2006/07/09

False mail di Poste.it, phishing insolito

Attenti alle false comunicazioni di Poste.it, sono un phishing evoluto



Questo articolo vi arriva grazie alle gentili donazioni di "candyshop.life" e "marvek".

L'articolo è stato aggiornato dopo la pubblicazione iniziale.


Da un paio di giorni mi arrivano segnalazioni di un insolito tentativo di phishing ai danni degli utenti di Poste.it. Non solo il messaggio-esca è confezionato in modo molto professionale, senza errori d'italiano e con un linguaggio molto burocratese e realistico, ma la sua caratteristica saliente è che a differenza dei phishing tradizionali, questo non contiene alcun link-trappola.

Dopo il logo di Posteitaliane, come vedete nell'immagine qui sopra, il messaggio ha un'intestazione molto formale:

Informazioni Utente:
Tipo di Servizi Erogati: Erogazione Servizi Per Privato (cod. 001)
Codice Cliente: 8010225/001(s)
Indirizzo: [ VERIFICATO MEDIANTE TELEGRAMMA ]
Cod. Ufficio postale prima registrazione: 0001826/(S 2)

Davvero geniale l'idea del "verificato mediante telegramma": in questo modo il phisher evita di rivelare che non sa l'indirizzo postale del destinatario ma crea l'impressione di conoscerlo.

Oggetto: Comunicazione Urgente nr. 802 - 07/2006

Gentile Cliente,

I servizi PosteOnLine di PosteItaliane, che Le consentono di effettuare operazioni postali direttament dal Web, saranno temporaneamente interrotti a causa di inefficienze tecniche che il nostro personale tecnico provvederà a riparare.

L'interruzione dei servizi avverrà Lunedì 17 Luglio a partire dalle ore 06.00.Il Ripristino dei suddetti, avverrà entro e non oltre Lunedì 24 Luglio.

Entro tale data tutti i servizi Internet di PosteOnLine saranno ripristinati.Questo processo di upgrade potenzierà i servizi di Web Banking riducendo i tempi di attesa e rendendo le operazioni più sicure e stabili.

Un'interruzione di servizio di un'intera settimana è un po' anomala, persino per i livelli di disservizio ai quali si è purtroppo abituati in Italia, ma passa facilmente inosservata grazie al linguaggio burocratico e alle diffide incluse nel testo:

In base agli artt. 143 e 213/a, da Lei accettati al momento della sottoscrizione del contratto, Posteitaliane declina ogni responsabilità oggettiva e/o soggettiva relativa all'interruzione dei servizi in oggetto, fornendo valide e utili alternative ai servizi resi non operativi da problemi tecnici derivanti da cause che, tuttavia, prescindono dalla volontà di Posteitaliane.L'utente finale viene avvertito con un utile anticipo di almeno 5 giorni per ridurre al minimo eventuali disagi arrecati.

Come ulteriore autenticazione, il messaggio-esca invita a contattare le Poste, confidando che la maggior parte delle vittime non lo farà:

E' possibile richiedere maggiori informazioni a riguardo contattando il numero verde di Posta On-Line dedicati ai servizi di Web Banking.In alternativa, può recarsi in uno dei punti Poste Italiane.E' disponibile un elenco completo di tutti i punti PosteItaliane su territorio nazionale, cliccando sul link riportato nell'intestazione della presente mail.

A questo punto c'è un'altra frase che dovrebbe suscitare qualche dubbio:

Inoltre, tale processo di upgrade provocherà la perdita delle Sue informazioni relative ai Dati di accesso alle operazioni On-Line.

Come è possibile che un'azienda perda intenzionalmente i dati dei clienti? Non sono capaci di farne una copia? L'upgrade lo fanno fare a Mister Magoo?

E' a questo punto che scatta la trappola:

Al fine di ovviare a questo inconveniente, può inviare i seguenti dati via mail (rispondendo alla presente) o via fax (numero specificato di seguito).

1) Nome e Cognome
2) Attuale Nome Utente per l'accesso ai Servizi di PostaOnLine
3) Attuale Password per l'accesso ai Servizi di PostaOnLine
4) Attuale Codice Dispositivo Cliente*.Nel caso di possessore carte Postepay, riportare le ultime 8 cifre ( 4023 6004 XXXX XXXX )** , data di scadenza e codice di verifica riportato sul retro della carta e costituito dalle ultime 3 cifre.
5) Attuale indirizzo email (solo per comunicazioni via fax)

** Solo per i possessori di Carte Prepagate PostePay - Riportare le ultime 8 cifre della Sua carta Postepay.
Esempio: la Sua carta PostePay è costituita dalle cifre 4023 6004 XXXX XXXX - Riportare solo le ultime 8 cifre corrispondenti alle X come sù riportato.
Riportare, inoltre, la data di scadenza riportata sul fronte della carta e il codice di verifica (cvv2).Il codice di verifica è situato sul retro della carta.E' rappresentato dalle ultime 3 cifre presenti sul retro in corrispondenza della striscia bianca.

Si è invitati, insomma, a comunicare tutti questi dati rispondendo al messaggio. Ma il mittente vero del messaggio è posteitaliane@inbox.com, che ovviamente non è un indirizzo di Poste.it ma appartiene al truffatore (alcuni programmi di posta insicuri potrebbero visualizzare soltanto l'indirizzo fasullo assistenza@poste.it).

Rispondendo al messaggio, quindi, regalereste tutti i vostri dati al truffatore. Ecco perché non c'è il classico link-trappola: la trappola sta nell'indirizzo al quale viene mandata la risposta della vittima.

Le finezze psicologiche continuano:

Importante: NON BISOGNA RIPORTARE IL CODICE PIN NE' NESSUN ALTRO TIPO DI INFORMAZIONE NON RICHIESTA NELLA PRESENTE.

"Visto?" dice il truffatore, "noi ci teniamo alla tua sicurezza: mica ti chiediamo il PIN, anzi guai se ce lo mandi!". E' purtroppo una rassicurazione inutile, perché le frodi sulle carte di credito si possono fare anche senza conoscere il PIN (lo so per esperienza personale -- come vittima, non come truffatore, s'intende!).

Come se non bastassero questi giochini mentali, l'artista della truffa rincara la dose:

Come precedentemente riportato, è possibile inviare le suddette informazioni via mail (rispondendo alla presente) o via fax al numero: 899.102.102 (tariffazione unica in tutta italia - 1.02 euro alla risp. più 27 cent/euro al secondo).

L'offerta del numero telefonico è un bluff: fa sembrare molto autorevole il messaggio, ma in realtà l'indicazione esplicita delle tariffe esosissime (27 cent al secondo!) è concepita per indurre l'utente a non chiamare il numero in questione e a inviare i dati via e-mail. Fra l'altro, stando al test di un lettore (grazie pietro.m****), il numero è inesistente, stando perlomeno alla voce registrata che si sente si arriva alla settima cifra.

Si tratta, insomma, di un phishing veramente ben fatto rispetto alla sgrammaticata media del settore. Per contrastarlo, oltre a farne segnalazione alla Polizia delle Comunicazioni, si potrebbe saturare la casella di posta con dati fasulli o anche con semplici e-mail di protesta. Al momento in cui scrivo, la casella sembra essere ancora attiva.

Frugando negli archivi di Google Gruppi, sembra che si tratti di una riedizione di un messaggio già circolato ai primi di aprile 2006 con dati leggermente diversi ma la medesima struttura.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili