Poste Italiane, a rischio clienti Banco Posta

I siti degli istituti bancari e finanziari devono essere molto curati dal punto di vista della sicurezza informatica, altrimenti si rischia che informazioni segrete, a partire dai codici di accesso ai numeri delle carte di credito, vadano a finire nelle mani di qualche malintenzionato.

Anche Poste Italiane si è adeguata allo sviluppo dell’e-commerce e di Internet, permettendo ai suoi clienti Banco Posta di controllare i movimenti e fare altre operazioni, come pagare le bollette, con il proprio conto, stando seduti in poltrona davanti al PC.

Ripetutamente i clienti di Banco Posta sono stati al centro di numerosi tentativi di truffe on-line, che solitamente chiedevano ad un utente di identificarsi al sistema per i motivi più svariati.

Queste truffe, tuttavia, erano e sono facilmente individuabili, perché portano l’utente in un sito esterno a quello di Poste Italiane e, quindi, basta osservare l’indirizzo in cui ci si trova per scoprire la truffa. Fra l’altro molti strumenti contro il phishing, riconoscono questi siti truffaldini, impedendone l’accesso.

Il problema sorge quando qualcuno (Salvatore Aranzulla, alias io) riesce ad utilizzare il sito originale - ripeto originale - di Poste Italiane per attuare una ipotetica truffa on-line. Questo è possibile grazie a due falle nel sistema di Poste Italiane con cui è possibile servire un’ottima truffa.

Il funzionamento è semplice: portando l’utente da truffare in un indirizzo strano (ndr. Salvatore utilizza questa definizione per non rendere tecnicamente nota la falla) del sito originale di Poste Italiane è possibile interecettare i dati di accesso al suo conto Banco Posta. I dati finirebbero nelle mani di qualche truffatore.

In altre parole, cliccando una e-mail che presenta un indirizzo https://bancopostaonline.poste.it/ (il sito originale di Banco Posta), verrete portati sul sito originale di Poste Italiane esponendovi a rischio di frode.

Il problema è grave se si considera che la maggior parte dei filtri anti-phishing non riconoscono i tentativi di phishing realizzati utilizzando i siti originali di cui vengono sfruttate le vulnerabilità. Pertanto un cliente, che ha installato e configurato a puntino la sua toolbar anti-phishing, rimane potenzialmente a rischio.

Poste Italiane, fra l’altro, presenta milioni di clienti Banco Posta, che potrebbero farsi ingannare dal fatto di riconoscere la URL del sito originale di Poste Italiane, credendo che il proprio filtro anti-phishing individui e protegga tale tipologia di attacco.

A legittimare fra l’altro una possibile e-mail di phishing potrebbe essere - ripeto - il fatto di proporre l’indirizzo originale del sito, che potrebbe ingannare anche l’utente più attento.

La falla potrebbe essere usata non solo in e-mail, ma anche in forum o messaggi in rete dove magari proporre una storia convincente che induca i proprietari di un conto Banco Posta a cliccare sull’indirizzo… originale di Banco Posta!

Per concludere.

Il problema è grave e le Poste Italiane sono state già informate. Non riscontrando ad oggi ancora alcun "aggiustamento", questo articolo rimane in forma ridotta (senza spiegazioni tecniche e dettagli) onde evitare che malintenzionati sfruttino ciò che è stato scoperto per propri interessi illegali.
Quando queste saranno corrette, verranno pubblicati i dettagli tecnici ed un video esemplificativo.

Salvatore Aranzulla - http://www.salvatore-aranzulla.com/