Ecco l’ennesimo tentativo di phishing ai danni degli utenti di Poste Italiane

Posted on 8 April 2009 by Gianluca S.

Adaptation of the image "Hook, Line, Sinker (How I fell for a phishing scam)" by ToastyKen

Hook, Line, Sinker (How I fell for a phishing scam), by ToastyKen.

Era da un bel pezzo che non mi facevo sentire, tra i fatti di questi giorni e gli impegni, la voglia di scrivere era scesa praticamente sotto zero.

Oggi, però, mi è arrivata una strana email, che aveva come unico contenuto un’immagine e pretendeva di avere come mittente Poste Italiane.

Se vi è arrivato qualcosa di simile drizzate le antenne e continuate a leggere.


E’ la prima volta che mi capita ma, essendo opportunamente informato e sufficientemente geek, nel giro di pochi millisecondi, ho capito che si trattava di un tentativo di phishing.

Traduco rapidamente per i pigri:

il phishing è una piccola truffa in cui un malintenzionato finge di essere una banca, un sito di e-commerce o un’autorità per spillare dati sensibili come credenziali di accesso o numeri di conto corrente o di carta di credito all’ingenuo di turno.

Attenzione perchè a volte l’imitazione è così accurata che non è facile accorgersi dell’inganno.

Pessimo tentativo di imitazione
In questo caso, fortunatamente per me, il dilettante si è limitato inviare via email una fotografia di una pagina del sito di Poste Italiane con un messaggio in cui si parlava di un premio fedeltà da 150 €. Non è il primo caso, anzi se provate a fare una ricerca su Google, potete vedere quanti altri tentativi praticamente identici sono già stati fatti, chissà perchè sempre ai danni di Poste Italiane[1]

Come ho fatto ad accorgermi subito che era una truffa?

  1. Mi regalavano soldi per niente :blink:
  2. Vedi al punto 1
  3. La qualità delle era pessima
  4. Nessun contenuto oltre al pessimo screenshot
  5. Nessun riferimento al mio account con Poste Italiane[2]
  6. Nessun riferimento al fatto che io non ho un account con Poste Italiane :wink:
  7. Se anche avessi un account con Poste Italiane, questo mi darebbe accesso ad una casella email che verrebbe usata per comunicazioni ufficiali come questa
  8. Il messaggio contiene errori di ortografia (va beh che anche gli impiegati delle poste sbagliano, ma esistono i correttori automatici)
  9. Il mittente non era poste.it, ma banco-poste.it
  10. L’unico link che c’era sopra non portava all’indirizzo http://poste.it, ma ad un altro indirizzo (che non riporto perchè altamente tossico) il quale, tra l’altro,  portava il browser (quello che tecnicamente si chiama redirect) ad una sotto sotto sottopagina di un terzo sito che ricalca esattamente la pagina di login di Poste Italiane, ma ovviamente serve solo a raccogliere nomi e password dei malcapitati.

Beh, messi in evidenza tutti i difetti, come in qualsivoglia truffa, sembra che solo uno stupido possa cascarci, ma vi assicuro che non è così. Pensate al periodo in cui viviamo, c’è crisi, a quanti di noi farebbero fin troppo comodo due soldini in più, anche solo 150 €. Queste email fanno leva proprio su questo, sulla speranza remota di avere un pizzico di fortuna una volta ogni tanto. E spesso siamo così accecati dalla speranza da non farci troppe domande e buttarci a capo chino proprio tra le braccia del nemico. Per questo valgono sempre le solite raccomandazioni:

Nessuno ti regala niente, nè nel mondo reale, nè su internet.

Altre tattiche di phishing sono strani lavori online in cui si richiede di trasferire denaro o pagamenti attraverso il nostro conto corrente o la nostra carta di credito[3].

Non parlare con gli sconosciuti.

Controllate sempre cosa c’è scritto sulla barra dell’indirizzo quando navigate: dopo la dicitura “http://” o “https://” inizia il nome del sito col quale state scambiando dati e se non è esattamente quello col quale dovreste essere connessi, andate via! Non a caso sia Google Chrome che Internet Explorer 8 evidenziano la parte importante dell’indirizzo in neretto, come potete vedere nelle figure qui sotto. Barra indirizzi di Chrome Barra indirizzi di Internet Explorer 8 Nessuno, neanche le forze dell’ordine[4] possono chiedervi nome utente e password di accesso a qualsiasi servizio, soprattutto quelli bancari. Quindi in tal caso diffidate, non comunicate niente, non cliccate sui link, non rispondete, cestinate e mandateli a fancuore.

Chiedi e ti sarà dato.

Se anche la cosa vi sembra estremamente convincente, informatevi della effettiva autenticità del messaggio tramite canali alternativi. La cosa più semplice infatti è chiedere al diretto interessato. Ad esempio nel caso descritto sopra, avrei potuto chiamare il servizio clienti delle Poste, contattarlo io tramite email o semplicemente andare sul loro sito direttamente (senza usare il link riportato nell’email), per accorgermi che non esiste nessun premio fedeltà. Possibile che regalano soldi e non lo dicono a nessuno? Come minimo ci avrebbero fatto una campagna pubblicitaria di 2 mesi!

Informa gli amici.

Purtroppo ci sono talmente tanti casi di phishing e con diffusione così rapida che non è possibile segnalare direttamente alla Polizia Postale ogni singolo caso, ma nel nostro piccolo possiamo innanzitutto avvertire chi conosciamo, segnalare il tentativo di phishing. Gmail ad esempio permette di marcare direttamente il messaggio tossico, in questo modo altri utenti Gmail saranno avvertiti del pericolo. Funzioni analoghe si possono trovare nei client di posta elettronica e nelle altre email sul web. Soprattutto va avvisato il sito imitato. In questo caso basta inviare una email all’indirizzo info@poste.it. Purtroppo Poste Italiane non risponde e non ringrazia per queste email. Sinceramente non so se effettivamente intervengano o no, ma se nessuno gli rompe le scatole difficilmente saranno spronati a fare qualcosa.

Tieniti aggiornato.

Ogni tanto un’occhiata ai siti che trattano questi argomenti in modo approfondito non fa male. Le truffe, non solo quelle virtuali, funzionano sempre con gli sprovveduti, e pretendere di usare i potenti mezzi che ci offre internet senza sapere cosa si sta facendo esattamente è da sprovveduti.

-----
  1. In verità un paio di mezze idee ce le ho: spotrebbe essere a causa del tipo di misure di sicurezza che, gradualmente, possono essere aggirate con la complicità inconsapevole dell’utente. Oppure a causa della PostePay che viene usata su internet con troppa leggerezza vista la possibilità di limitare i danni alla sola ricarica []
  2. Solitamente le email di massa inviate agli iscritti ad un servizio on-line vengono personalizzate in automatico in modo da includere il nome utente, o il nome di battesimo della persona a cui sono inviate, proprio per dimostrare che sono state mandate da chi effettivamente gestisce il servizio ed ha quindi accesso ai dati di iscrizione dell’utente []
  3. A seconda del tipo di truffa si usano poi altri termini, ma il concetto base non cambia []
  4. E’ capitato che venissero mandate email che chiedevano dati personali o contenevano link tossici o virus e avevano come mittente la Polizia di Stato o la Polizia Stradale []
This entry was posted in life, Web and tagged , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>