Poste Italiane, A Rischio Clienti Banco Posta

11 gennaio 2006 di Salvatore Aranzulla, in Phishing e altri inganni, Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica. 38 Commenti

Poste Italiane I siti degli istituti bancari e finanziari devono essere molto curati dal punto di vista della sicurezza informatica, altrimenti si rischia che informazioni segrete, a partire dai codici di accesso ai numeri delle carte di credito, vadano a finire nelle mani di qualche malintenzionato.

Anche Poste Italiane si è adeguata allo sviluppo dell’e-commerce e di Internet, permettendo ai suoi clienti Banco Posta di controllare i movimenti e fare altre operazioni, come pagare le bollette, con il proprio conto, stando seduti in poltrona davanti al PC.

Ripetutamente i clienti di Banco Posta sono stati al centro di numerosi tentativi di truffe on-line, che solitamente chiedevano ad un utente di identificarsi al sistema per i motivi più svariati.

Queste truffe, tuttavia, sono facilmente individuabili, perché portano l’utente in un sito esterno a quello di Poste Italiane e, quindi, basta osservare l’indirizzo in cui ci si trova per scoprire la truffa. Fra l’altro molti strumenti contro il phishing, riconoscono questi siti truffaldini, impedendone l’accesso.

Il problema sorge quando qualcuno (Salvatore Aranzulla, alias io) riesce ad utilizzare il sito originale – ripeto originale – di Poste Italiane per attuare una ipotetica truffa on-line. Questo è possibile grazie a due falle nel sistema di Poste Italiane con cui è possibile servire un’ottima truffa.

Il funzionamento è semplice: portando l’utente da truffare in un indirizzo strano del sito originale di Poste Italiane è possibile interecettare i dati di accesso al suo conto Banco Posta. I dati finirebbero nelle mani di qualche truffatore.

In altre parole, cliccate in una e-mail che presenta un indirizzo https://bancopostaonline.poste.it/ (il sito originale di Banco Posta), venite portati sul sito originale di Poste Italiane e siete a rischio di frode.

Il problema è grave se si considera che la maggior parte dei filtri anti-phishing non riconoscono i tentativi di phishing effettuati con siti originali di cui vengono sfruttate le vulnerabilità. Pertanto un cliente, che ha installato e configurato a puntino la sua toolbar anti-phishing, è potenzialmente a rischio.

Poste Italiane, fra l’altro, presenta milioni di clienti Banco Posta, che potrebbero farsi ingannarsi dal fatto di trovarsi nei siti originali di Poste Italiane, affidandosi magari al filtro anti-phishing del proprio antivirus che non individua tale tipologia di attacco.

A legittimare fra l’altro una possibile e-mail di phishing potrebbe essere – ripeto – il fatto di proporre l’indirizzo originale del sito, che potrebbe ingannare anche l’utente più attento.

La falla potrebbe essere usata non solo in e-mail, ma anche in forum o messaggi in rete dove magari proporre una storia convincente che induca i proprietari di un conto Banco Posta a cliccare sull’indirizzo… originale di Banco Posta!

Questo articolo è in forma ridotta rispetto a quello originale da me scritto, in quanto Poste Italiane non ha ancora corretto le falle di sicurezza. Quando queste saranno corrette, verranno pubblicati i dettagli tecnici ed un video esemplificativo.


Questo articolo è stato scritto e pubblicato mercoledì 11 gennaio 2006 da Salvatore Aranzulla. L'articolo è stato inserito in Phishing e altri inganni, Scoperte di sicurezza informatica di Salvatore, Sicurezza informatica. Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Non puoi né inviare commenti, né inviare trackback.

Commenti dei lettori

  1. Laura 19 marzo 2007 alle 17:50

    Ciao Sara,
    con i carabinieri non penso…però fai subito la denuncia alle poste, devono darti il numero di Roma dove inviare il fax con quello che è successo, la lista movimenti eccetera…chiama il n°verde e chiedi della sezione delle poste che si occupa delle truffe!io purtroppo sono stata avvisata molto tardi di questo e quindi credo che nonl i rivedrò più…non so come fare:(

  2. sara 14 marzo 2007 alle 23:37

    ragazzi sono disperata mi sono state truffate dalla mia carta postepay 1000. euro sulla lista movimenti c’e’ scritto ricarica online.tramite carabinieri e denuncia,verro’ a sapere dove sono finiti i miei soldi?

