forse c'è stato qualche problema nell'invio di questo articolo tramite i feed RSS di Thunderbird. Nel mio caso si leggono solo le prime tre righe. Non so se sia solo un caso isolato.
Marco

Anonimo ha detto...

Ma se uno posta le critiche all'email phisher, e qualche truffatore la legge, non si corre il rischio di avere truffe sempre più perfezionate :D
Quello che ha detto
[i] abbiamo individuato il signore...[/i] voleva essere ironico (un po' come quando scrive BeppeGrillo, che non si riesce a distinguere il serio dal faceto... :))) )
Per chi non lo avesse capito, i due smiley voglion dire che stavo facendo della sottile ironia :)
Grande Paolo!!!
P.S. CAMPIONI DEL MONDO
CAMPIONI DEL MONDO
CAMPIONI DEL MONDO

Anonimo ha detto...

Il sito bancoposta non perde lo storico dei movimenti, impedisce volontariamente la consultazione di movimenti piu` vecchi di tre mesi. Sara` una limitazione arbitraria e immotivata, ma c'e` una bella differenza col perdere i dati di tutti i clienti per lavori _pianificati_. Idem l'indisponibilita` notturna (e non nel fine settimana) dei servizi.

Non e` invece vero che il sito si possa usare solo con explorer; l'ho usato senza problemi con konqueror, safari e firefox, per varie operazioni.

Anonimo ha detto...

grazie per la segnalazione!e mi raccomando a tutti non inviate mai mai MAIIII dati delle vostre carte!MAI!

Anonimo ha detto...

...e comunque quando si sospetta che qualcosa non vada nel nostro conto, se proprio si vuole verificare, è bene NON USARE MAI i link proposti nell'email, ma andare sul sito della propria banca (o quello delle poste) e vedere, se ci sono annunci di problemi etc...

Gian Piero Biancoli ha detto...

Un altro OT ma importante
RICHIESTA DI ADOZIONE DI SOFTWARE LIBERO NELLA PUBBLICA AMMINISTRAZIONE

Firma anche tu la petizione per richiedere l'adozione dell'open source nella pubblica amministrazione.
Nella lettera, tra l'altro, c'è un rimando al blog di Paolo Attivissimo per la questione del virus kamasutra a Milano.

http://81100.eu.org/petizione/

Anonimo ha detto...

beh che è successo ?

Anonimo ha detto...

Anche io ho risposto alla mail, ma purtroppo non essendo iscritta al sito delle poste gli ho dovuto spiegare che non potevo inviare i miei dati affinchè mi rubassero tutti i soldini.. che peccato ^^

Anonimo ha detto...

"Debbo convenire che chi abbia architettato l'e-mail lo abbia fatto proprio bene"

dopo il mirabile esempio di social engineering un mirabile esempio di grammaticidio.

complimenti a paolo per la segnalazione e all'egregio Biancoli per l'abuso di congiuntivo (patologia comunque meno comune dell'abuso di condizionali)

ELO ha detto...

L'utlma mail sul caso ricevuta riporta come oggetto "PHISHING - Attenzione alle e-mail sospette"

Icredibile....
--
Enea

moticanus ha detto...

truffa Poste italiane arriva al bonus da 50€.

Niente + verifica dei dati o rinnovo del bancoposta. A me è arrivato il bonus da 50€ da parte di Poste Italiane (alias gratta e vinci)! Alla fantasia non c'è limite!

http://moticanus.blogspot.com/
2007/07/una-truffa-che-si-rinnova.html