Dopo l’email fasulla di Google AdWords ricevuta a novembre 2008, qualche ora fa arriva nella mia casella di posta un messaggio apparentemente innocuo, che passa i vari filtri antispam, sia sul server a monte che SpamSieve a valle:

Da: sicurezza@posteitaliane.it
Oggetto: Aggiorna il tuo conto on-line di Poste Italiane
Data: 19 maggio 2009 19:59:40 GMT+02:00
A: Riccardo Mori

[Logo Poste Italiane]

Caro cliente,

Nell’ambito di un progetto di verifica dei dati anagrafici forniti durante
la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una
incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all
momento della sottoscrizine contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione di
servizio secondo gli art. 135 e 137/c da Lei accettati al momento della
sottoscrizione, oltre a costituire reato penalmente perseguibile secondo
il C.P.P. ar. 415 del 2001 relativa alla legge contro il riciclaggio e la
trasparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati
relativi all’anagrafica dell’Intestatario dei servizi Postali.
Effettuare l’aggiornamento dei dati cliccando sul seguente collegamento
sicuro:

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali saluti,
© Poste italiane
| Contattaci | Privacy | Mappa | Trasparenza bancaria | Forniture e gare | Scadenzario fiscale | © Poste italiane 2009

Distratto dalle cento cose che sto facendo, ci stavo quasi cascando. È che con il cambio di residenza, con il fatto che sono titolare di una carta PostePay sottoscritta anni fa e dimenticata in qualche cassetto con le scartoffie annesse, quel che dice questa email poteva anche essere vero.

È un messaggio ben confezionato:

• Non è particolarmente sgrammaticato o scorretto (i messaggi di phishing mal scritti in italiano si riconoscono all’istante). Un indizio per l’occhio attento e non distratto è il fatto che mancano gli accenti dove andrebbero, e ci sono un paio di errori di battitura.
• Il link in calce al messaggio appare legittimo, e probabilmente è copiato pari pari dal vero sito delle Poste Italiane. (Così come il messaggio stesso, immagino).
• I link sotto la firma (Contattaci, Privacy, Mappa, e così via) portano tutti al vero sito delle Poste Italiane.

Insomma, tutto è congegnato per apparire genuino. Tuttavia non è un lavoro perfetto. Primo indizio che insospettisce è l’indirizzo email che compare nel campo ‘Rispondi a:’ 003642(@)rocketmail.com. Basta poi visualizzare gli header e il messaggio in formato sorgente per scoprire le magagne:

• Il link https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp punta invece a un sito, dnzsm.com, che non ha nulla a che vedere con le Poste.
• Il server di provenienza ha IP 94.99.53.254, che si trova a Riyadh, Arabia Saudita.

Come scrivevo lo scorso novembre, i consigli per evitare di cadere vittima di attacchi di phishing sono sempre quelli: cercare di vedere dove portano davvero i link (in Mail è sufficiente passare col puntatore del mouse sopra il link e dovrebbe apparire il vero URL nell’etichetta gialla in sovraimpressione (tooltip). Esaminare gli header e visualizzare il messaggio in formato sorgente, in modo da vedere il codice HTML. In Mail il comando è Vista > Messaggio > Formato sorgente (⌥-⌘-U). Effettuare un whois di qualsiasi numero IP che appare nei campi ‘Received: from’. Un nuovo strumento facile da usare per questo genere di interrogazioni è Wolfram|Alpha: si mette il numero IP nel campo di ricerca e il risultato è chiaro e immediato.

E tenere sempre acceso il buonsenso: mai rispondere a un messaggio che richiede l’inserimento di dati sensibili, specie finanziari, e di password. Se ci sono davvero problemi con la banca, con la finanziaria, con le poste, con la compagnia di carta di credito, tutte queste entità hanno sistemi differenziati e a ‘bassa tecnologia’ per comunicare con noi: ci contattano ripetutamente per telefono, inviano raccomandate, e in genere si mettono in condizione di presentare le loro credenziali in maniera più sicura e coerente di una semplice email.