Enoela

Autofish

Possibile che l’unico account che non classifica automaticamente in spam i tentativi di phishing su banco posta sia quello di poste italiane?

Phishing new age … Quasi beccato

Caro alberto.leone@somewhere.boh ,

Siamo felice per annunciare che siete il vincitore dell prodotto Google Lava Lamp . Per più informazioni la preghiamo di andare a :

Google Lava Lamp Concorso

Riguardi migliori,

Google Team

Non ho notato la tipica “sgrammatica” e mi sono, per un attimo, lasciato ingannare all’idea che quelli di google possano davvero fare doni new age. Poi un’occhiata all’indirizzo ha infranto il sogno di possedere una nuova lampada a lava, magari a colori con le palline di google che nuotavano su è giù. Stronzi. Non hanno rispetto di nulla questi ladri d’identità senza scrupoli!

Tutto sotto controllo

Nei giorni scorsi qualcuno ha alterato il contenuto della home page del sito delle Poste Italiane.
La notizia non ha destato l’attenzione di quella porzione della blogsfera che riesco più o meno a seguire, e così, per una volta, vengo a saperlo da un quotidiano.

La notizia non mi ha sorpreso.

Mi ha invece colpito la sicurezza con cui si liquida l’episodio in una nota ufficiale:

“È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo.
[...]
I defacement comunque sono un fenomeno abbastanza fisiologico su internet. Negli anni si contano azioni simili contro siti di varie levature, anche istituzionali”.
(responsabile Sicurezza Logica (?), Poste Italiane).

Per fortuna non sono un correntista di poste italiane, ma non mi sentirei affatto tranquillizzato da una simile sottovalutazione del rischio.
Se il deface fosse stato messo in atto da veri criminali ridirigendo sulla solita trappola del phishing? Agli utenti viene insegnato a non cliccare mai sui link inviati via email, a digitare sempre a mano l’indirizzo del sito verificandone l’identità. Bene. E se la home page del sito è stata alterata?

Non amo criticare chi lavora in questo settore perché per primo mi rendo conto della distanza tra il desiderato teorico e ciò che si riesce a realizzare nella pratica. E’ vero, il defacing di un sito è spesso fatto a scopo dimostrativo e di rado mira a fare danni concreti. Ma in questo caso stiamo parlando di un sito che gestisce transazioni finanziarie per il quale una simile eventualità non può essere ridotta al defacing di un sito amatoriale.

Grave il fatto che l’azione dimostrativa abbia avuto successo e gravissima la leggerezza con cui l’episodio viene liquidato in modo ufficiale dal responsabile della sicurezza.

Non posso non ricordare che la quasi totalità dei tentativi di phishing che ricevo via email riguardano proprio il sito di poste italiane (utilizza ancora la scheda con la sequenza di caratteri segreti per la verifica delle disposizioni online?) e nel frattempo la banca dati dei CAP viene protetta da captcha per impedire che “i pirati” se ne approprino. Grande attenzione a proteggere un patrimonio che andrebbe mantenuto pubblico, visto che serve a migliorare la qualità stessa del servizio di poste italiane. Ma questa è un’altra, assurda storia.

Fax-phishing

Mai abbandonare le vecchie tecnologie. I browser si sono attrezzati con sistemi che rilevano l’accesso a pagine potenzialmente fraudolente? I client di posta si rifiutano di seguire i link a siti clonati per carpire i nostri dati?

Beh, allora mettila sul fax una barra antiphishing se ci riesci!

Caro Cliente,
PosteItaliane si impegna nell’applicazione della legge nel tentativo
di combattere le eventuali frodi o furti. Le informazioni saranno
fornite su richiesta alle agenzie legali per accertarsi che i falsi
possessori siano proseguiti nella misura adeguata dalla legge.
Diventare utente verificato è una semplice procedura che richiediamo
per fornirti il servizio più completo e sicuro possibile.
Invia tramite fax ( Numero di fax 39-049-xxxxxxxx ) i
documenti attestanti la tua identità , il tuo indirizzo e
tutti dati identificativi:
Nome utente:
Password:
Numero della carta postepay:
Scadenza mm/aa:
CVV2/CVC2:
Digita i dieci caratteri del tuo codice:
L’Assistenza Clienti, dopo aver ricevuto la documentazione e aver
verificato la completezza e la veridicita.

© Poste italiane 2008

La barra antiphishing va messa sulla testa degli utenti. Se anche poste italiane decidesse di rivedere le sue procedure di autenticazione, forse, tutti ne trarremmo giovamento, visto che il 90% del phishing riguarda i loro servizi e questo lascia pensare che i suoi clienti siano, per tanti motivi, bersaglio prediletto.

