Archivi tag: phishing

Phishing: la class action

pagePare che i cittadini si facciano sempre più furbi nel riconoscere i tentativi di phishing e così anche gli autori devono spremere le loro meningi per ottenere messaggi sempre più credibili e realistici. Lo “stato dell’arte” me lo sono trovato in inbox questa mattina, proveniente dall’indirizzo di un fantomatico “Studio Legale No Profit” dei Fratelli Di Matteo, che invia a “tutti gli italiani” (alla faccia della rubrica!) il modulo da compilare per richiedere il risarcimento di 1000 euro a fronte dell’ingiustificata pubblicazione dell’elenco dei contribuenti pubblicati dall’Agenzia delle Entrate.

Riporto il testo della mail:

ROMA li 10/06/2008

Alla cortese attenzione dei Cittadini Italiani,

Dopo la decisione del Garante per la Privacy sulla vicenda dell’elenco dei contribuenti pubblicato sul sito dell’Agenzia delle Entrate, abbiamo il piacere di informarvi che abbiamo vinto la battaglia.

Alla luce del provvedimento del Garante, milioni di Cittadini Italiani i cui dati sensibili sono stati violati, possono finalmente ottenere il risarcimento dei danni subiti.

Per tale motivo abbiamo predisposto il modulo in allegato che tutti i cittadini Italiani devono scaricare, compilare, e inviare per ricevere l’immediato risarcimento di 1.000 Euro

per ciascun familiare per la grave violazione della privacy subita.

Distinti Saluti.

Avv. Claudio Corbetta

Studio Legale No Profit
Viale Matteotti 145
00195 Roma
Tel. 06 7158031
Fax. 06 7175323

Notevole la cura con cui è stata scritta questa mail: buono l’italiano, termini contestualizzati, addirittura riferimenti finali con indirizzo e numeri di telefono. Un minimo di attenzione, però (fondamentale come sempre quando si parla di email), ci porta ad alcune considerazioni

  1. “alcuni milioni di italiani”, “1000 euro”: rapido calcolo, fanno miliardi di euro in rimborsi. Sembra possibile che uno Stato così impantanato in problemi economici possa cacciare una simile somma senza battere ciglio, senza dilazionare, senza che vi sia il solito “aita aita” generale dei mass media? (E anche fosse, ci converrebbe come cittadini italiani chiedere un rimborso di questa entità?)
  2. “che tutti i cittadini italiani devono scaricare”: devono o possono? Mi sembra piuttosto curioso il termine usato, unica pecca nell’altrimenti ben fatto corpo del messaggio.
  3. La spiegazione sulle procedure sono un po’ troppo limitate, non sembra? Si parla di “ciascun familiare”: compresi i neonati e bambini sotto i 18 anni, i cui redditi non sono stati pubblicati? Pare piuttosto curioso…
  4. Una rapida ricerca su Google e Pagine Bianche ci informa che non solo i due numeri elencati in firma (fax e telefono) non sono rintracciabili (cosa che potrebbe anche essere, nel caso in cui ne fosse fatta esplicita richiesta, ma piuttosto curiosa per uno studio legale), ma soprattutto che non esiste nessuno studio legale “Fratelli Di Matteo”.
  5. Inutile dire che l’allegato, più che un modulo (che avrebbe estensione .doc o .pdf), sembra un eseguibile (.exe) e come tale va evitato come la peste.

Come al solito, il consiglio è di usare la testa, su tutti i messaggi di posta che arrivano, soprattutto quando invitano ad aprire link a pagine web e/o allegati di qualsiasi forma…

Annunci

Phishing: la multa per divieto di sosta

Multa al canto I tentativi di phishing si moltiplicano, negli ultimi tempi. Spesso e volentieri sono fatti talmente male da risultare poco pià che ridicoli; alle volte invece, ci si trova a ricevere qualcosa di più curato, quasi decente.

Il problema grosso, in questi casi, è che gli utenti meno esperti hanno (ancora) come comportamento istintivo quello di aprire gli allegati senza leggere e valutare approfonditamente il contenuto della mail ricevuta, esponendo così se stessi (e gli altri “abitanti” della loro rete) ad una pericolosa minaccia.

Un buon esempio di questo genere di email l’ho ricevuto qualche giorno fà, e ve lo riporto:

La presente per notificarle la sanzione applicata per “divieto di sosta” in data 02 Maggio 2008.

