Cerca nel blog

2007/07/17

Phishing, arresti in Italia

Finalmente manette per il phishing contro Bancoposte


Questo articolo vi arriva grazie alle gentili donazioni di "napstar8" e "hriccobene".

La Guardia di Finanza di Milano ha messo a segno quelli che definisce i primi arresti per phishing: 26 persone di due associazioni collegate, composte da 18 italiani e otto persone provenienti dall'europa orientale.

Il meccanismo della truffa era quello classico del phishing: uno dei componenti delle organizzazioni mandava migliaia di e-mail fasulle nelle quali si spacciava per il servizio clienti delle Poste italiane e avvisava i clienti (pescati a caso fra gli utenti della Rete) di un problema tecnico che richiedeva la reimmissione dei loro codici segreti d'accesso, effettuabile tramite il link gentilmente fornito nel messaggio. Il link, ovviamente, portava a un sito fotocopia di quello delle Poste e gestito dai delinquenti.

Sono interessanti i dettagli del meccanismo della truffa forniti dal comunicato stampa della GdF: una volta entrati in possesso dei codici di accesso dei conti delle vittime, i truffatori trasferivano i soldi dai conti a delle carte PostePay aperte dai complici. I soldi venivano poi utilizzati per acquistare fiches in diversi casinò in Italia e all'estero.

E' forse finita l'ora dell'apparente impunità dei phisher: sembrava essere un crimine "pulito" e facile, ma l'illusione è finita. La notizia si è meritata una segnalazione anche all'estero da The Register, anche per via del nome scelto, a quanto pare, per l'operazione: "Phish and Chip".

23 commenti:

S. ha detto...

Sarebbe stato interessante capire la dimensione del fenomeno.

Nel comunicato non si parla né del numero di cogl... di vittime né tantomeno dell'importo complessivamente rubato.

Francesco Sblendorio ha detto...

Prima di definire "cogl..." le vittime bisogna tener presente che non tutti sono al corrente di come funzioni la rete, così come non tutti (compreso me!) non sa minimamente come funzioni un albero a camme, e nonostante ciò guida un'automobile.

Ciò che potremmo fare, almeno per contrastare un po' il fenomeno, è di intasare i server di questi sporchi individui bombardandoli, magari con tool come cURL di richieste POST contenenti user e password fasulle, generate a caso. Un po' di gente che lo faccia assieme, e dovrebbero perdere un bel po' di tempo nel filtrare i molti messaggi fasulli.

Ohmnibus ha detto...

Trovo incredibile che una notizia del genere venga ripresa anche dalla stampa estera. Mi spiego: come appena dimostrato la tecnologia per incastrare loschi individui del genere C'E', ma non mi sembra venga usata al meglio... almeno non efficientemente, dato che la notizia ha assunto questi connotati. D'altro canto un poveretto che usa illecitamente il p2p viene intercettato al volo, e se non tutti vengono perseguiti è solo una questione di numeri. Non per fare la solita polemica, ma perche' gli interessi delle major vengono seguiti con celerità e dovizia mentre le necessità della gente comune vengono a malapena tenute in considerazione? Personalmente ricevo ogni giorno una valanga di tentativi di phishing, ho anche tentato di segnalare la cosa ai rispettivi enti (poste italiane e banche varie) ma non ho trovato ne' un servizio di segnalazione ne' tantomeno uno straccio di riscontro... siamo obbligati a subire passivamente aspettando di tanto in tanto un colpo di cu... fortuna della GdF...

Fry Simpson ha detto...

Era ora!!! :D

Me ne arrivavano almeno 5 alla settimana di quelle cavolo di mail! :@

Speriamo che abbiano anche eliminato il software che usavano per lo spamming automatico... -.-

Unknown ha detto...

Se i poliziotti impiegati nel condurre le immagini fossero stati motociclisti, "phish and chip" sarebbe calzato a pennello.

Unknown ha detto...

*le indagini

Sbronzo di Riace ha detto...

Ma se ci sono così tanti italiani perché le e-mail di phishing contengono tanti errori di ortografia? Lo fanno apposta per acchiappare i più boccaloni o distratti?

S. ha detto...

@ francesco
Non è questione di sapere come funziona l'albero a camme.

Tu non ricevi mai posta cartacea "ammiccante"? Ed ogni volta segui i consigli riportati? No, perché ti insospettisce.

Come mai allora non insospettisce che la banca chieda a me i dati di accesso? Se li avessero persi non avrebbe senso chiederli a te, se non li avessero persi non avrebbe comunque senso chiederli a te.

Poi controllare l'URL fa così schifo? Io quando mi trovo in un luogo che ritengo non conoscere abbastanza presto la massima attenzione.

Il problema è credere di conoscere.

Stefano Petroni ha detto...

Grande Guardia di Finanza!

Il problema è educare la gente. Vedo utenti fare su Internet cose che non si sognerebbero mai di fare offline.

omar ha detto...

Mi è appena arrivata una mail di phishing che riguardava la Banca di Roma.

Sono appena stato sul sito della polizia postale ma non cè un servizio che consente questo tipo di segnalazioni.

Va bene farli perdere tempo ma..non ci sarebbe un modo per rintracciare il sito o il pc che ha iniziato la catena?

