Due tentativi (maldestri) di phishing a danno degli utenti della Postepay

Si sa che online i tentativi di phishing per entrare nei conti correnti bancari e/o postali degli ignari utenti sono decisamente in aumento; e soprattutto i possessori di carte postepay vengono presi di mira più di frequente soprattutto per la grande diffusione della carta di credito in questione. Di tentativi di phishing ai danni dei possessori della carta postepay nel corso di questi anni ne abbiamo visti parecchi, ma negli ultimi giorni abbiamo ricevuto nella casella email due differenti messaggi, decisamente sospetti. Innanzitutto per noi è semplice capire che non si tratta di un messaggio “reale” in quanto non siamo tra gli utenti della postepay, pertanto non dovremmo essere destinatari di alcun messaggio relativo a conti “inesistenti”. D’altro canto i due tentativi, di genere differente, sono poco mascherati e meno smaliziati rispetto ad altri che abbiamo recensito, sintomo che ormai una vasta gamma di truffatori online (anche poco edotti sulle tecniche del web) si sta gettando a capofitto in questo campo.

La prima email: il redirect ad un sito differente da quello delle Poste Italiane

La prima email che andiamo ad analizzare ci “ricorda” che la nostra password sul sito delle Poste sarebbe scaduta, essendo trascorsi 90 giorni; ci invita pertanto a cambiare immediatamente la password per evitare che la carta in questione diventi “inativa” (da notare l’errore di ortografia, che denota molto probabilmente che il tentativo fraudolento è operato da un qualche straniero, essendo l’aspetto più complicato della lingua italiana proprio le “doppie”). Infine in calce all’email è riportata quale mittente “Poste S.A.” come se fosse una società di diritto francese/svizzero (società anonima dovrebbe essere, ma non ve lo assicuriamo), al posto del corretto Poste Italiane S.p.a. Ecco di seguito lo screenshot dell’email in questione:

Altro elemento sospetto di questa email è che il mittente (nella parte relativa all’indirizzo di posta che abbiamo coperto per ragioni di privacy) riportava il nostro indirizzo di destinazione e non quello del mittente stesso… situazione decisamente singolare… Come si vede già i due errori basterebbero a farci rendere conto che non si tratta di una vera email proveniente dal nostro conto; ma se andiamo a passare il mouse sul link che dice “procede per cambiare la password” vediamo che compare un indirizzo web decisamente strano e complicato, non certo quello delle Poste…. come potete vedere da quest’altro screenshot

Noi ovviamente siamo curiosi di natura ed abbiamo incollato il link nel browser (con le opportune precauzioni date da antivirus e firewall) per vedere effettivamente l’indirizzo web in questione alla prova dei fatti… ed ecco il risultato

Come potete vedere l’indirizzo è completamente diverso (e non è mascherato come accade in altri casi), mentre il sito sembra in tutto e per tutto uguale a quello originale; in questo caso non ci sono errori, sintomo che il portale “fraudolento” è stato copiato in tutto e per tutto dall’originale. Insomma ci hanno provato ancora!

La seconda email: un file HTML incorporato nel messaggio.

La seconda email che analizziamo è addirittura più semplice da rilevare rispetto alla prima perchè questa volta non contiene un link ad un sito esterno, bensì un file HTML aggiunto come allegato che l’utente “dovrebbe” aprire. Questo rende il messaggio in questione meno pericoloso, in quanto una delle prime regole di sicurezza è proprio quella di evitare di aprire allegati di dubbia provenienza; ed inoltre così come nella prima email, anche in questa seconda vi sono degli errori “madornali” di ortografia: l’utilizzo della dizione “per cancellare il transfero” sembra decisamente una cattiva traduzione (anche in questo caso sembrerebbero gli autori del tentativo fraudolento di matrice estera). Il contenuto della mail è differente da quello precedente, ma anch’esso tende ad allarmare l’utente: ci sarebbe stato un’addebito sulla nostra postepay per cancellare il quale “transfero” bisognerebe scaricare il modulo allegato e confermare i dati ivi riportati. Per dare, come sempre, contezza immediata di come questo accade ecco di seguito lo screenshot dell’email che abbiamo ricevuto:

Noi ovviamente, lo ripetiamo, siamo curiosi e quindi abbiamo scaricato l’allegato pur non aprendolo con il classico browser bensì con un programma di progettazione HTML, per poterne vedere tanto l’anteprima che il codice di riferimento a supporto. L’anteprima è decisamente simile al vero sito delle Poste come potete vedere dal prossimo screenshot, in cui a destra c’è la versione che avremmo visualizzato semplicemente cliccando sul file allegato alla mail, a sinistra il codice HTML di riferimento che ci consentirà di analizzare il file che ci hanno inviato:

Da un’analisi sommaria del codice possiamo vedere che le immagini sono prese direttamente dal sito originale delle Poste (caricate in locale da remoto direttamente dal sito corretto) mentre il form che ci chiede i nostri dati viene inviato ad un altro sito: una pagina interna del dominio “arlenerosonberg.com” come potete vedere dall’analisi che abbiamo fatto nello screenshot successivo:

Il dominio principale è un semplice sito di ecommerce che si occupa di abbigliamento femminile, molto probabilmente “hackerato” dagli autori della mail che hanno inserito la pagina interna che raccoglie i dati del form in questione. Spesso infatti capita che i proprietari legittimi dei siti utilizzati per il phishing siano del tutto estranei alla vicenda truffaldina, e siano in buona sostanza vittime anche loro dei veri autori del tentativo di truffa.

In buona sostanza nel giro di pochi giorni abbiamo ricevuto ben due email che hanno tentato di farci “inserire” i dati del nostro conto Postepay; email che però (a differenza di altre più smaliziate) contenevano errori decisamente evidenti e tecniche anche “desuete”; pertanto occhi aperti, e diffidate gente, diffidate!