La più imponente azione di phishing

L'ondata di email che ha travolto ieri le mailbox degli italiani, email fasulle e truffaldine, non ha precedenti. L'obiettivo? Colpire il più rapidamente possibile i clienti Unicredit. Le Fiamme Gialle sono sulle tracce degli autori


Roma – Colpire subito il maggior numero di utenti, prima che la notizia giri , prima che siti, newsletter e mailing list diffondano l’allarme: questa la strategia seguita dagli autori di un massiccio spam truffaldino con cui sono state inondate nelle scorse ore le mailbox di moltissimi utenti italiani.

Si tratta ancora una volta di un caso di phishing, reso più insidioso non solo dall’ altissimo numero di messaggi spediti , email con cui si cerca di trarre in inganno gli utenti, ma anche dal fatto che il link fornito nel messaggio porta ad un sito che anche nel suo indirizzo è del tutto simile a quello della banca presa di mira, in questo caso Unicredit. Sono moltissimi i lettori che ieri hanno scritto in redazione per segnalare l’arrivo di questa email “sospetta”, che senza dubbio avrà tratto in inganno i meno accorti: segnalazioni molto utili che hanno consentito di comprendere l’ampiezza del tutto straordinaria dello spam effettuato dai truffatori.

Il messaggio appare ufficialmente spedito da “Il servizio d’assistenza della Unicredit Banca” e dall’indirizzo unicredit@unicreditbanca.it. In realtà è un’email che proviene da computer con IP orientali , probabilmente utilizzati per veicolare questo spam da remoto all’insaputa dei legittimi proprietari da parte dagli autori di questa truffa: sono peraltro sempre più frequenti le evidenze dell’uso di botnet , ossia reti di computer infetti, per operazioni di questo tipo.

Il testo del messaggio è redatto nello stile tipico a cui ormai sono abituati coloro che abbiano ricevuto email di phishing ma in più, come se non bastasse, fa riferimento ai problemi dovuti al phishing , una sorta di sarcastica “auto-citazione” che potrebbe però indurre molti a ritenere veritiera la mail:

“Egregi clienti della banca UniCredit Banca via Internet Imprese, Vi informiamo che in relazione al sovraccarico del nostro generale server http://www.unicreditbanca.it la nostra zona tecnice e allargata con l’aggiunta di nuovo server attualmente nella fase di test. L’indirizzo fisso del nuovo web server del servizio online banking -www.unicreditsbanca.com. Tutti i clienti devono essere soggetti alla procedura obbligatoria d’autenticazione al nuovo server per far transferire i Vostri dati d’utente con successo alla base dei dati del nuovo piu protetto server del servizio online banking.
1. Aprite la web pagina http://www.unicreditsbanca.com
2. Entrate nel Vostro conto ondine usando la combinazione Codice i Pin.
3. Per evitare la perdita dei Vostri dati personali e per la protezione contro assalti di “Phishing” si prega di sempre chiudere la finestra del Vostro Internet Browser al termine di lavori con la banca ondine.
Distinti saluti, il servizio d’assistenza tecnica della banca ondine UniCredit”.

A coronamento del piccolo capolavoro truffaldino costituito da questa email, il cui unico scopo è quello di far inserire dati sensibili all’interno di form fasulli in modo da poterli catturare, interviene il sito-truffa che, mentre scriviamo, è ancora visibile all’indirizzo unicreditsbanca.com . La pagina e persino la URL assomigliano molto da vicino al sito ufficiale dell’istituto di credito, Unicredit.it . Con un plus: a metà altezza sulla pagina spicca un avviso:

“Comunicazione Urgente – Caso di email sospette con richiesta di dati e informazioni personali. Non inserire codici e cancella l’email”.

