Phishing BancaIntesa: Gentile CLIENTE, …

| |

E’ da giorni che mi stanno sommergendo di email con “obbligo di cambiare password” o “necessità di confermare i miei dati” e altre amenità varie. Il phishing paga e i truffatori se ne sono accorti da tempo. Gli utenti distratti che cascano nei trabocchetti appositamente costruiti da questi falsi professionisti sono davvero tanti e tutti molto validi (con rare eccezioni di ignoranza totale in ortografia / grammatica / idee alla base della mail).

Prendo ad esempio l’ultima arrivata nella casella GMail. La bella cosa è che l’IP da raggiungere (puntato al falso sito) inserito a fondo mail è già stato oscurato, quindi non c’è il rischio di “farsi male“.

Qui di seguito il contenuto della mail:

Gentile CLIENTE,

Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei
servizi di Banca Intesa e stata riscontrata una incongruenza relativa ai dati anagrafici in
oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli
art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato
penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il
riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi
all'anagrafica dell'Intestatario dei servizi bancari.

Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro:

http://222.47.62.74/.privati.internetbanking.bancaintesa.it/

--
Cordiali Saluti

dove ho volutamente evitato di inserire il link ipertestuale camuffato mettendo in chiaro il vero indirizzo del falso sito. Notate l’ortografia della mail. Ci sono alcuni errori che una banca o un qualsiasi ente serio non potrebbe assolutamente permettersi di fare: “all momento” / “puo” / “transparenza” / “Effetuare“. Questo dovrebbe destare già un minimo sospetto, ma proseguiamo.

Qui di seguito invece il contenuto dell’header facilmente individuabile in GMail selezionando “Mostra originale” dal menu dettagli della mail (nei programmi di posta, come Mozilla Thunderbird, viene definito giustamente “Intestazione della mail):

Delivered-To: gioxx.gxware@gmail.com
 Received: by 10.115.22.4 with SMTP id z4cs158425wai;
         Tue, 5 Jun 2007 08:52:04 -0700 (PDT)
 Received: by 10.90.87.5 with SMTP id k5mr5081496agb.1181058723748;
         Tue, 05 Jun 2007 08:52:03 -0700 (PDT)
 Return-Path:
 Received: from ignition.infernonetworks.net (h-68-166-160-74.mclnva23.covad.net [68.166.160.74])
         by mx.google.com with ESMTP id 18si2412749agb.2007.06.05.08.51.58;
         Tue, 05 Jun 2007 08:52:03 -0700 (PDT)
 Received-SPF: fail (google.com: domain of info@bancaintesa.it does not designate 68.166.160.74 as permitted sender)
 Received: from User ([86.34.8.208]) by ignition.infernonetworks.net with Microsoft SMTPSVC(6.0.3790.1830);
   Tue, 5 Jun 2007 10:40:14 -0400
 From: "Banca Intesa"
 Subject: Comunicazione Urgente !
 Date: Tue, 5 Jun 2007 17:40:22 +0300
 MIME-Version: 1.0
 Content-Type: text/plain;
  charset="Windows-1251"
 Content-Transfer-Encoding: 7bit
 X-Priority: 3
 X-MSMail-Priority: Normal
 X-Mailer: Microsoft Outlook Express 5.50.4522.1200
 X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
 Bcc:
 Return-Path: info@bancaintesa.it
 Message-ID:
 X-OriginalArrivalTime: 05 Jun 2007 14:40:14.0546 (UTC) FILETIME=[6DA36B20:01C7A77F]

Non smetterò mai di parlare di truffe e come evitarle, ho sfinito alla morte anche i ragazzi che hanno partecipato al mio corso di informatica fatto a Bagnacavallo qualche mese fa. L’header è la parte più importante di tutta la mail. Se non utilizzate una webmail provvista di filtri antivirus ed antispam o preferite utilizzare un programma poco sicuro qualche Microsoft Outlook, dovete sicuramente andare a leggere l’header per cercare di rimanere protetti dalle varie truffe che girano per la rete.

Il passaggio fondamentale per dimostrare che la mail non proviene realmente da Banca Intesa è il seguente:

Received: from ignition.infernonetworks.net (h-68-166-160-74.mclnva23.covad.net [68.166.160.74])

Checché se ne dica, Banca Intesa non può far partire le mail da un server chiamato “ignition.infernonetworks.net” (il nome è tutto un programma) ma direttamente dal suo mail server “mail.bancaintesa.it” se proprio deve.

C:\Documents and Settings\Gioxx>ping mail.bancaintesa.it
Esecuzione di Ping mail.bancaintesa.it [193.227.214.105] con 32 byte di dati:

A prescindere da tutto e tutti, una banca o un qualsiasi istituto di credito NON chiederà mai i dati per mezzo mail, manda una lettera via posta ordinaria!

E poi, benedetti voi navigatori del web e utenti che avete appena acquistato un PC… se non siete clienti di Banca Intesa, perché cacchio vi ostinate ad andare sul sito segnalato? Vi piacciono così tanto “i testi scritti in blu grassetto e sottolineato“? Aprite un qualsivoglia editor di pagine web e mettetene quanti volete fino a soddisfare la vostra repressa voglia! Non fate le cavie per poi chiamare il supporto tecnico e piangere se i vostri dati sono stati rubati e non funzionano più! :(

Prima di fare qualsiasi cosa “sospetta” e combinare danni, CHIEDETE aiuto a chi ha più esperienza di voi in questo campo! Non costa nulla e può evitarvi seri problemi che portano via ore e ore di lavoro se non addirittura cose più gravi come la perdita di dati sensibili ;)

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Commenti
Inline Feedbacks
View all comments