C'è una variante nelle tecniche di phishing che negli ultimi mesi sembra aver preso rapidamente piede e la cui pericolosità è per certi versi maggiore degli schemi tradizionali. Nel phishing tradizionale lo scopo ultimo è quello di portare l'utente su una pagina clone di un sito reale per indurlo a inserire dati sensibili in un form allestito ad-hoc. Nei casi in esame invece il modulo da compilare è direttamente allegato alla mail e nel testo del messaggio si invita l'utente a salvarlo sul proprio computer, e compilarlo direttamente nel browser.
Questo approccio ha due effetti non trascurabili:
http://clxx-xx.com/e107_txxxxs/error.php
Questa a sua volta memorizza i dati in un database e poi reindirizza l'utente verso il sito legittimo di CartaSi simulando una errore nelle procedure.
Dalla lettura delle intestazioni sembrerebbe che l'attacco parta dalla Russia ed utilizzi i servizi di una società di marketing statunitense.
Chi erroneamente fosse caduto nella truffa dovrebbe affrettarsi a contattare il servizio clienti di CartaSi (che sul sito dedica anche vasta una sezione alla difesa dal phishing).
Questo approccio ha due effetti non trascurabili:
- Evita i filtri anti-phishing di cui ormai dispongono la maggior parte dei browser. Il file caricato è infatti locale e non può quindi far scattare alcun allarme.
- Aprendo localmente l'allegato non è possibile neppure verificare la sicurezza del sito a cui si invieranno i dati. Ciò significa niente cifratura https e niente certificati sull'identità.
Mittente: CartaSi_Informa@Cxxxxi.it
Oggetto: Si prega di scaricare il documento
Testo:
Gentile Cliente,
Abbiamo rilevato attivit? irregolari sul tuo CartaSi
Internet banking sul conto 18/04/2011.
Per la tua protezione, ? necessario verificare questa
attivita prima di poter continuare a utilizzare il
conto.
Si prega di scaricare il documento allegato alla presente
e-mail a rivedere le attivita del proprio account.
Rivedremo l'attivita sul suo conto
con voi e alla verifica,
E ci consentir? di eliminare le restrizioni imposte alle
il suo account.
Se scegliete di ignorare la nostra richiesta, ci lasciano scelta di
sospendere temporaneamente il suo account.
Li chiediamo di consentire almeno 72 ore per il caso di essere
indagato e si consiglia di verificare il suo conto in quel momento.
Con i migliori saluti,
Roberta Anastasia
Responsabile della comunicazione del Cliente
© Copyright CartaSi S.p.A 2011 - Tutti i diritti riservatitiLa mail contiene in allegato un file denominato "CartaSi.html". Aperto nel browser questo documento carica da remoto una serie di loghi ed immagini "ufficiali" e propone un form in cui inserire i propri dati anagrafici ed i codici della propria carta di credito. Premendo il pulsante di invio i dati vengono passati ad una pagina php:http://clxx-xx.com/e107_txxxxs/error.php
Questa a sua volta memorizza i dati in un database e poi reindirizza l'utente verso il sito legittimo di CartaSi simulando una errore nelle procedure.
Dalla lettura delle intestazioni sembrerebbe che l'attacco parta dalla Russia ed utilizzi i servizi di una società di marketing statunitense.
Chi erroneamente fosse caduto nella truffa dovrebbe affrettarsi a contattare il servizio clienti di CartaSi (che sul sito dedica anche vasta una sezione alla difesa dal phishing).
Nel mio caso mi sa che ci hanno provato fingendosi le poste.Anch'io avevo l'allegato, il contenuto era più o meno lo stesso, cambiava solo il mittente usato, ovvero info@poste.it.Un solo piccolo problema:non ho nessun conto con le poste :-)
RispondiElimina