ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
International Traders - L'altro volto dell'e-commerce
Venerdì 29 Marzo 2024
Focus

Uno strano caso di phishing ai danni di Poste Italiane

Lunedì 11 Giugno 2007
autore: Redazione InterTraders
ROMA (Italia). Negli ultimi giorni i tanti internauti avranno riscontrato un massiccio ed insistente invio di email di phishing ai danni di Poste Italiane; tra i tanti messaggi un paio promettono addirittura un compenso di 50 euro per la compilazione di uno pseudoquestionario.

Tuttavia, tra le varie email pervenute al nostro staff nelle ultime 48 ore, ve n'è una che ci ha lasciato particolarmente perplessi e su cui abbiamo deciso di focalizzare l'attenzione alla ricerca di elementi ed informazioni utili all'utenza di Poste Italiane.

Questa è l'email:

Phishing Poste Italiane 01

Un messaggio in apparenza come tanti e graficamente meno 'appetibile' di altri...

Il pretesto del phisher di turno è il solito: conto bloccato per motivi di sicurezza ed utente invitato a collaborare inserendo le proprie credenziali di autenticazione al portale; il testo è scritto in un italiano, come sempre, sgrammaticato e meno convincente rispetto ad altre email.
Passando con il cursore del mouse sul link in esso presente (abbiamo inserito una freccia rossa in alto per evidenziarlo) compare, nella barra di stato del client di posta elettronica, l'indirizzo reale ad esso associato (v. seconda freccia rossa in basso; per salvaguardare l'utenza più inesperta e curiosa abbiamo occultato volutamente il resto del percorso).

A questo punto fingiamo di 'abboccare' al phishing e seguiamo il link.

Phishing Poste Italiane 02

La nuova pagina è una perfetta ricostruzione della home page del sito di Poste Italiane con testo e grafica letteralmente copiati dal portale autentico.

Inseriamo nome utente e password fittizi nell'area riservata all'autenticazione dei clienti (da noi evidenziata nell'immagine) e la pagina ci indirizza verso una nuova schermata:

Phishing Poste Italiane 03

una seconda schermata di autenticazione in cui compare, in rosso, un messaggio di errore.

Nel leggerlo, viene da pensare ad un tentativo dello script della pagina precedente di instaurare un 'ponte' di autenticazione con il vero sito di Poste Italiane.
Non sarebbe il primo caso, è ormai un'abitudine sempre più frequente dei phishers, quella di cercare in 'real time' una conferma sulla correttezza dei dati inseriti dall'utente.
Un ulteriore indizio emerge esaminando la barra degli indirizzi: il percorso segnala il caricamento di una pagina di errore: login_error.php (v.freccia rossa in alto).

Nonostante ciò, proseguiamo sempre inserendo dati casuali. Dopo un paio di tentativi, lo script ci reindirizza alla seguente schermata:

Phishing Poste Italiane 04

il nome del file della pagina è 'verificazione.php' (v.freccia rossa in alto), un file, tra l'altro, richiamabile direttamente dalla barra degli indirizzi e senza necessariamente attraversare le schermate innanzi viste. Ciò ad eloquente dimostrazione della labile ricostruzione operata dal phisher; se la procedura fosse stata autentica o quanto meno ben programmata, non sarebbe stato possibile richiamare singolarmente la pagina, nè farla comparire dopo tot tentativi di login.


Cerchiamo quindi di inserire un numero di Postepay fittizio, ma non appena il cursore del mouse entra nel campo dedicato alla scadenza della carta, un'applicazione in javascript (https://it.wikipedia.org/wiki/JavaScript) produce un messaggio di errore (in gergo un alert box):

Phishing Poste Italiane 05

Il messaggio in oggetto ci informa di aver digitato un numero di carta non valido.
Dopo un paio di vani tentativi, decidiamo di inserire un numero veritiero di Postepay, numero presente su una carta in nostro possesso ed a noi intestata.

Come immaginavamo il messaggio di errore non compare più.

Inquietante? Dipende.
Abbiamo rintracciato nel sorgente della pagina, la funzione che richiama il file contenente il codice in javascript che attua il suddetto controllo. Quest'ultimo appositamente e grossolanamente camuffato da file 'css' (formato che dovrebbe normalmente contenere istruzioni grafiche per il sito).

Purtroppo per motivi di tempo non ci è stato possibile esaminarne dettagliatamente la struttura (tra l'altro il sito in queste ore è stato oscurato ed il contenuto non è più reperibile), ma come immaginavamo, il controllo sull'autenticità del numero di Postepay inserita era affidato proprio al suddetto file.

A questo punto viene spontaneo chiedersi:
-In base a quali parametri il phisher ha attuato tale controllo?
-Vi è alla base un controllo grossolano?
-Il phisher ha intuito l'algoritmo di calcolo del numero carta o lo ha semplicemente confrontato con un 'range' di numeri in suo possesso?