Articolo contestato n° 141

E’ obbligo del conducente regolare la velocità del veicolo in modo che, avuto riguardo alle caratteristiche,
allo stato ed al carico del veicolo stesso, alle caratteristiche e alle condizioni della strada e del traffico e ad ogni altra circostanza di qualsiasi natura, sia evitato ogni pericolo per la sicurezza delle persone e delle cose ed ogni altra causa di disordine per la circolazione.

In allegato :

– Documentazione verbalizzata.
– Immagini di ripresa del veicolo.
– Documentazione di contestazione.
– Conteggio punti patente.

Siete pregati di prendere visione di quanto in allegato ed agire di conseguenza entro e non oltre 15 giorni dal ricevimento della presente.

____________________________________________________________________________________________

Qualora volesse opporsi a tale sanzione in allegato trova il modulo riferito alla sentenza di cassazione del 20 Luglio 2001 NR 9909 la quale sminuisce la presunzione di veridicità dei fatti attestati come avvenuti in assenza di verbalizzanti ( immagine ripresa con mezzi digitali ( autovelox ).

Seguirà raccomandata al suo indirizzo.

Inutile dire che l’allegato contiene un bel malware di quelli simpatici.

Gli errori sono diversi, ma piuttosto ben nascosti. La regola è sempre la stessa: usate il cervello.

  1. Come può la Polizia Stradale associare un mio indirizzo di posta elettronica al sottoscritto? E soprattutto, quale dei tanti sarebbe “autoritativo”? Considerate che non è ammesso errore, visto che in allegato sarebbe presente la foto del reato (che oltretutto non viene neppure inviata nella versione “postale”!). Servirebbe quindi una qualche forma di certificazione d’appartenenza delle email, cosa di fatto non presente in Italia.
  2. Se anche la Polizia Stradale avesse il mio indirizzo email, e avesse pensato di inviarmi comunicazione della multa ricevuta via mail (non si sarebbe saputo dai giornali, di una simile iniziativa? Sappiamo tutti che su queste cazzate ci sguazzano…), non avrebbe quantomeno intestato la mail, indicando il mio nome e cognome?
  3. Rimane naturalmente il problema del recapito: sul recapito delle email non v’è certezza (al contrario della posta raccomandata), per come il protocollo in sé è fatto (quante volte vi capita che una mail “vada persa”?). Si potrebbe affidare, un organo come la Polizia Stradale, ad un mezzo così inaffidabile? Per che motivo poi abbandonare la classica posta ordinaria, che funziona tanto bene?
  4. C’è bisogno di inviare uno zip, per una foto (che se è un jpg è oltretutto già compressa) e un paio di documenti?
  5. Ultima e più divertente delle cose: mi viene contestato un “divieto di sosta”, e l’articolo citato (e riportato) parla di “adattare la velocità al carico ed alle condizioni stradali”… c’è qualcosa che non quadra?

Insomma, usando la testa appare immediatamente chiaro come si tratti di un messaggio di phishing, per quanto ben congegnato. Occhi aperti…

Mi cascano le braccia

virus Quando ieri mattina sono finito di fronte a questo articolo del Corriere della Sera, avevo pensato ad un hoax (non sarebbe certo la prima volta che un giornale ne pubblica uno). Non so se ci sia lo zampino di qualche burlone, ma per qualcuno che di sicurezza informatica qualcosa ne capisce (ma anche chi no, come il sottoscritto), appaiono lampanti una serie di strafalcioni davvero allucinanti. Mi limiterò a quelli principali, per non portare via troppo tempo ai lettori, che sicuramente avranno di meglio.

