Truffa: Banca di Roma ed il codice segreto

7 January, 2008 | da gioxx |

ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)

Nuovo obiettivo dei pirati informatici e dei perdigiorno che pensano di far fortuna stando davanti ad un computer e basandosi sull’ingenuità della brava gente: entra con tanto di tappeto rosso la Banca di Roma ;)
Si parla di un codice segreto da recuperare in quanto qualcuno ha utilizzato male il form di login per 3 volte di seguito (facendo entrare in funzione il blocco delle credenziali). Ancora una volta ortografia e grammatica non sono “di casa” ed il mittente reale è facilmente individuabile.

Il testo della mail recita:

Gentile Cliente,

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di entrare e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.

Grazie ancora per aver scelto i servizi on-line di Banca di Roma.

Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Considerazioni migliori.

Ho eliminato il collegamento sulla parola “entrare“: porta sul sito contraffatto non ancora chiuso dalle autorità. Per il momento spero vi accontentiate di uno screen dove ho evidenziato tutte le differenze chiave:


clicca per ingrandire

Analizziamo i punti sull’immagine:

  1. L’URL non è quello della Banca di Roma (www.bancaroma.it). Molto probabilmente si tratta di una adsl privata ad IP dinamico, sparirà molto presto dalla circolazione.
  2. Firefox segnala giustamente che si tratta di un sito contraffatto e vi invita ad abbandonarlo quanto prima. Ho ignorato l’avviso giusto per fare lo screen.
  3. Nessuno nota mai le Favicon? Si tratta di quella finezza che non viene considerata generalmente da chi fa l’attacco.
  4. Ho visitato la pagina alle ore 17.20 di lunedì 06.01.2008. Come può l’orologio segnare le 10.52 del 03.01.2008?
  5. Il tasto DEMO non è più presente nella home page della vera Banca di Roma. Posso supporre si tratti di una vecchia versione di piattaforma (anche solo di qualche giorno fa).
  6. Manca un’immagine, il layout non è lineare. Mai una banca farebbe un simile stupido errore. Altra finezza non notata :)

A questo punto non ci sarebbe neanche bisogno di proseguire ma tant’è, ci tengo a farvi dare una occhiata al reale mittente della mail:

From - Mon Jan 07 14:46:25 2008
X-Account-Key: account9
X-UIDL: UID2674-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx9.g.dreamhost.com
Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
by spunkymail-mx9.g.dreamhost.com (Postfix) with ESMTP id 5CC5ED7134
for ; Mon, 7 Jan 2008 05:46:04 -0800 (PST)
Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
SVC(6.0.3790.1830); Mon, 7 Jan 2008 08:49:27 -0500
From: “Banca di Roma spa”
Subject: Banca di Roma garantisce il corretto trattamento
Date: Mon, 7 Jan 2008 08:32:41 -0500
MIME-Version: 1.0
Content-Type: text/html;charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID:
X-OriginalArrivalTime: 07 Jan 2008 13:49:28.0141 (UTC) FILETIME=[1F10E7D0:01C85134]
X-EC0D2A8E-5CB7-4969-9C36-46D859D137BE-PartID: 087AAB5C-5A8F-4554-A419-D78B7A90605B
To: undisclosed-recipients:;
X-Antivirus: avast! (VPS 080106-0, 06/01/2008), Inbound message
X-Antivirus-Status: Clean

Riassumendo:

  • Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
  • Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
  • Subject: Banca di Roma garantisce il corretto trattamento
  • X-Mailer: Microsoft Outlook Express 6.00.2600.0000

Il reale mittente spedisce dal server bluestarjets.com (qui le informazioni in merito) che ha IP 38.98.85.249. Il tutto è partito da un Microsoft Outlook (dell’attaccante) presente sul PC con IP 209.178.208.74 e con un oggetto della mail alquanto stupido e improbabile: “Banca di Roma garantisce il corretto trattamento“, sembra quasi che parli una azienda chimica!

Il server di bluestarjets.com monta IIS 6.0 probabilmente non patchato. Secunia riporta qualcosa di interessante in merito ;)
Occhi aperti!

7 Responses to “Truffa: Banca di Roma ed il codice segreto”

  1. 1
    Francesco d'EliaNo Gravatar Says:
    January 7th, 2008 at 10:22 pm

    La madre dei cretini è sempre incinta e questi signori riescono comunque a realizzare le loro belle truffette proprio perchè esistono tanti cretini in giro, diversamente verrebbero solo sbeffeggiati e ridicolizzati da chi avesse un quoziente intellettivo almeno pari a quello di un topo (non occorre una cavia che ha studiato..)..

    La dabbenaggine e l’idiozia della gente (persone che hanno un conto online e dovrebbero essere più evolute..) spiega il fatto che Wanna Marchi abbia prosperato in questo paese, spiega il perchè si vendano più Gratta e Vinci che mutui, spiega perchè a difendere i cittadini ci siano solo un comico ed un pupazzo rosso..

    Ferma restando la condanna del crimine, mi sta più simpatico il phisher che l’idiota di turno che ci casca e poi magari va a piagere da MI Manda RaiTre.. Eppoi ogni italiano sa tutto di tutto, dal calcio ai computer oppure ha sepre un cognato che sa tutto..

    Reply | Quote
  2. 2
    gioxxNo Gravatar Says:
    January 8th, 2008 at 1:44 pm

    Non esistono tanti “cretini in giro”. Si tratta di padri di famiglia, anziani che preferiscono non tenere la pensione in casa e svariati altri casi simili ai due già citati.

    La rete non è fatta di esperti o di navigatori che sanno ciò che fanno, le statistiche non mentono, sic!

    Reply | Quote
  3. 3
    miki64No Gravatar Says:
    January 8th, 2008 at 3:45 pm

    Bravo, Gioxx, quando pubblichi queste cose!
    Bravo!

    Reply | Quote
  4. 4
    ViKNo Gravatar Says:
    January 8th, 2008 at 8:51 pm

    Per fortuna questi bastardi non sono ancora molto bravi a riprodurre siti…

    Reply | Quote
  5. 5
    PeppeNo Gravatar Says:
    January 8th, 2008 at 8:57 pm

    Ottimo post! Complimenti!
    A me invece Banca di Roma “regala” 100 euro. Purtroppo in tanti ci cascano.
    Ciao.
    Peppe

    Reply | Quote
  6. 6
    gioxxNo Gravatar Says:
    January 9th, 2008 at 2:51 pm

    Addirittura ti regalano 100 euro? E cosa aspetti? :P eheh chiaramente ogni tanto cambiano tattica, altrimenti risulterebbero troppo stupidi (come se già non lo fossero abbastanza! :( )

    Reply | Quote
  7. 7
    Antiphishing, IE7 batte Norton 8:0 at Casperize Says:
    January 10th, 2008 at 12:45 am

    [...] In teoria, dovrebbero assistere le anime candide nell’identificare in tempo utile certe pagine truffaldine, piazzate online da avidi furbastri perlopiù in cerca di facile accesso agli account bancari. [...]

Leave a Reply