Il taccuino di Armando Leotta Rotating Header Image

poste italiane

Polimi e il phishing “accademico” di poste italiane

Ennesima ondata di phishing del sito di poste italiane.

Questo il messaggio:

Il messaggio incriminato

Il messaggio incriminato

Indubbiamente è scritto in un italiano sempre migliore rispetto ai primi rudimentali tentativi di anni fa. Continuano a non capire che la lingua italiana prevede dei caratteri accentati che non riescono a riprodurre probabilmente per via del set di caratteri impiegato.

Quello che lascia perplesso è invece il link che viene realmente raggiunto se l’incauto utente clicca sul collegamento consigliato nel messaggio:

Da notare l'indirizzo nella status bar

Da notare l'indirizzo nella status bar

Stralcio del sorgente HTML della mail:

Per permetterti di effettuare le tue operazioni online in
<strong>assoluta sicurezza</strong>, BancoPosta ha creato
per te Il servizio SMS che ti permette di tenere sempre sotto
controllo il tuo Conto BancoPosta o la tua Postepay, ovunque
ti trovi. <br /> <br /> Se sei titolare di Conto BancoPosta o
di una carta Postepay e vuoi tenerne sempre sotto controllo
il saldo e l'operativita attraverso il tuo cellulare, puoi attivar
gratuitamente <strong>SIMply, l'innovativo servizio SMS di Poste
Italiane.</strong><br /><strong>Come funziona</strong>
<br>Controllare il tuo saldo, i movimenti del tuo conto BancoPosta
o della tua carta Postepay da oggi e ancora piu facile grazie a
SIMply, il servizio SMS di Poste Italiane che permette di essere
sempre informati circa l'operativita del conto grazie ad un
<strong>sistema di avvisi via SMS.</strong> Il servizio e attivo
tutti i giorni, festivi compresi.<br><strong>Come attivare il
servizio</strong><br> Richiederlo collegandoti al sito
<a href="http://www.isf.polimi.it/poste.php"><strong></strong>
https://www.poste.it/SIMplyBANCOPOSTA/</a>
 </br> 

Dal “Chi siamo” di www.isf.polimi.it, Ingegneria Senza Frontiere del Politecnico di Milano:

Ingegneria senza frontiere (ISF-MI) nasce nel 2004 per volontà di alcuni ex studenti di diversa provenienza universitaria (Politecnico di Milano, Università Bocconi e Università degli Studi di Milano), accomunati da importanti esperienze di cooperazione e sviluppo, avvenute in diversi contesti: Università, Associazioni di Volontariato, Organizzazioni Non Governative, Imprese.
Oggi, ISF-MI è un organismo non-profit ed ha avviato le pratiche per il riconoscimento dello stato di ONG: l’associazione fonda le proprie radici nella partnership inter-generazionale costituita da professionisti e giovani di matrice culturale scientifica, impegnati a favorire la realizzazione di uno sviluppo sostenibile.

Per fortuna, il sito per cui l’url http://www.isf.polimi.it/poste.php fa da ponte (e cioè http://www.poste.it.server-pt.in/online/personale.login-home/TYPE=33554433&REALMOID=/index.php ) è già identificata come sito contraffatto.

Sito reale di destinazione: già identificato come contraffatto

Sito reale di destinazione: già identificato come contraffatto

Pericoli quindi contenuti per l’utente attento ma viene da chiedersi come mai questi impostori sono liberi di usare impunemente una pagina ospitata su una rete d’eccellenza come quella del Politecnico di Milano.

Come hanno fatto ad inserirla? Come mai nella struttura Polimi non si sono accorti di questo ponte? Da quanto esiste? Se il sito è stato manomesso per inserire questo codice php e non se ne sono accorti, cos’altro non hanno notato?

_____
Clusit

Bucato il sito di Poste Italiane

Sito delle Poste italiane violate

Sito delle Poste italiane violate

E’ stato violato il sito delle Poste Italiane.

Ecco la pagina ancora visibile sulla cache di Google:

Sito poste.it

Sito poste.it

Vediamo adesso, ahimè, i livelli di servizio che riusciranno ad onorare nonchè l’attenzione che pongono alla sicurezza delle informazioni nonchè gli investimenti nel settore sicurezza.

*********UPDATE************

Dalla copia della cache di google si nota che alle 18.33 il sito era già stato bucato (vedi screenshot qui).

Fino a tarda notte il tam tam viaggiava sui social network (quiqui su friendfeed e qui su twitter ad esempio) ed il sito era ancora irraggiungibile: sebbene non operativo era stata rimossa la pagina dimostrativa a favore di un mesto 404 (vedi screeshot di un google impietoso):

Google con chiave "poste italiane"

Google con chiave "poste italiane"

Ecco un’agenzia APCom di stamattina dove si specifica che la polizia postale sta svolgendo le indagini del caso.

Singolare e amara la notizia in prima pagina del sito delle poste che fa riferimento alla nuova partnership internazionale siglata da Poste Italiane a Ginevra per la Cyber Security: verrebbe da pensare che non sia servita a molto in questo caso.

*******UPDATE*******

Altri spunti di riflessione: http://www.ideama.it/blog… e http://unu1234567.baywords.com/2009/09/05/poste-italiane-hacked-sql-injection/

_____
Clusit