Alcuni esperti di sicurezza ne avevano avuto conferma già da alcune settimane, ma ora la questione di una vulnerabilità che affligge uno dei siti del network di Banca Fideuram è diventata di dominio pubblico con la pubblicazione da parte di Spamhaus, la celebre organizzazione per la sicurezza, di un advisory dedicato.
In particolare, spiega Spamhaus, sul sito fideuramonline.it una specifica vulnerabilità consente a criminali informatici di farci girare sopra uno script, in grado in certe condizioni di ridirigere gli utenti sul sito gestito dagli aggressori e non certo della Banca, un sito ospitato su server taiwanesi.
“Questa – spiega Spamhaus – è una situazione di estremo pericolo. Gli utenti possono facilmente essere ingannati ed indotti a inserire i propri dati di conto, in quanto le URL che appaiono sembrano, e lo sono proprio, URL reali della banca. Fideuram dovrebbe sistemare questa situazione con estrema urgenza”.
Sulla celeberrima mailing list italiana dedicata alla sicurezza informatica, Sikurezza.org , esperti del calibro di Marco d’Itri scrivono di aver segnalato alla Banca il problema ormai da lungo tempo, fin qui senza ottenere risposta, e spiegano: “In pratica il sito ha una funzione accessibile pubblicamente per inserire HTML arbitrario all’interno delle sue pagine HTTPS, XSS by design. Chiunque abbia minime conoscenze di programmazione può intuire come funziona guardando l’URL…”
Il problema, come rilevava Spamhaus, è che “questa vulnerabilità viene attivamente sfruttata dalla solita banda di phisher HELO User per inserire un iframe che punta al loro sito e permette di raccogliere i dati inseriti dai clienti, che ragionevolmente non si aspettano che il sito della propria banca correttamente verificato con SSL in realtà invii i dati inseriti a un server taiwanese”.
Il sito taiwanese è ancora attivo e, come si può rilevare dall’immagine qui sopra, “mima” in tutto e per tutto il sito fideuramonline.it. E, aggiunge Gabriele P. a Punto Informatico : “Non si tratta del “solito” phishing facilmente riconoscibile dalla URL utilizzata, perché questa volta viene effettivamente mostrato e caricato l’indirizzo della banca (con tanto di certificato SSL); però, tramite lo sfruttamento di una parte del codice normalmente usato per il login dei clienti, viene caricato un iframe all’interno del sito legittimo, presentando un form che invia i dati personali ad un server all’estero
(Taiwan). Per cui un utilizzatore poco accorto verrebbe facilmente ingannato, nonostante la possibile segnalazione del browser che la pagina non è completamente protetta. Per fortuna la e-mail di phishing è grossolana nel linguaggio usato, ma
se fosse stata scritta più correttamente, sarebbe diventata il phishing
bancario “migliore” tra tutti quelli che ho visto fin’ora”.
Un’analisi approfondita del problema è stata pubblicata anche da CastleCops .
Vista la gravità della questione, ieri Punto Informatico ha contattato direttamente la Banca. L’Istituto ha spiegato di essere al corrente del problema e ha assicurato che i propri esperti sono al lavoro per risolverlo nel più breve tempo possibile.