[phishing] La vostra sicurezza (BCC)

Di che si tratta: Di una delle migliaia di varianti di attacchi phishing a danno degli utenti di servizi bancari. In questo caso specifico ad essere presi di mira sono gli utenti della Banca di Credito Coopertivo.

Come si presenta il messaggio:

Mittente apparente: bancomatposbanca@sba.bcc.it
Oggetto: La vostra sicurezza
Testo del messaggio:

Gentile cliente,

Per la vostra sicurezza e per il tanto numero di accedere al vostro conto
online www.bccbanca.it abbiamo preso come misura precauzionale di blocare
momentaniamente il vostro conto Vi preghiamo di confermare che il vostro
conto e ancora attivo si che funziona in parametri normali.
Per confermare tutte queste Click Qui

Analisi: Il primo ed evidente campanello di allarme è legato ai due link presenti nella mail (in corsivo sopra) che puntano al sito www.sba-spa.eu/online/index.html


Come facilmente intuibile qui si trova una pagina che tenta di riprodurre quella reale del sito della BCC ed ovviamente tenta di rubare i dati di accesso degli utenti con l'immancabile form di login. Errori grammaticali, qualche svista nei testi della pagina-trappola, l'assoluta improbabilità dell'URL utilizzata e l'assenza del protocollo https completano il quadro.

Variante del caso "Beneficenza Tiscali"

Del caso della truffa "Beneficenza Tiscali" su cui ho espresso qualche considerazione ieri, è nel frattempo emersa una seconda variante. Il medesimo messaggio è infatti riapparso nella posta in arrivo ma con un diverso mittente che nello specifico risulta essere info@studiolxxxxxx.it . Anche il Reply-To è ora impostato su questo indirizzo.

Il relativo dominio (studiolxxxxxx.it) risulta effettivamente attivo anche se il sito è in costruzione. L'intestazione del messaggio tuttavia suggerisce che la mail sia partita dall'IP 217.203.14.49 dove sarebbe stato creato l'account info@studiolxxxxxx.it@217.203.14.49. Visto che l'IP fa capo a TIM è verosimile pensare che le email siano spedite tramite un server installato localmente da chi sta portando avanti la truffa. A differenza del primo messaggio, questa variante sfugge al filtro antispam di Yahoo! e di Thunderbird 2.

Nota: Rispetto alla prima stesura ho ritenuto di offuscare in parte l'indirizzo del mittente proprio perché ritengo che anche i titolari del sito siano vittime della situazione.

Aggiornamento delle 23.25 del 10.09.2009
In un commento al primo post che ho scritto sull'argomento Beppe, che ringrazio, segnala una terza variante in cui il mittente apparente della mail risulta essere tommy@federlab.net . Ci tengo a precisare che, come nel caso esposto sopra, si potrebbe trattare di un indirizzo valido usato per camuffare l'origine del messaggio. Il titolare dell'indirizzo è anzi una vittima della truffa coinvolta sua malgrado nel meccanismo. Più in generale tutti gli indirizzi che ricevono questi messaggi sono potenzialmente a rischio in quanto potrebbero nelle prossime ore essere utilizzati per rilanciare l'onadata di spam.

[Truffa] Potresti salvare una vita.. Leggi!

Solitamente non do molto peso alla posta indesiderata che arriva nelle mie caselle email. Alcuni indirizzi anzi li ho resi pubblici appositamente per "sentire il polso" al marcio che a volte si trova in rete. Qualche altra volta invece penso di dover spendere due parole, specie quando ho il sospetto che dietro ad un messaggio si celino affari poco chiari. Quello che segue è proprio uno di questi casi.

Il messaggio arriva dall'indirizzo vinicio.ballini@fastwebnet.it ed ha come oggetto "Potresti salvare una vita.. Leggi!". La mail si apre con un poco fantasioso logo "Tiscali Beneficenza OnLine" che sovrasta la scritta "UN SOLO MINUTO DELLA VOSTRA ATTENZIONE POTRA' SALVARE LA VITA ALLA NOSTRA BAMBINA". Subito sotto vi è una immagine di una bambina evidentemente ammalata che ho deciso di non pubblicare. A sua volta questa foto precede il testo del messaggio vero e proprio:

Sabrina, di 8 anni è malata di cancro alle ovaie.Malattia rara a questa età ma che potrebbe costarle la vita.Eviteremo di sprecare parole, le immagini parlano da sole.Chiediamo, a chi ha cuore e, naturalmente, possibilità un piccolo contributo per poter far fronte alle spese di un intervento in Francia dal costo complessivo esorbitante.

Pensate per attimo se fosse vostra figlia e la conseguente disperazione di Voi genitori.Noi siamo altrettanto disperati.Vi preghiamo per una buona azione al fine di permetterci di salvare nostra figlia da una morte certa.Il destino saprà ricambiare il vostro buon cuore. Nel caso vogliate e possiate aiutarci, troverete in fondo a questa pagina le coordinate bancarie per poter eseguire un accredito.Non è importante la cifra, l'unione di tanti di voi potrebbe regalare a nostra figlia una nuova vita.