Anche in questo caso, il riferimento diretto a questo genere di truffe è congegnato per indurre l’utente ad abbassare la guardia e a fidarsi del sito-truffa: una tecnica spicciola che rappresenta un’ulteriore evoluzione delle diverse tattiche degli autori di questo genere di imprese telematiche. Cliccando su quell’avviso, naturalmente, si va alla pagina presente sul vero sito di Unicredit e dedicata, per l’appunto, alle email di phishing. Questa tecnica è già stata impiegata in passato da alcuni virus writer : per diffondere le proprie creature, inserivano nel corpo dei messaggi infetti un riferimento a virus precedenti e si spacciavano come “la cura” per quel malware, essendo però malware loro stessi.


Sul piano tecnico bastano un paio di prove con username e password fasulli inseriti nel form del sito-truffa per comprendere la trivialità tecnologica di un sistemino che, però, potrebbe dare non pochi guai ai correntisti di Unicredit meno accorti. Inoltre, nel caso di Unicreditsbanca.com val anche la pena sottolineare come una ricerca nello WHOIS attribuisca ad una “Foundation Men on Line” di Amsterdam la registrazione dei dominio internet, dati con ogni probabilità del tutto fasulli e difficilmente riconducibili agli autori di questo “giochino”.

Da parte sua la banca ha giocato su due strade. Da un lato, in attesa che il sito venga chiuso, ha agito boicottando le immagini del sito-truffa : poiché queste sono “catturate” dal sito originale, modificando queste ultime anche quelle del sito-truffa sono state modificate, un “trucco” che è stato compreso rapidamente dall’autore della truffa che ha aggirato il problema in un botta-e-risposta telematico del tutto inedito; dall’altro la Banca ha anche attivato un alert che viene lanciato nel caso in cui qualcuno effettivamente inserisca i dati nel form fasullo: la pagina di risposta, anziché pescare un errore qualsiasi, presenta un avvertimento in cui si informa chi ha inserito i dati che potrebbe averne compromessa l’integrità e si viene invitati a contattare immediatamente il call center dell’azienda.

Quello ai danni di Unicredit e dei suoi clienti non è certo il primo caso di phishing indirizzato agli utenti italiani, e per rendersene conto bastare dare un’occhiata all’ archivio di PI : denota invece la costante evoluzione di questo genere di attività truffaldina e la necessità di un approccio il più possibile consapevole alle nuove tecnologie da parte degli utenti che troppo spesso aprono allegati infetti o, appunto, cedono i propri dati personali senza rendersi conto del tentativo di truffa in atto. E quello delle scorse ore è solo uno dei molti sistemi adottati per frodare i meno attenti.

Di recente la Guardia di Finanza , in particolare dopo le azioni di phishing che su scala meno ampia hanno preso di mira gli utenti di Banca Intesa ed altri istituti , ha diffuso un comunicato in cui si osserva, tra l’altro, come questo sistema “evidentemente conta sulla possibilità statistica di incrociare, tra i diversi soggetti raggiunti dall’e-mail, anche un numero di persone che sono effettivamente titolari di un conto corrente on-line presso le banche da cui viene simulato l’invio del messaggio di posta elettronica”.

Non è un caso, dunque, se la Procura della Repubblica di Milano ha intanto confermato la creazione di una Antiphishing Task Force a cui appartengono esperti della Guardia di Finanza di Milano ed alcuni tra i security manager delle maggiori banche italiane. La scelta di dar vita a questo gruppo operativo si deve, evidentemente, proprio al ripetersi di questo genere di aggressioni telematiche ai danni dei clienti italiani dei sistemi di home banking, di per sé considerati assai sicuri.

Fonti della Procura spiegano come negli ultimi mesi vi siano stati alcuni casi di frodi informatiche, talvolta con l’ausilio di trojan e keylogger , non sempre utilizzando il phishing e forse persino con lo scopo di fare dei test preliminari ad azioni come quella delle scorse ore.

Nelle passate occasioni, sono quasi 1,5 milioni gli euro oggetto di transazioni attivate grazie ai dati rubati, transazioni che nella quasi totalità dei casi sono state bloccate o gli importi sequestrati dall’azione della Guardia di Finanza. Proprio secondo le Fiamme Gialle gli autori di tutti i più recenti attacchi agli utenti italiani con il phishing fanno parte di un’unica organizzazione criminale straniera operante in più paesi.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti