Italia, il phishing alza il tiro

Un'email è arrivata in questi giorni agli utenti italiani: con un linguaggio preciso, proprio quello che si aspetterebbe un utente sospettoso, ha colto nel segno e si è fatta consegnare dati personali

Roma - In due giorni tra giovedì e venerdì scorso ha sviluppato un volume di spam notevolissimo: così, inondando la casella email di moltissimi utenti italiani, un messaggio truffaldino è riuscito là dove molti suoi predecessori avevano fallito. E' infatti riuscito a convincere molti utenti che quanto affermava era vero fino a spingerli a lasciare dati sensibili su siti tutt'altro che sicuri.

L'insolito successo che si attribuisce a questa operazione di phishing, che prende di mira gli utenti dei servizi online di Bancoposta, è in parte mitigato dal fatto che il sito pubblicizzato sul messaggio spammatorio è stato ben presto reso inoperativo grazie ad una collaborazione ormai collaudata tra forze dell'ordine italiane e provider.

Le email di phishing, ovvero le grandi operazioni di spam associate a tentativi di truffa, sono un fenomeno notissimo ma sono perlopiù armi spuntate, vuoi perché gli utenti tendono ormai a riconoscere la frode telematica vuoi perché sono spesso e volentieri realizzate malamente al punto da perdere subito di credibilità. Neppure un mese fa si è giunti persino al paradosso del phishing comulativo in cui il solito messaggio in un italiano stentato cercava di catturare i dati di clienti di ben tre diversi istituti di credito.
Diverso è quanto accaduto in questi giorni con questa nuova azione di phishing. Basta leggere il contenuto del messaggio, scritto in un italiano perfettamente equilibrato, a metà tra il rigido formalismo di una comunicazione bancaria e l'urgenza rappresentata dalla situazione descritta. Sotto il logo di Poste Italiane appariva il testo:

"Egregio utente,
Il reparto sicurezza della nostra banca le notifica che sono state prese misure per accrescere il livello di sicurezza dell'online banking, in relazione ai frequenti tentativi di accedere illegalmente ai conti bancari.
Per ottenere l'accesso alla versione più sicura dell'area clienti preghiamo di dare la sua autorizzazione.
Fare click qui per andare alla pagina dell'autorizzazione

La preghiamo di trattare le nuove misure di sicurezza con la massima serietà e di esaminarle bene immediatamente.

Distinti saluti,
Il reparto sicurezza"

Un messaggio molto più credibile dei precedenti, reso ancora più efficace dal diretto riferimento ai problemi di sicurezza. In più, nel messaggio non si parla esplicitamente di dati personali ma si fa passare la cosa come una sorta di comunicazione ufficiale: una strategia che si rivela vincente perché tende a far cadere le difese degli utenti più prudenti.

Il tutto, poi, condito dall'ennesima pagina "truccata", del tutto simile ad una pagina Bancoposta, a cui si accedeva cliccando sull'indirizzo fornito nel messaggio, un indirizzo che all'utente meno esperto sarebbe in tutto e per tutto potuto apparire come un indirizzo legittimo.

Una volta su quella pagina chi è caduto nella truffa ha lasciato ai malviventi che hanno organizzato questa operazione tutti i dati necessari a prelevare soldi dai conti, assumere identità fasulle e altro ancora. Se questo fosse accaduto è necessario modificare al più presto tutti i dati di accesso e contattare Poste Italiane al numero 803.160 (scegliendo l'opzione Servizi Internet) o all'indirizzo email info@poste.it.

Proprio Bancoposta, come quasi tutti i maggiori istituti dei servizi online, sulla propria home page ha predisposto un messaggio informativo contro il phishing, avvertendo gli utenti di non accedere mai ai servizi online cliccando sui link presenti nelle email. In una pagina di FAQ sul phishing, Poste Italiane dà una serie di suggerimenti per evitare "sorprese".
TAG: italia
39 Commenti alla Notizia Italia, il phishing alza il tiro
Ordina
  • Ho ricevuto proprio oggi questa email ed il sospetto mi è nato dal fatto che non ho mai aperto un conto in posta e che il server a cui mi connettevo fosse in Korea(l'ho saputo tramite programmino sempre attivo e sempre usato).

    "
    Questa è l'email che ho ricevuto:
    Caro ******@**ero.** ,

    Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.
    Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.
    Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:

    https://bancopostaonline.poste.it/bpol/bancoposta/...

    Ringraziamenti per vostra pazienza.
    BancoPosta.

    ----------------------------------------------------------

    Non risponda prego a questo E-mail. Il E-mail trasmesso a questo indirizzo non può essere risposto a. "

    Indubbiamente la frase finale era un indizio più che sufficiente, di certo il sito in questione è funzionante, "http://femimusic.co.kr/bbs/osikoro.php" e perfettamente ingannevole.

    Spero aumentino i controlli da parte della polizia postale.
    non+autenticato
  • "Egregio utente,
    Il reparto sicurezza della nostra banca le notifica che sono state prese misure per accrescere il livello di sicurezza dell'online banking, in relazione ai frequenti tentativi di accedere illegalmente ai conti bancari.
    Per ottenere l'accesso alla versione più sicura dell'area clienti preghiamo di dare la sua autorizzazione..."

    Ci hanno appena detto che hanno aumentato il livello di sicurezza dell'online banking per bloccare l'accesso illecito ai conti bancari. Bene ottimo servizio. Però.. IO devo dare l'autorizzazione affinchè possa avere l'accesso alla versione più sicura????? E se non la do uso quella insicura? E quindi hanno fatto il lavoro di messa in sicurezza solo "per chi vuole"?? Quindi chi non legge l'e-mail continua ad essere un potenziale utente al quale potrebbero rubare i dati? E così viene vanificato il loro lavoro. Come minimo a queste domande alzo il telefono e faccio due chiacchere con qualcuno di Bancoposta. No.
    Più facile fare click e tanti saluti. La media degli utenti Italiani legge di tutto e legge tantissimo e non comprende un fico secco di quello che sta scritto. Qui bisogna ripartire dalle basi e non centra l'informatica. Il phishing si basa sulla debolezza dell'uomo di predisporsi alla fiducia in presenza di una seppur minima parvenza di autorità e della mancanza di ragionamento di fronte al dubbio. Quindi il phishing va combattuto per prima cosa partendo da questi problemi e risolvendoli.
  • > phishing si basa sulla debolezza dell'uomo di
    > predisporsi alla fiducia in presenza di una
    > seppur minima parvenza di autorità e della
    > mancanza di ragionamento di fronte al dubbio.
    > Quindi il phishing va combattuto per prima cosa
    > partendo da questi problemi e risolvendoli.

    Io ho avuto esperienze con le segretarie d'azienda basta una telefonata chiedendo l'indirizzo email poi id e password ed oltre a dettartelo per telefono ti chiedono anche scusa per l'attesa dovuta alla ricerca di tali dati. Arrabbiato
    non+autenticato

  • - Scritto da: bit01
    > "Egregio utente,
    > Il reparto sicurezza della nostra banca le
    > notifica che sono state prese misure per
    > accrescere il livello di sicurezza dell'online
    > banking, in relazione ai frequenti tentativi di
    > accedere illegalmente ai conti bancari.
    > Per ottenere l'accesso alla versione più sicura
    > dell'area clienti preghiamo di dare la sua
    > autorizzazione..."
    >
    > Ci hanno appena detto che hanno aumentato il
    > livello di sicurezza dell'online banking per
    > bloccare l'accesso illecito ai conti bancari.
    > Bene ottimo servizio. Però.. IO devo dare
    > l'autorizzazione affinchè possa avere l'accesso
    > alla versione più sicura????? E se non la do uso
    > quella insicura? E quindi hanno fatto il lavoro
    > di messa in sicurezza solo "per chi vuole"??
    > Quindi chi non legge l'e-mail continua ad essere
    > un potenziale utente al quale potrebbero rubare i
    > dati? E così viene vanificato il loro lavoro.
    > Come minimo a queste domande alzo il telefono e
    > faccio due chiacchere con qualcuno di Bancoposta.
    > No.
    > Più facile fare click e tanti saluti. La media
    > degli utenti Italiani legge di tutto e legge
    > tantissimo e non comprende un fico secco di
    > quello che sta scritto. Qui bisogna ripartire
    > dalle basi e non centra l'informatica. Il
    > phishing si basa sulla debolezza dell'uomo di
    > predisporsi alla fiducia in presenza di una
    > seppur minima parvenza di autorità e della
    > mancanza di ragionamento di fronte al dubbio.
    > Quindi il phishing va combattuto per prima cosa
    > partendo da questi problemi e risolvendoli.


    Scusa se c'é ancora qualcuno che crede al nano ex-pelato...
    Queste persona sono capaci ad abboccare a qualsiasi panzana che gli viene presentata (e sono quasi il 50% degli italiani)
    non+autenticato
  • Beh inttnto il Mortadellone non è pelato e comunque è il tuo idolo il nano che fatto promesse a destra e manca tanto che sembrava di essere nel paese dei balocchi.....

    Con la lingua fuori Con la lingua fuori Con la lingua fuori Con la lingua fuori Con la lingua fuori
    non+autenticato

  • - Scritto da: Anonimo
    > ...
    > Scusa se c'é ancora qualcuno che crede al nano
    > ex-pelato...
    >

    Come pelato è ex però ha la faccia più tirata di liz taylor
    non+autenticato

  • - Scritto da: bit01
    > "Egregio utente,
    > Il reparto sicurezza della nostra banca le
    > notifica che sono state prese misure per
    > accrescere il livello di sicurezza dell'online
    > banking, in relazione ai frequenti tentativi di
    > accedere illegalmente ai conti bancari.
    > Per ottenere l'accesso alla versione più sicura
    > dell'area clienti preghiamo di dare la sua
    > autorizzazione..."
    >
    > Ci hanno appena detto che hanno aumentato il
    > livello di sicurezza dell'online banking per
    > bloccare l'accesso illecito ai conti bancari.
    > Bene ottimo servizio. Però.. IO devo dare
    > l'autorizzazione affinchè possa avere l'accesso
    > alla versione più sicura????? E se non la do uso
    > quella insicura? E quindi hanno fatto il lavoro
    > di messa in sicurezza solo "per chi vuole"??
    > Quindi chi non legge l'e-mail continua ad essere
    > un potenziale utente al quale potrebbero rubare i
    > dati? E così viene vanificato il loro lavoro.
    > Come minimo a queste domande alzo il telefono e
    > faccio due chiacchere con qualcuno di Bancoposta.
    > No.
    > Più facile fare click e tanti saluti. La media
    > degli utenti Italiani legge di tutto e legge
    > tantissimo e non comprende un fico secco di
    > quello che sta scritto. Qui bisogna ripartire
    > dalle basi e non centra l'informatica. Il
    > phishing si basa sulla debolezza dell'uomo di
    > predisporsi alla fiducia in presenza di una
    > seppur minima parvenza di autorità e della
    > mancanza di ragionamento di fronte al dubbio.
    > Quindi il phishing va combattuto per prima cosa
    > partendo da questi problemi e risolvendoli.

    Ma poi, io mi domando: io a poste.it non l'ho mica dato l'indirizzo email dove ho ricevuto l'email. Anzi io a poste.it non ho mai dato il mio indirizzo email, hanno provveduto loro a darmene uno. Quindi come è possibile che poste.it mi scriva una email. E poi poste.it mi ha sempre detto (all'apertura del conto, tramite lettera, ogni volta che mi collego al loro sito, e all'attivazione del bancopostaonline) che mai e poi mai mi avrebbe cercato dati a mezzo email.
    Bisogna proprio essere degli allocchi con tanto di certificazione ISO per abboccare a ste robe.
    non+autenticato
  • "cOmulativo" non mi pare corretto... o sbaglio io?
    O)

    ==================================
    Modificato dall'autore il 21/11/2005 9.57.57
  • Scusate ma la falla di sicurezza non è nell'utente ma nel fatto che sia possibile rgistrare un dominio del tipo:

    http://bancopostaonline-poste-it.com

    è come se a fianco se di fronte al ad una banca uno potesse aprire uno sportello con nome tarocco: questo non deve essere possibile e basta.

    Se nessuno ha impedito a questi criminali di registrare questo dominio c'è della gente che va cacciata a calci nel di dietro perché non sa fare il proprio mestiere.

    Anche un americano analfabeta deve sapere che le parole "banc" e "post" hanno un certo significato.
    non+autenticato
  • è vero, ma in effetti oso sperare che il nic non avrebbe autorizzato un nome "taroccato" con tld .it

    ma quale utente "prudente" avrebbe lasciato i suoi dati su un server non sicuro (http) e con tld .com?
    non+autenticato
  • il problema è che per registrare un dominio .com o magari altri domini con estensione diversa da .it ci vogliono 3 minuti e qualche dollaro.
    Il NIC penso che non l'avrebbe fatto fare.. ma non mi meraviglierei del contrario..

    Andrea
    non+autenticato
  • Forse sbaglio io, ma da quanto mi risulta non c'e' alcuna banca italiana che utilizzi il TLD .com
    Solo pensando a questo, a molti sarebbe dovuto sorgere un dubbio, no?
  • - Scritto da: Anonimo
    > ...ma quale utente "prudente" avrebbe lasciato i
    > suoi dati su un server non sicuro (http) e con
    > tld .com?

    Visita il sito di Fineco ( www.fineco.it ): i campi per l'insertimento di nome utente e password risiedono su una pagina http e non https.
    In realta' le pagine sono strutture con i frame, e solamente il frame contenitore e' in http, mentre il resto e' in https.
    Cosi' facendo pero' non appare nessun lucchetto, ma all'utente medio non sembra che la cosa gli interessi, perche' dunque credi si sarebbero dovuti preoccupare?

