www.MegaLab.it

Una nuova azione di phishing sta colpendo le mailbox degli italiani in questi ultimi giorni di giugno.

Dopo Banca Intesa, Fineco, Paypal, BancoPosta e ByBank solo per ricordare alcuni dei casi più eclatanti del passato, questa volta sono i correntisti di Banca San Paolo IMI ad essere nel mirino dei truffatori.

Il messaggio porta come oggetto SANPAOLO IMI: NOTIFICA oppure Sanpaolo IMI: informazioni ma a quanto pare ne esistono dozzine di varianti. La comunicazione sembra provenire dal centro clienti del noto istituto: l'indirizzo del mittente, falsificato, appare come customerssupport-04052@sanpaolo.com oppure customercare_16970027@sanpaolo.com ma anche qui sono state avvistate parecchie variazioni sul tema.

Nel corpo della falsa e-mail si informa che il Servizio Tecnico sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualità dei servizi bancari: e qui scatta la trappola: cliccando sul collegamento infatti si viene reindirizzati ad un sito fraudolento (tuttora attivo) che, copiando la grafica del sito ufficiale www.sanpaolo.com cerca di convincere gli utenti a lasciare le coordinate di accesso al conto corrente.

Inutile sottolineare che, disponendo di questi dati, il truffatore potrà prelevare dal conto del truffato somme di denaro a propria discrezione.

Il testo della missiva viene veicolato tramite un'immagine, inibendo così alcuni riconoscitori automatici di phishing: Thunderbird, ad esempio, non riconosce la natura truffaldina del messaggio, e non avvisa l'utente che potrebbe trattarsi di un raggiro.

Dopo vari tentativi maccheronici, l'italiano del messaggio è fluente e corretto, rendendo ancora più credibile l'invito. Nonostante ciò, l'intestatario del dominio-trappola keithkun.name da cui proviene la trappola, è registrato a tale Julia E. Francis, apparentemente di New York: non sarebbe comunque la prima volta che i dati dell'intestatario vengono falsificati, quindi la rilevazione Whois non è sufficiente per risalire al truffatore.

Le raccomandazioni per la protezioni sono sempre le stesse: massima diffidenza verso tutte le comunicazioni via e-mail, ed eventualmente verificare via telefono ogni "comunicazione di servizio" proveniente dalla propria banca. Ancora, strumenti come CallingID oppure la toolbar di Netcraft possono aiutare a prevenire spiacevoli sorprese.

Raccomando ancora la massima prudenza: il sito truffaldino al momento in cui scrivo è ancora raggiungibile.

Mi sono giunte numerose segnalazioni di altri domini che farebbero da mirror al sito keithkun.name: si tratterebbe quindi di una serie di almeno 3-4 siti-trappola con altrettanti domini differenti. Prudenza!