Falla In Banca Di Roma, Clienti A Rischio

Sono passati quattro giorni dalla segnalazione, ma la Banca di Roma non ha ancora provveduto a correggere una pericolosa falla individuata da un ricercatore indipendente.

La falla, di tipo Cross Site Scripting (XSS), permette di inserire codice Javacript nel sito della Banca di Roma e, grazie ad un URL creato ad arte, è possibile portare a compimento truffe on-line con un alto livello di credibilità.

Nemmeno gli strumenti di rilevamento truffe on-line riuscirebbero a rilevare la truffa, in quanto questa verrebbe attuata utilizzando il sito originale di Banca di Roma. Infatti, la toolbar di Netcraft, strumento anti-phishing da installare nel proprio browser, considera il sito web “sicuro” (Andy mi segnala che la nuova versione della toolbar di Netcraft individua il tentativo di phishing).

Sottrazione dei codici personali di accesso, dopo aver cercato di autenticarsi

Il ricercatore ha teorizzato un possibile truffa, nella quale si sfrutta la falla scoperta, proponendo un indirizzo web creato ad arte.

Cliccando sull’indirizzo si apre la pagina del sito di Banca di Roma, tuttavia, con un codice maligno che riesce ad intercettare username e password inseriti.

Se volete fare la prova (si tratta di una demo innocua) provate ad aprire questo indirizzo (si tratta di un indirizzo creato ad arte per compiere una possibile truffa): inserite, quindi, un username e password casuali, non si sa mai, e cliccate sul tasto “Entra”.

L’esempio innocuo (i dati non sono inviati a nessuno) mostrerà in una finestra i dati inseriti. L’esempio ci fa rabbrividire se consideriamo che la falla non è stata corretta e che qualche truffatore potrebbe utilizzarla a scopo di lucro.

Ricordatevi, pertanto, di accedere alla Banca di Roma digitando nel vostro browser direttamente l’indirizzo www.bancadiroma.it, non cliccando su un indirizzo giunto via e-mail!

Link: Vulnerabilità Phishing sito Banca Di Roma www.bancadiroma.it