Poste Italiane corregge le falle pubblicate da i-dome.com

Qualche giorno fa abbiamo pubblicato un articolo in cui si evidenziava come Poste Italiane presentasse problemi di sicurezza nel proprio sito web. Abbiamo inoltre evidenziato come fosse possibile mettere in atto truffe on-line usando il sito originale (!) di Poste Italiane.
Nonostante vari tentativi, Salvatore Aranzulla non era riuscito a raggiungere alcun contatto tecnico in Poste Italiane a cui segnalare tali problematiche, limitandosi quindi ad una segnalazione al servizio clienti dal quale non ebbe alcun riscontro.
Solo in seguito alla pubblicazione sul nostro quotidiano della scoperta di Salvatore, il reparto tecnico di PosteCom ha risolto il problema grazie il contributo del mitico Salvatore e complimentandosi personalmente con il giovane divulgatore informatico.

La correttezza di Aranzulla lo aveva portato a non descrivere i passaggi tecnici necessari per effettuare la truffa sul sito omonimo delle Poste Italiane. Ne tantomeno i-dome.com aveva pubblicato il video che testimoniava la reale possibilità di eseguire operazioni poco ortodosse.
Ora che le Poste Italiane hanno risolto il problema, può risultare utile pubblicare le tecniche truffaldine per capire dove si trovavano e come potevano essere applicate per realizzare una truffa on-line. Salvatore ha realizzato questo filmato (richiede Divx) in cui viene mostrato come veniva messo in atto una truffa a tutti gli effetti.

Tecnicamente parlando

Poste Italiane usa il seguente sistema di redirect, quando un cliente identificato al sistema vuole uscire dal proprio conto Banco Posta, portando l’utente nell’indirizzo indicato in goto.
https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto= http://www.sito-internet.it

Prima della correzione non veniva tuttavia effettuato alcun controllo sulla destinazione, che avrebbe poturo essere costituita anche da un sito truffaldino, legittimato dalla prima parte dell’indirizzo, che riporta il sito originale. Da notare era anche la connessione cifrata (https).

L’indirizzo del sito truffaldino poteva essere anche proposto in un formato di difficile compresione, come in ASCII esadecimale preceduto dal segno di percentuale.
Ad esempio:
https://bancopostaonline.poste.it/bpol/comuni/bpollogoff.asp?goto= %68%74%74%70%3A%2F%2F%77%77%77%2E%73%69 %74%6F%2D%69%6E%74%65%72%6E%65%74%2E%69%74

Questo sistema di redirect avrebbe potuto essere usato per reindirizzare un utente su un sito esterno e truffaldino, anche se i filtri anti-phishing avrebbero potuto bloccare il sito illegittimo. Ma per chi non avesse avuto un sistema anti-phishing, quali probabilità avrebbe avuto di cadere nella rete?

Salvatore ha però scovato invece un’altra falla, in un altro sito di Poste Italiane.
Il problema risiede nel sottodominio escrivimi.poste.it, dove è presente la pagina NavCategory.jsp. Nella pagina NavCategory.jsp, la variabile cat (NavCategory.jsp?cat=) non è filtrata permettendo l’inserimento di codice Javascript.

Inserendo opportuno codice Javascript è possibile modificare la pagina originale di Poste Italiane, creando un modulo uguale a quello di accesso al proprio conto Banco Posta, i cui dati però andrebbero a finire nelle mani dei truffatori.
Un indirizzo esemplificativo della falla è il seguente. Se si osserva il codice HTML della pagina, il testo della variabile cat viene inserito nell’indirizzo (src) dell’immagine. Per attuare il codice Javascript, viene inserito l’indirizzo di una immagine inesistente, che darà seguito all’evento onError.

http://escrivimi.poste.it/NavCategory.jsp?cat=tests%22%20onErro r%3D”alert(’BUG’);//

"Capitan Aranzulla" ha risolto un altro caso ...