Occhio alla truffa! (del falso sito di Poste Italiane)

Aggiornamento (22:00): il sito non è più raggiungibile.

 

Sabato 25 Aprile. Guardate il vostro telefono, e vi trovate un messaggio del genere: che fate?

pi.jpeg

Se siete una persona con un minimo di conoscenza tecnologica ed infarinatura generale di sicurezza nella rete, riconoscerete che Android vi segnala già il messaggio come probabile tentativo di phishing, e lo cestinate. Magari, prima di fare ciò, date una controllatina veloce al numero di telefono, e notate che quel 380 non è un numero di appartenente a WindTre; si tratta di un prefisso internazionale (notate il + che precede il numero, vero?) e quindi in realtà quel messaggio proviene dall’Ucraina.

Ma cosa succederebbe se non foste così cauti, e vi fidaste del messaggio? Tanto non può accadere nulla di male, con tutti i metodi a doppia/multipla autenticazione, codici OTP, password manager, ecc, giusto?

Non proprio…

Parte 1 – Accesso al sito

Al momento di cliccare il sito indicato nel messaggio, si viene reindirizzati alla seguente pagina:

Screenshot_20200425_174122.png

se non fosse per il Not Secure (sito non sicuro) indicato nel browser, e l’indirizzo non propriamente usuale, mi verrebbe da pensare di utilizzare realmente il sito di PosteItaliane.

Raffronto col sito reale (dove viene indicata sia la connessione, sicura, che l’entità che ha emesso il certificato, ovvero POSTE ITALIANE S.p.A. [IT])

Screenshot_20200425_174028.png

Le somiglianze sono a dir poco perfette. Nota: non ho intenzione di mettermi a spiegare come credo sia stato realizzato, il mio scopo è rendere questo articolo fruibile a chi non ha conoscenze tecniche, per quanto possibile.

Parte 2 – Login

A questo punto, cosa succederebbe se procedeste con l’inserimento del vostro username e password? Meglio dare un’occhiata, va 😉

Screenshot_20200425_174326.png

Al momento di cliccare su Accedi, apparentemente viene effettuato un controllo.

Screenshot_20200425_174526.png

Hmmm, ma per caso vuol dire che posso loggarmi senza usare alcuna credenziale? Devo provarlo 😀

out-0.gif

Parte 3 – Inserimento dettagli carta

Dopo (non) aver inserito le credenziali corrette, ci viene presentata una ulteriore pagina che chiede l’inserimento di ulteriori dettagli sulla nostra carta. Andando a spulciare un po’ la struttura del sito, si notano un paio di cose interessanti

Screenshot_20200425_175206.png

La pagina iniziale che avevamo visitato apparteneva proprio di Poste Italiane; ma dato che prima passava per secureslogin-poste[.]64-b[.]it, il malintenzionato ne ha approfittato per cambiarla quel poco che basta per raggiungere il suo scopo (*), ovvero mostrare una pagina creata ad-hoc che non è di proprietà di Poste Italiane (si veda ad esempio a fondo pagina che l’anno riporta ancora il 2018), dove si richiede di inserire i dettagli della propria carta.

A questo punto, che succederebbe se immettessimo dei dettagli fasulli? (Nota: spulciando nel codice è saltato fuori che il campo “saldo disponibile” richiede invece qualcosa che assomigli ad un numero telefonico, ma purtroppo il sito è stato rimosso quando mi sono messo a scrivere questo post ed ho tentato di fare un ulteriore screen esemplificativo).

out-2.gif

Non mi è stato possibile verificare se il codice OTP fosse realmente funzionante tuttavia, se una persona non particolarmente accorta avesse eseguito le istruzioni presentatele a schermo, un malintenzionato avrebbe potuto raccogliere quantomeno:

  • username
  • password
  • numero di carta, con relativa scadenza e codice CVV/CVV2

 

Conclusioni

Usare un password manager, evitare di ripetere le stesse password in più siti, usare autenticazione 2FA o MFA, codici OTP sono senza dubbio ottimi accorgimenti per nagivare protetti in rete, ma non occorre mai abbassare la guardia:

  • fate attenzione a messaggi senza mittente preciso, con email o numeri di telefono che non sembrano appropriati
  • fate attenzione ai link che sono contenuti
  • non cliccate se non siete sicuri
  • … ma se l’avete fatto, controllate che:
    • il sito corrisponda davvero a quello che vi aspettavate
    • che la connessione sia sicura
    • che i certificati siano emessi dall’ente che gestisce il sito stesso (si veda quanto scritto in Parte 1 – Login)

Tutto quello che ho detto sopra suona difficile e pensate di non avere le competenze tecniche necessarie? Ho la soluzione semplice:

  1. non cliccate alcun link proveniente sorgenti sconosciute
  2. aprite Google e cercate il sito al quale dovreste loggarvi, ad esempio “Poste Italiane”, e lasciate che sia Google a portarvi al sito verificato. Se davvero vi hanno bloccato la carta, state sicuri che non appena entrate, potrete verificare se ci sono messaggi riguardanti il presunto “blocco”.

 

/the end

 

 

 

 

(*) Gli informatici spero mi perdoneranno per la grossolana semplificazione