  1. Non è vero che “non assistiamo da un po’ ad un attacco di un virus informatico su vasta scala” perché è in corso (da anni poi) un altro genere di attacco informatico. Molto più semplicemente, la diffusione dei software antivirus e la disponibilità della banda larga (e quindi di aggiornamenti più pronti) ha fatto si che alle larghe epidemie si sostituiscano epidemie più limitate nella durata (e quindi nella diffusione), ma in numero maggiore.
    Inoltre l’abitudine (seppur poca) degli utenti a distinguere le mail di spam o virus da quelle originali (aiutati sotto questo profilo anche dal perfezionarsi dei sistemi antispam), aiuta ulteriormente la riduzione delle infezioni.
  2. Exploit” in sé non è “il nome della nuova minaccia“. Il bello è che la definizione riportata dalla pagina di Wikipedia (“un exploit è un termine usato in informatica per identificare un metodo che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi o al denial of service di un computer“) è pure li, copiata ed incollata pari pari in testa all’articolo (terza riga), e invece tre righe dopo il significato di “exploit” cambia, diventando “nome proprio” della minaccia. Il concetto torna in gioco poche righe più tardi, con la frase “il fenomeno exploit ha già infettato oltre 70 milioni di pc nel mondo“: inutile dire che gli exploit (per definizione) non provocano un’infezione, al limite aprono la strada. E’ come dire che “l’aria sta in questi giorni infettando gli italiani, dopo che l’influenza ormai è da archiviare come tipologia di epidemie superata”.
    Alla fine dell’articolo, ovviamente, l’exploit diventa una “nuova tipologia di virus”: camaleontico questo exploit!
  3. Interessante la teoria secondo la quale gli “exploit” rappresentino una “nuova categoria” di attacchi informatici, “che non opera secondo le modalità terroristiche dei virus attivi fino a 4-5 anni fa” (e quelli che abbiamo visto girare fino a ieri, cos’erano?), i quali “distruggevano il contenuto degli hard disk o della posta elettronica o che bloccavano o cancellavano le pagine web di siti celebri” (o, aggiungerei io, più spesso si spedivano in giro per la rete, magari sottoforma di messaggi di posta elettronica composti a partire da quelli esistenti, con evidente perdita di dati sensibili). La domanda sorge spontanea: se non sfruttando degli exploit, come si introducevano quei virus “terroristici” all’interno dei client degli utenti? Con la forza del pensiero o con il teletrasporto?
  4. Molto bella e pittoresca l’immagine dell’exploit Arsenio Lupin che rimane nascosto (dove non si sa) per mesi (in attesa di?), prima di attaccare fulmineo e “rubare tutti i dati sensibili” (come se non ci pensassero già le migliaia di malware che ogni utente windows/internet explorer accumula quotidianamente andandosene in giro per il web).
  5. La drammatica descrizione, poi, dei danni che questo nuovo “tipo di virus” sarebbe in grado di arrecare, è davvero carina: nel caso in cui nel pc non ci siano dati sensibili da cui ricavare denaro (tipo numeri di carte di credito), il virus “corromperà le tradizionali ricerche effettuate sui più noti motori di ricerca , per portare il navigatore in siti già infettati o in siti copia di siti esistenti, dove l’utente ignaro consegna i dati della propria carta di credito convinto magari di fare acquisti in un sito affidabile“. Phishing questo sconosciuto? Eppure è un fenomeno che (almeno i giornalisti chiamati a scrivere di informatica) dovrebbero aver ormai assimilato…

L’impressione, alla fin della fiera (e preso atto delle continue citazioni a Grisoft, AVG, alla sua nuova “beta 8” ed alle funzionalità di Safe Search e Safe Surf che guarda caso proprio questo software incorpora), è che si tratti di uno spudorato tentativo di lancio commerciale tramite un articolo (magari nemmeno voluto) e messo in mano a qualcuno che della questione ha capito poco…

Dal Corriere, onestamente, mi aspettavo qualcosa di più…

Ci vuole la testa

phishing Contro il phishing, i virus, i malware, lo spam, tutti stanno cercando di dare il proprio contributo.
Lo fa Google, che elimina dai propri database i risultati delle ricerche che terminano su siti di frodi o di phishing. Lo fanno i browser, che implementano sistemi di antiphishing, più o meno efficaci, che avvertono l’utente della possibilità di trovarsi di fronte ad un’imitazione di un sito reale. Lo fanno i client di posta elettronica, gli applicativi di “sicurezza” (di vario genere), lo fanno alcuni client di instant-messaging… insomma, lo fanno un po’ tutti.

Eppure, il phishing continua a dilagare, con numeri che fanno impressione: oltre 23000 siti di phishing vengono segnalati ogni mese, ed è una statistica che si ripete ormai da parecchio tempo. E se il fenomeno non è in calo, nonostante tutti questi interventi, allora forse il problema sta altrove.

E quando da un cliente ti trovi a fare dialoghi di questo tipo:

Utente: “Ma le Poste mi stanno proprio rompendo con ‘ste email… che poi io non ho nemmeno il conto da loro!”
Giacomo: “Guarda che non sono le poste che mandano quelle mail, è spam…”
Utente: “… ma come! Ha pure lo sfondo giallo!”

ti dici che in effetti sarebbe bene che anche gli utenti finali cominciassero ad usare la testa, e che se poi li prendono per il culo fregandogli milioni di euro dal conto in banca, in fondo, è selezione naturale