L’idea non è nuova, è del 2005 questo avviso di Sophos su paypal.

Phishing più veloce ed efficace della pubblicità

Prendo spunto dalla recente nota di redlo (ma non mi avevi detto di lasciarli lavorare in pace?) sul phishing per tornare anch’io sull’argomento.
E’ di qualche giorno fa un tentativo di phishing ancora una volta indirizzato ai servizi online di poste italiane.

Non avevo ancora saputo dei nuovi servizi di poste italiane su piattaforma mobile. Per fortuna c’é il phishing che mi pubblicizza i nuovi ed eccezionali servizi.

Devo ammettere che non sono correntista di poste italiane, ma sono cliente del loro sito. Regolarmente registrato ho spedito diversi telegrammi. Pochi euro, ma è sorprendente che una simile iniziativa non fosse stata ancora pubblicizzata a tutti i “potenziali” interessati.

Per fortuna, in soccorso arrivano i phisher e ci pensano loro a farmi sapere della nuova iniziativa. Insomma, sono quasi d’aiuto.

In realtà il messaggio è ancora una volta estremamente insidioso e solo l’approssimazione linguistica può allarmare i meno esperti:

Accedi ai servizi online per accreditare il gratuito telefono !

C’è da chiedersi cosa aspettino ad assoldare dei madrelingua in grado di tradurre meglio le loro esche.

Il phishing resta un’insidia serissima per gli utenti di servizi online. Le tecniche di seduzione diventano sempre più raffinate e le competenze necessarie per navigare con sufficiente sicurezza non sono diffusissime.

Ma l’aspetto più interessante di questa riflessione è il fatto che io ho effettivamente notato la massiccia campagna pubblicitaria off-line (tv e giornali) solo dopo aver ricevuto il messaggio, prima di allora non mi ero accorto di nulla. Avrei sviluppato una discreta capacità di ignorare la pubblicità, ma il phishing è riuscito laddove gli esperti di marketing avevano fallito. Nuove frontiere della pubblicità, …

Phishing 2.0

Uno dei passatempi del mattino, all’apertura della posta elettronica, è la lettura dei messaggi di phishing. Nel tempo abbiamo visto un progressivo miglioramento nel testo, un raffinamento nel contenuto del messaggio. Tecniche fantasione nel mascherare la presenza di link “bugiardi” e nel contempo aggirare le tecniche anti-spam e anti-phishing. Ma il contenuto dei messaggi era sostanzialmente lo stesso:
a causa di un illecito utilizzo del suo account …
per utilizzare i nuovi servizi …

Poi qualche sforzo di fantasia:
Per ritirare il suo premio …

Oggi trovo la svolta. Geniale, pericolosissimo. Unico indizio il link, che in testo libero non potevano mascherare (che non riporto per prudenza):

Negli ultimi tempi si sta sempre più diffondendo su internet il fenomeno del “Phishing” con cui si invitano, illegalmente, gli utenti a fornire i propri dati personali e riservati.

La frode consiste nell’inviare agli utenti messaggi di posta elettronica
che sembrano provenire da banche, istituzioni finanziarie, emittenti di carte di credito, ecc.., con i quali si invita ad accedere alla propria home banking tramite l’utilizzo di un link integrato nel testo.

Una volta cliccato sul link si apre una finestra contente un falso sito identico nella grafica a quello ufficiale.

Sicurezza dei dati-> Difendersi dal phishing cliccando qui :

[segue link]

Italiano perfetto. Se potesse il messaggio fischietterebbe per simulare indifferenza mentre vi invita a mettere un piede sulla trappola.

GranPremio Mondo BancoPosta!

Ieri mattina leggo la posta accumulata nel fine-settimana e trovo i soliti tentativi di phishing su Poste Italiane. Tra questi ne noto uno che fa riferimento ad un concorso a premi. L’idea è buona, anche se l’italiano va ancora migliorato. E’ comunque molto interessante il sito che avrebbe ospitato il servizio:

http://www.confindustria.toscana.it/www.poste.it/contobancoposta/granpremio/

Uso il condizionale perché ho molti dubbi che il phishing sia mai stato operativo. L’invito è del 2 giugno, l’ho letto solo ieri. Quando ho cliccato, dopo la solita discussione con firefox, ho trovato un broken link: le pagine, se c’erano, sono state (prontamente?) rimosse. Poi il sito ha smesso di rispondere e ancora adesso è in manutenzione. Una coincidenza oppure qualcuno ha pubblicato quel che voleva tra le pagine del loro sito?