In quest'ultimo caso, l'acquisizione potrebbe essere avvenuta in maniera molto elementare.
Molta gente infatti pubblica ingenuamente il proprio numero di carta Postepay con annesso indirizzo email su siti web e portali di aste on line. In questi casi il lavoro del criminale è enormemente agevolato, potendo inoltrare l'email fraudolenta ad utenti di cui già conosce il numero di carta.

Torniamo all'email di phishing ed al suddetto file. Una cosa che abbiamo notato tra le righe del codice e che ci ha particolarmente incuriosito, è la presenza di commenti allo script in un perfetto italiano con aggiunto a mo' di promemoria un nome tipicamente italiano.
Abbiamo 'fotografato' tale porzione di codice e la pubblichiamo, in esclusiva, a seguire:

Phishing Poste Italiane 06

Verrebbe da pensare ad uno script precompilato (di quelli comunemente reperibili in rete già commentati), ma il tono discorsivo e la linearità della spiegazione anche nel resto del file ci hanno lasciati perplessi.
Se quei commenti non fossero casuali, sarebbero fortemente contraddittori con il testo sgrammaticato dell'email di phishing. Che si tratti di una semplice leggerezza del phisher? O, diversamente, di un voluto depistaggio?

Con il nostro numero di Postepay reale e dei numeri di scadenza e CVV2 fittizi abbiamo tentato di proseguire, ma lo script in php ha generato una nuova pagina di errore:

Phishing Poste Italiane 07

anche qui ci sovviene alla mente l'ipotesi di un ponte ed un controllo in 'real time' con il sito di Poste Italiane.

Molto probabilmente inserendo dei dati reali negli altri campi, lo script ci avrebbe reindirizzati -come accade di solito- al portale autentico di Poste Italiane.
Nonostante ciò, il tentativo di frode in oggetto resta per certi versi interessante, dimostrando come gli stessi phishers siano consapevoli della maggiore attenzione degli internauti nei confronti delle frodi informatiche, costringendoli ad inserire dati veritieri. Resta l'incognita dello script commentato in italiano, ma su questo, tempo e modi permettendo, ne riparleremo in futuro.
Per il momento preferiamo che l'aspetto divulgativo prevalga su quello meramente tecnico-informatico ed a tal fine invitiamo i nostri lettori, ad inoltrare la presente notizia ad amici o conoscenti titolari di una carta Postepay.


ATTENZIONE: la recensione del tentativo di phishing in oggetto è stata fatta su pc 'dedicato', International Traders sconsiglia assolutamente di eseguirla sul proprio pc senza le opportune precauzioni e un’adeguata cognizione della materia, declinando, in caso contrario, ogni responsabilità per danni diretti o indiretti che possano derivarne all’utente.

Redazione InterTraders


Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?

Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:

In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).


Segnala
Stampa
Scroll Up
Home
Ultimi commenti inseriti...
Scritto da Cesare il 21/06/2017 alle ore: 14:29
Buono a sapersi
Inserisci un commento...
Commento:
Scegli il tuo avatar:


Nome:
Indirizzo e-mail: (non obbligatorio)
(Digita il tuo indirizzo e-mail solo se desideri ricevere notifiche sugli altri commenti a questo approfondimento. E' sufficiente digitare l'indirizzo una sola volta. Con il suo inserimento dichiari di aver letto l'informativa a seguire e di aver espresso il tuo consenso.)
DAMMI UNA NUOVA IDENTITA'
Codice di verifica antispam:
cabd*

Riscrivi nel box sovrastante la parola in rosso che vedi alla sua sinistra, sostituendo l'asterisco * con la lettera e - (Per es. se la parola è ab*dh digita abedh)

InterTraders CommentSys v.2.0
| Ultimi commenti |
Valentina in Escrow truffaldini, come riconoscerli ed evitarli....
"Ragazzi anche io ho avuto a che fare con il presunto chirurgo, con me era una donna, Manuela Garcia, chirurgo a Granada con la famigliola felice al seguito..."

sara in Escrow truffaldini, come riconoscerli ed evitarli....
"manuela1966garcia@gmail.com questa è la nuova email di questo fantomatico chirurgo ma sta volta è una donna e si..."

Ciro in Il corriere non consegna la merce: chi ci deve risarcire?...
"salve, ho utilizzato piu volte il servizio di spedizioni "spedirecomodo.it" mi sono sempre trovato bene, fino a quando mi e successa una cosa inu..."

Marta in La truffa dei cuccioli sbarca nel Bel Paese, le puppy scams anche in I...
"NON ABBIATE A CHE FARE CON martinakurts33@gmail.com E l agenzia con il quale vi mette in contatto. Purtroppo ha molti annunci online e non saprei come den..."
Le più lette
InterTraders è un sito curato dallo Studio Legale Massa © 2007-2024 All Rights Reserved
InterTraders Core v6.0 - Link Informativa estesa sui cookies