Chiedo lumi a voi, che spero sarete più smanettoni di me..:-)

Tu Paolo, che mi dici?

ciao

Unknown ha detto...

giusto, perchè non hanno messo un link per segnalare alla polizia postale?

in questi giorni mi arriva spesso una mail per conferma dati da PayPal: stessa storia?

Francesco Sblendorio ha detto...

@ alfredo e gli altri:

Non ha alcun senso una email di conferma per... confermare i propri username e password. Basta questo ragionamento per non cadere vittime...

Giuliano ha detto...

Pe stefano:
Gli importi sottratti illegalmente erano gia' apparsi sulla stampa. Si trattava di quasi 800mila Euro.
Ricordo anche, ed ora ne ho trovata conferma con ricerca in Internet, che i nostri simpatici buontemponi erano riusciti a sottrarre, in pochi minuti, a tre correntisti milanesi di Bancoposta oltre 65mila euro.

Maurizio Grillini ha detto...

Non capisco le difficolta' per contattare la polizia postale. A me e' bastato cercare il termine su google e ho trovato questa pagina:
http://www.poliziadistato.it/pds/informatica/
dalla quale sono stato rimandato qui:
http://www.poliziadistato.it/pds/informatica/contatti.html
e quindi qui:
http://www.commissariatodips.it/stanze.php?strparent=10
...dove in alto a destra si puo' scegliere tra
- Segnalazioni
- Denuncia reato telematico
- Richiesta Informazioni
- Forum

(peccato che il forum abbia una sola discussione, aperta e chiusa il 21 marzo 2006)
Per esperienza personale (furto di identita' - se vi offrono delle pilloline miracolose a mio nome non fidatevi!), evitate di abusarne: la Polizia Postale e la Guardia di Finanza fanno quello che possono con le scarse risorse che hanno a disposizione.

La GdF di Milano ha fatto un bel colpaccio! Speriamo solo che ci siano pene adeguate...

Unknown ha detto...

... ecco, ma non sarebbe il caso di pretendere che al sito della Polizia di Stato (http://www.commissariatodips.it/stanze.php?strparent=10) sia possibile inviare le segnalazioni di phishing nello stesso semplicissimo modo con cui si inviano a Netcraft (http://toolbar.netcraft.com/report_url)?

Francesco Sblendorio ha detto...

A quanto pare hanno ripreso, proprio ora mi è arrivato un altro messaggio di phishing.

Gli URL incriminati (che funzionano ancora, purtroppo) sono:

http://www.strumien.com/ecard/mwe.htm
http://www.virgil-meetings.org/www/bancopostaonline.poste.it/

Bombardarli con "cURL" richiede un po' di lavoro: pare che ci sia un campo hidden che vada riportato pari pari tra una chiamata e l'altra. Niente di complicato, ma che richiede un minimo di pazienza. Mi limito per ora ad una segnalazione presso la polizia postale.

FridayChild ha detto...

Ora sotto con il SanPaolo/BancaIntesa. Mai ricevuto spam in vita mia (esagero, ma quasi), e nell'ultima settimana all'improvviso (senza avere cambiato le mie abitudini di riservatezza) sono bombardato pesantemente. Dai "received" si capisce che si tratta probabilmente di zombie.

Antonio M. ha detto...

Arrivo in ritardo con questo post...
Non bastano utente e password di bancoposta per poter muovere denaro, serve anche un codice dispositivo di 10 caratteri, numeri e lettere.
Chiedevano anche quello?
Mah.

Giuliano ha detto...

Leggo sul sito delle Poste che il codice da 10 caratteri serve per i trasferimenti di danaro.
I nostri simpatici amici invece si limitavano ad acquistare carte Postpay.

mattia ha detto...

>Leggo sul sito delle Poste che il
>codice da 10 caratteri serve per
>i trasferimenti di danaro.

Il codice di 10 caratteri serve ogni volta che devi fare un'operazione che serve a muovere soldi: fare un bonifico, caricare il telefonino, pagare una bolletta, o anche solo caricare postepay.
Sono nome utente e password ti consentono di accedere, spiare tutto quello che vuoi... ma non fare nessuna operazione.
Infatti quel codice non lo chiedono mai tutto intero, ma sono alcuni caratteri. In questo modo se un phiser te lo chiede tutto intero capisci (?) che il sito è fasullo. Ma se te ne chiede tre caratteri appena... poi non può farsene niente perché il sito vero delle poste la volta dopo gli chiede altri tre caratteri.

Anonimo ha detto...

beh sinceramente sono contento che li abbiano pescati, perchè sono un attimino invadenti, il problema è che come ne becchi uno ce n'è un altro (che si crede più furbo del precedente) pronto a prendere il suo posto e a bombardare gli utenti.
Le mail delle poste erano iniziate a diventare un attimino fastidiose, doverle prendere e cancellare ogni volta un po' infastidisce...
Devo dire che @gmail non sembra soggetto a queste mail di phising, (arriva spam ma non questo genere di mail)...

Unknown ha detto...

cellula svizzera di lotta al cybercrime, con tanto di formulario

http://www.scoci.ch/form.php?language=it

Paulus ha detto...

Ho ricevuto ieri una mail che indirizzava su un fasullo sito di "Banca Intesa" ... non so se anche questo phishing è gia noto alle autorità!