Codice IBAN: IT xx x xxxxx xxxxx xxxxxxxxxxxx

Intestatari: Andrea Citro e Angela Sicignano

Grazie per la vostra attenzione

Nel testo ho oscurato il codice IBAN per ragioni di opportunità.

Ci sono molte ragioni che mi inducono a pensare che si tratti di una truffa, per di più di pessimo gusto visto l'argomento trattato. Ecco quelle principali:

• Il messaggio viene bollato come spam da Yahoo! Mail: E' un indicatore molto importante dal momento che l'antispam di Yahoo! solitamente è piuttosto preciso. Se ne desume che nella catena di server che ha portato la mail dal mittente al destinatario ci sia qualche passaggio poco chiaro.
• Il Logo Tiscali Beneficenza Online: Sul sito Tiscali non v'è traccia di questo servizio, anzi il logo stesso appare come una evidente falsificazione tanto più che viene caricato da tinypic.com (http://i27.tinypic.com/2sal7hh.jpg). Lo stesso avviene per l'immagine della bambina. Inoltre nella mail è impostato il parametro "Reply-To: "Beneficenza Tiscali" "vinicio.ballini@fastwebnet.it" che è un evidente controsenso.
• Assenza di riferimenti: Nella mail non vi è alcun riferimento chiaro ai genitori da cui sarebbe partito l'appello. Anzi vi è incongruenza tra il mittente del messaggio ed i nomi in calce allo stesso. Ammettendo che veramente una coppia di genitori scegliesse questo metodo per raccogliere fondi, penso che quanto meno offrirebbero un recapito telefonico per chi volesse mettersi in contatto.
• Incongruenza del testo: Il messaggio gioca sulle emozioni (se fosse vostra figlia..., salvare nostra figlia da una morte certa...) ma si guarda bene da fornire dettagli sulla malattia e sul tipo di intervento necessario. Anche la scelta della Francia come luogo per la cura appare poco convincente viste le convenzioni esistenti nei paesi dell'Unione.

C'è qualcuno che qualche volta riveste di un certo alone "epico" le gesta di chi mette su truffe online. La verità, molto più cruda, è che si tratta sempre e solo di criminali privi di un anche solo minimo senso della dignità.

Aggiornamento delle 21.46 del 09.09.2009
Nei commenti Giorgio, che ringrazio, ha aggiunto due elementi molto importanti. La foto del messaggio è stata presa da una notizia, purtroppo questa si vera, di cui nel maggio scorso si sono occupati molti media inglesi (tra cui il Mirror). Inoltre il codice IBAN riportato nel messaggio pare essere riconducibile ad un servizio di carte prepagate su cui immagino i controlli siano meno stringenti.

Proteggere la password di Msn/Live Messenger

Se provate a cercare con un qualsiasi motore di ricerca l'espressione "rubare la password di msn messenger" troverete decine e decine di risultati tanto da far pensare che si tratti di una procedura piuttosto semplice. Quando poi si passa ad analizzare i singoli risultati si scopre che nel migliore dei casi vengono illustrati metodi per recuperare la propria password, visto che tutto ciò che viene proposto è l'uso di un programma nato a questo scopo. Senza contare che per effettuare il "furto" dovreste avere accesso fisico al computer della "vittima". Se è solo questo che state cercando, allora non scomodate l'hacking e date un'occhiata qui.

Questo post invece si rivolge all'altra parte del mondo, cioè a chi non passa il tempo a dar fastidio al prossimo e al tempo stesso vuole tutelare la propria privacy. Chiarisco subito che metodi per sottrarre username e password per Msn Messnger esistono e sono ampiamente documentati, tuttavia nessuno di questi metodi è alla portata di un utente normale ed in ogni caso è necessario un comportamento imprudente della vittima perché il furto vada in porto. Analizziamo a questo punto i diversi scenari che si possono incontrare:

1. Utilizzo di programmi per il recupero password
Come dicevo sopra è un falso problema a meno che non abbiate l'abitudine di far smanettare estranei o amici sul vostro computer. Chi propone questo metodo e parla di "rubare una password" vi sta solo prendendo in giro.

2. Invio di uno script
Molti utenti hanno l'abitudine di affiancare Windows Live Messenger con l'estensione Messenger Plus Live. Questo add-on dalla controversa reputazione abilita WLM all'utilizzo di script. Circolano in tal senso diversi codici che sfruttano l'estensione Plus per per comunicare ad un indirizzo remoto i vostri dati di login. Resta il fatto che l'installazione di uno script deve partire dall'utente stesso, per cui basta la sola diffidenza per mettersi al sicuro. A proposito, non contate sull'antivirus, perché un script difficilmente potrà essere riconosciuto come pericoloso.