  3. Sergio 17 gennaio 2007 alle 14:21

    Sono stato frodato on line di 7500 euro e dovrei iniziare una causa legale contro il phisher che hanno trovato con il rischio di rimetterci tanti altri soldi dato che il tizio è un venezuelano senza un soldo… ma possibile che un istituto come le Poste non sia assicurato contro tali reati dato che offre un servizio che ha delle falle… se qualcuno sa indicarmi qualche percorso da fare lo ringrazio anticipatamente.

  4. Laura 16 gennaio 2007 alle 11:48

    Ciao Maurizio,
    anche io sono stata truffata ad ottobre e mi hanno chiamata OGGI per chiedermi informazioni su cosa è successo dopo che ho mandato decine di raccomandate, fax, fatto denuncia ai carabinieri e mandato dozzine di email. e OGGI MI DICONO CHE E’ TARDI???? solo quando ieri ho mandato un’altra email dicendo che andavo per vie legali se non mi veniva risarcito il danno (2000euro rubati) mi hanno contattata e ora mi dicono che FORSE mi restiuiscono i soldi??
    Ora vedremo come procede, ma se va avanti così andrò anche io per vie legali.

  5. MAURIZIO 28 novembre 2006 alle 11:59

    Buongiorno
    Ieri hh avuto la terza udienza in tribunale, ma banco posta fa di tutto per non pagare..
    c’è qualcuno in grado di produrre documentazione da inviarmi e da presentare al giudice, per dimostrare che il sito ufficiale di bancoposta era corrotto?

    vi prego di aiutarmi
    maurizio

  6. MAURIZIO 26 settembre 2006 alle 10:28

    sono stato truffato ad ottobre 2005 grazie a questa falla nel sito di banco posta, ma a oggi non ho ottenuto risarcimento

    sono per vie legali

    aprire un conto in poste italiane è stata per me una cattiva idea, ci ho rimesso 2500 euro grazie alla loro incompetenza..

  7. linus 18 luglio 2006 alle 17:14

    …sono passati quasi 2 mesi …o meglio piu’ di uno….è stata corretta falla da P.T. ?????
    Sarei curioso di sapere…….

  8. rosy 5 giugno 2006 alle 18:52

    ma per sapere i miei movimenti del mio bancoposta maestro come potrei fare…rispondete al più presto. cordiali saluti…

  9. Delfins 10 febbraio 2006 alle 22:09

    Salvo,ti ho mandato l’email….Ma ti invio l’exe,o lo uppo da qualche parte?Come preferisci.

  10. Delfins 7 febbraio 2006 alle 23:44

    Ok,lo ho terminato. ;-)

  11. Salvatore Aranzulla 7 febbraio 2006 alle 19:43

    ottimo: mandami una mail!

  12. Delfins 7 febbraio 2006 alle 19:12

    Good! Senti,io stò sviluppando un programmino che controlla ogni tot se il file host è stato modificato.Se sì,ti avvisa e tu puoi ristabilirlo.Se interessa,vi avviso una volta terminato !;-)

  13. Salvatore Aranzulla 7 febbraio 2006 alle 12:59

    Si potrebbe essere: lancio una allerta a riguardo.

  14. Delfins 7 febbraio 2006 alle 12:56

    Bhe,magari hanno sfruttato il “problemino” del file host, quello che anke tu,salvo,hai spiegato.E bastato un programmino,magari apparentemente innoquo,a modificarlo,e boom…..

  15. Salvatore Aranzulla 7 febbraio 2006 alle 09:12

    La falla, che è stata corretta, richiedeva comunque l’intervento della persona da truffare, che avrebbe dovuto cliccare su un indirizzo in una e-mail o in un sito internet. Non sono al corrente di falle che non richiedono la partecipazione dell’utente.

Commenti precedenti
Commenti seguenti

Non è possibile più aggiungere commenti all'articolo.