Continuano a circolare email truffa che invitano ad aggiornare i dati del proprio conto corrente online. Cambiano le versioni ma lo scopo è sempre lo stesso: portare l’utente verso siti che riproducono Poste.it per indurre a lasciare i dati di accesso al conto corrente online.
Questo è un esempio di email truffa BancoPosta in formato html
Questo un esempio di email pishing verso clienti BancoPosta in formato testo:
From: [email protected] Reply-To: [email protected]
….
Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.
Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.
Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:Ringraziamenti per vostra pazienza.
BancoPostaon.
———————————————————-
Non risponda prego a questo E-mail. Il E-mail trasmesso a questo indirizzo non può essere risposto a.
Come riconoscere il pishing
Generalmente banche, poste e istituti di credito non inviano email richiedendo dati sensibili quali username, password, e pin per accedere al conto corrente online
Questi tentativi di pishing vengono inviati ad decine di migliaia di indirizzi email generati automaticamente, oppure rastrellati nel web con degli appositi programmi (spider), ma anche ceduti da siti poco seri dove vi siete registrati oppure recuperati tramite virus che hanno sfruttato falle dei programi di posta elettronica. Nel caso voi abbiate veramente un conto corrente su BancoPosta (e quindi una delle tante email ha pescato giusto nella marea di email inviate), bisognerebbe verificare se è l’indirizzo associato al vostro conto.
Anche il linguaggio utilizzato nella email puo’ rivelare il pishing: spesso si tratta di traduzioni in italiano di email-pishing originariamente in inglese, e ad un’attenta lettura � facile capire che quella email non potrebbe essere scritta da un italiano (n� tantomeno da un Ufficio relazioni con il pubblico o altro)
Queste sono tutte raccomandazioni di base grazie alle quali è possibile riconoscere il tentativo di pishing anche solo in base al buon senso
Qualche approfondimento tecnico sulle tecniche utilizzate dalle email pishing
Se ricevete le email in formato HTML anzichè in formato TEXT (in html ricevete le email complete di colori, immagini e -rischio- codici javascript attivati; l’altra opzione – sicura- � il testo puro), il link che la email vi invita a cliccare per accedere al vostro conto corrente puo’ sembrare potenzialmente corretto, ma in realt� vi porterebbe al sito truffaldino che vi apparirebbe simile in tutto e per tutto al sito di BancoPosta. Il link vi puo’ apparire come segue:
.
In questo caso le forme di pishing diventano due:
1) il link vi porta ad un sito clone di quello originario ma residente su tutt’altro dominio. E’ il pishing classico, l’utente crede di essere su Poste.it ma in realtà è su un sito russo o coreano.
2) il link attraverso una serie di redirect vi porta (alla fine) sul sito giusto, ma fa aprire una finestra dove inserire i dati sensibili, che per� non fa parte di Poste.it. Questo è un pishing pi� fine. I link della email ricevuta in realtà vi portano all’indirizzo
– omissis-
ossia, in questo esempio, una serie di redirect che sfruttano il servizio di redirect offerto da www.da.ru, e al termine vi trovate sì sul sito originale di Poste.it, ma con una finestra esterna al sito italiano!
Nell’immagine potete vedere la finestra che si apre una volta che accedete al sito delle poste tramite questi redirect, che vi chiede i dati per accedere al conto corrente. Inserirli significa regalarli al truffatore. Notare che proviene dal sito euychans.nm.ru, non da Poste.it, che rimane sullo sfondo della pagina!
Indirizzo email del mittente: chi vi invia la email pishing ovviamente dissimula il vero indirizzo dal quale proviene la mail. Nel campo mittente comparirà un possibile indirizzo del tipo @bancoposta.it o simile, ovviamente falso. Notare nel caso della email-pishing in formato text come il primo carattere della email sia Maiuscolo, cosa poco probabile nel caso di invio di una email importante a tanti destinatari in quanto i server (che poi smisteranno la posta) non basati su tecnologia Windows sono case sensitive, ossia fanno distinzione tra maiuscole e minuscole: per convenzione si lasciano gli indirizzi sempre in minuscolo.
In conclusione, che fare quando ricevo queste email?
Cestinare subito la mail ricevuta, non cliccare sul link proposto dalla email, eventualmente installare la toolbar di http://toolbar.netcraft.com/ (che avvisa nel caso state visitando un sito a rischio), leggere con attenzione quanto vi arriva per porvi giustamente dei dubbi. [www.magnaromagna.it]
Aggiornamento Mi Manda Raitre del 21/10/05
Ho appena visto la trasmissione nella quale si sono confrontati alcuni clienti truffati e due responsabili di BancoPosta, i quali hanno avuto il coraggio di affermare che Poste.it ha fatto tutto il possibile per informare i clienti della truffa in corso, e che durante l’anno hanno inviato una email a tutti i correntisti. Brevemente:
1) io sono correntista di Bancoposta (probabilmente ancora per poco vista la poca seriet� nell’affrontare il problema) e non ho mai ricevuto questo avviso, come dichiarato anche dai correntisti truffati presenti in trasmissione
2) che senso ha inviare una email ufficiale che dice in pratica le stesse cose delle email truffa? Come si fa a distinguerla da quella vera se non si ha una certa padronanza tecnica per riconoscerla come falsa? E’ un po come mandare degli esattori per avvisare che ci sono dei falsi esattori in giro, spianando cos� la strada ai truffatori. Le poste, per avvisare, avrebbero dovuto mandare un avviso cartaceo ufficiale, non una email fatta come quelle truffladine.
Infine la testimonianza di uno dei truffati (ex dipendente delle Poste e con una certa dimestichezza con il pc) � stata sminuita dal responsabile delle Poste, il quale afferma che chi � stato truffato lo � perch� ha risposto alle email truffa. Prima di questa testimonianza lo pensavo anche io, ma avendo la fortuna di non dover per forza difendere la propria azienda, con un po’ di umilt� il direttore si sarebbe accorto che la testimonianza ha aperto una nuova pista: la persona ha affermato di non aver ricevuto email-pishing, di non aver inserito dati in nessun form e, in un altro momento, di usare un password manager. L’attacco è quindi indiretto: il software entra nel computer in altri momenti e sotto altre forme (uno screensaver che non è tale, un virus), dopodichè legge i files dove abbiamo salvato delle password, e si mette in moto una volta che visitiamo quel sito (in questo caso BancoPosta). Esistono dei dialer sofisticati che non vengono rilevati dai normali antidialer e che si attivano solo quando ci connettiamo. Il procedimento è piu’ che plausibile e pericoloso. Cosa puo’ fare l’utente? Non dare l’ok all’avviso “Salva password?” che compare quando inserite una password e date invio; cambiare spesso la password; installare un software anti spyware.
Articolo di F. Baldisserri – www.magnaromagna.it