3. Invio di un malware/virus/eseguibile
Il principio è lo stesso descritto sopra. Si invia un eseguibile alla vittima cercando di indurla ad aprire il file. A volte lo si spaccia per un video o per una canzone o ancora per un giochino o per un immagine. La maggior parte di questi file sono generati con programmini di assemblaggio di virus e quindi sono riconosciuti dagli antivirus senza troppi problemi. Ma se anche l'antivirus non intervenisse, eseguire un programma di origine ignota è comunque una grave imprudenza. Tempo addietro avevo scritto una breve guida per riconoscere la reale estensione dei file che può tornare utile per smascherare questo genere di attacco.

4. Creazione di un fake login
Ne ho parlato fino alla nausea qualche mese fa, in pratica si tratta di creare una pagina web che riproduca quella ufficiale dei servizi Live o che con un'altra scusa qualsiasi chieda l'inserimento dei dati di login usati su MSN. Anche in questo caso il furto va a segno solo se l'utente è imprudente. Come linea generale vale la regola che username e password si inseriscono solo se si riconosce chiaramente l'URL nella barra degli indirizzi del browser e se questa è riconosciuta come sicura (protocollo https). Qualsiasi altra richiesta va assolutamente evitata. Ricordate anche che mai (e sottolineo mai) Microsoft o chiunque altro vi chiederà di inviare per email la vostra password. Allo stesso modo sono solo delle bufale i metodi che promettono di far scoprire i dati di login di un altro utente inserendo una sequenza di "comandi segreti" in una mail, se siete curiosi ne avevo parlato due anni fa... (cavolo come passa il tempo!).

5. Attacco diretto al vostro computer
Qualche Lamer particolarmente intraprendente potrebbe pensare di sferrare un attacco diretto al vostro sistema cercando di accedervi e poi fare i propri comodi. Per fare questo ha però bisogno di un dato a cui non può accedere senza la collaborazione della vittima. Si tratta del indirizzo indirizzo IP che identifica univocamente un computer sulla rete. Per ottenere questa informazione si utilizza uno sniffer di rete che analizza il traffico in entrata. Tuttavia questo non è sufficiente perché saggiamente gli instant messenger moderni non mettono in collegamento diretto gli utenti ma filtrano la comunicazione attraversi i propri server. Questo vale per la chat testuale, ma purtroppo non è vero per le comunicazioni audio e video o per lo scambio di file. Questo perché per queste funzioni è richiesta molta banda e si rischierebbe il sovraccarico dei server. Per queste ragioni se un vostro contatto vi chiede insistentemente e senza ragione di avviare una audio-chat, una video-chat o uno scambio di file, è il caso di rifiutare e magari anche di bloccare l'interlocutore. Va comunque detto che anche nella sciagurata ipotesi che qualcuno riesca ad individuare il vosto IP, un firewall ben configurato (praticamente basta non modificare le impostazioni di base...) è sufficiente a tenere all'esterno ogni potenziale invasore. Un ultima precisazione, circola in rete una bufala in cui si afferma che è possibile individuare l'IP di un contatto anche con la sola chat testuale. Si tratta ovviamente di una informazione falsa e basata su una certa ignoranza di fondo sul funzionamento dei protocolli di comunicazione.

6. Pressione psicologica
Si tratta di un problema che esula dall'informatica in senso stretto e appartiene molto più al campo della psicologia. E' comunque note che le chat in genere sono frequentate da persone in grado di instaurare una forte situazione di soggezione e dipendenza nelle proprie vittime. Tecnicamente questi individui vengono chiamati Groomer, e come è facilmente intuibile in questi casi c'è in gioco ben più di una password...
In queste situazioni bisogna sempre tenere a mente alcuni punti che possono facilitare la corretta valutazione del rischio in particolare:

• Tutto ciò che lega il Groomer alla vittima è la connessione internet. In qualsiasi momento se la situazione diventa spiacevole basta semplicemente spegnere il modem.
• Non esiste alcun obbligo verso i nostri interlocutori. Non si è tenuti a ricambiare foto o numeri di telefono, anzi le persone troppo insistenti vanno evitate.
• Minacce di ogni qualsivoglia genere sono puramente intimidatorie. Il Groomer nella vita è una persona codarda ed incapace di relazionarsi correttamente con le altre persone. Vive nell'ombra e non farà nulla che possa portarlo allo scoperto.
• Nei casi più gravi è sempre consigliabile parlare del problema con altre persone, o con i propri genitori nel caso dei ragazzi, ed eventualmente rivolgersi alle autorità. Ricordate in questo senso che l'anonimato in rete non esiste ed il Groomer è soggetto alle vostre stesse regole, quindi è facilmente rintracciabile per intervento della magistratura o nelle indagini di polizia.

(nota: i vari scenari sono ordinati secondo una soggettiva graduatoria, dal meno rischioso al più pericoloso).