    Stefano

  • - Scritto da: sbittante
    > Visita il sito di Fineco ( www.fineco.it ): i
    > campi per l'insertimento di nome utente e
    > password risiedono su una pagina http e non
    > https.
    > In realta' le pagine sono strutture con i frame,
    > e solamente il frame contenitore e' in http,
    > mentre il resto e' in https.
    > Cosi' facendo pero' non appare nessun lucchetto,
    > ma all'utente medio non sembra che la cosa gli
    > interessi, perche' dunque credi si sarebbero
    > dovuti preoccupare?
    >
    > Stefano

    "...la mia banca non è così ..."
    non+autenticato
  • Lo straripeto, bisogna essere dei polli malati di aviaria rilasciare dati sensibili in risposta a delle email e soprattutto su Internet!! (io da 10 anni non ho mai pagato con la carta di credito)
    non+autenticato

  • - Scritto da: Anonimo
    > Lo straripeto, bisogna essere dei polli malati di
    > aviaria rilasciare dati sensibili in risposta a
    > delle email e soprattutto su Internet!! (io da 10
    > anni non ho mai pagato con la carta di credito)

    io si, e non ho mai avuto problemi.
    basta avere gli occhi aperti e ragionare su quello
    che si sta facendo.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > io si, e non ho mai avuto problemi.
    > basta avere gli occhi aperti e ragionare su quello
    > che si sta facendo.

    Quoto.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > io si, e non ho mai avuto problemi.
    > > basta avere gli occhi aperti e ragionare su
    > quello
    > > che si sta facendo.
    >
    > Quoto.

    sottoscrivo e aggiungo:

    non e` "non facendo" che ci si difende. Altrimenti sei pollo come quelli a cui ti riferisci
    Bisogna stare attenti, purtroppo in giro piu` che disinformazione ci sono tante "mezze informazioni" a peggiorare la situazione.
    non+autenticato
  • straquoto.

    Io uso la carta di credito su internet da tanto tempo. Certo che se la usi sul primo sito che capita beh.. poi non bisogna lamentarsi..
    Un'altra cosa. Se tutti usassero altro al posto di Outlook (vedi Eudora), nel cliccare sui vari link delle email avrebbero un messaggio a video che li avvisava che il link X su cui si sta cliccando è diverso da Y che è presente nel sorgente della mail..
    2 righe di codice che la MS si stanca ad inserire..

    Andrea
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > >
    > > > io si, e non ho mai avuto problemi.
    > > > basta avere gli occhi aperti e ragionare su
    > > quello
    > > > che si sta facendo.
    > >
    > > Quoto.
    >
    > sottoscrivo e aggiungo:
    >
    > non e` "non facendo" che ci si difende.
    > Altrimenti sei pollo come quelli a cui ti
    > riferisci
    > Bisogna stare attenti, purtroppo in giro piu` che
    > disinformazione ci sono tante "mezze
    > informazioni" a peggiorare la situazione.

    Quoto in pieno, e comunque vale la regola di accedere ad un sito, quando si tratta di soldi, digitando l'indirizzo o richiamandolo dai propri preferiti, e cercando di capire cosa si fa; anche coi pagamenti.
    D'altronde tu puoi non pagare mai online, ma al ristorante per caso dei la carta di credito al cameriere che se ne torna con la ricevuta già stampata?
    E come distruggi i documenti prima di buttarli nella spazzatura?
    E' una corsa ad ostacoli.
    non+autenticato

  • - Scritto da: Anonimo
    > Lo straripeto, bisogna essere dei polli malati di
    > aviaria rilasciare dati sensibili in risposta a
    > delle email e soprattutto su Internet!! (io da 10
    > anni non ho mai pagato con la carta di credito)

    I voli li compri dall'agenzia viaggi a prezzo pieno?
    E i libri dall'estero? per corrispondenza facendo bonifici internazionali a 15 euro l'uno?
    Se ti serve un dato sw non distribuito dai canali.. chiedi al tuo negoziante di fiducia di procurtelo?
    Se trovi qualcosa che ti piace su internet cosa fai? un contrassegno così ti mandano un bel pacco vuoto e tu paghi senza poter far nulla?
    Almeno con le carte di credito sei assicurato dalle frodi, se ti tirano la sola, mal che vada, spendi il tempo a far la denuncia e mandare il fax all'azienda emetitrice.. e i soldi li hai indietro.
    I vantaggi mi sembrano molto più degli svantaggi.. e poi fino a prova contraria con tutte le carte di credito serie (almeno conosco i contratti VISA e American Express) il titolare è assicurato, quindi in caso di truffa non paga lui.. con tutti gli altri metodi (bonifico, contrassegno) non mi sembra..
    non+autenticato

  • > delle email e soprattutto su Internet!! (io da 10
    > anni non ho mai pagato con la carta di credito)

    Io da 10 anni compro e (vendo) su internet e non ho mai subito una truffa. Sarà fortuna, sarà che leggo, sarà che ai miei soldi ci tengo.

    ciao
    FB
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)