Nuovo obiettivo dei pirati informatici e dei perdigiorno che pensano di far fortuna stando davanti ad un computer e basandosi sull’ingenuità della brava gente: entra con tanto di tappeto rosso la Banca di Roma ;)

Si parla di un codice segreto da recuperare in quanto qualcuno ha utilizzato male il form di login per 3 volte di seguito (facendo entrare in funzione il blocco delle credenziali). Ancora una volta ortografia e grammatica non sono “di casa” ed il mittente reale è facilmente individuabile.

Il testo della mail recita:

Gentile Cliente,

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di entrare e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.

Grazie ancora per aver scelto i servizi on-line di Banca di Roma.

Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Considerazioni migliori.

Ho eliminato il collegamento sulla parola “entrare“: porta sul sito contraffatto non ancora chiuso dalle autorità. Per il momento spero vi accontentiate di uno screen dove ho evidenziato tutte le differenze chiave:

clicca per ingrandire

Analizziamo i punti sull’immagine:

1. L’URL non è quello della Banca di Roma (www.bancaroma.it). Molto probabilmente si tratta di una adsl privata ad IP dinamico, sparirà molto presto dalla circolazione.
2. Firefox segnala giustamente che si tratta di un sito contraffatto e vi invita ad abbandonarlo quanto prima. Ho ignorato l’avviso giusto per fare lo screen.
3. Nessuno nota mai le Favicon? Si tratta di quella finezza che non viene considerata generalmente da chi fa l’attacco.
4. Ho visitato la pagina alle ore 17.20 di lunedì 06.01.2008. Come può l’orologio segnare le 10.52 del 03.01.2008?
5. Il tasto DEMO non è più presente nella home page della vera Banca di Roma. Posso supporre si tratti di una vecchia versione di piattaforma (anche solo di qualche giorno fa).
6. Manca un’immagine, il layout non è lineare. Mai una banca farebbe un simile stupido errore. Altra finezza non notata :)

A questo punto non ci sarebbe neanche bisogno di proseguire ma tant’è, ci tengo a farvi dare una occhiata al reale mittente della mail:

From - Mon Jan 07 14:46:25 2008
X-Account-Key: account9
X-UIDL: UID2674-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx9.g.dreamhost.com
Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
by spunkymail-mx9.g.dreamhost.com (Postfix) with ESMTP id 5CC5ED7134
for ; Mon, 7 Jan 2008 05:46:04 -0800 (PST)
Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
SVC(6.0.3790.1830); Mon, 7 Jan 2008 08:49:27 -0500
From: "Banca di Roma spa"
Subject: Banca di Roma garantisce il corretto trattamento
Date: Mon, 7 Jan 2008 08:32:41 -0500
MIME-Version: 1.0
Content-Type: text/html;charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID:
X-OriginalArrivalTime: 07 Jan 2008 13:49:28.0141 (UTC) FILETIME=[1F10E7D0:01C85134]
X-EC0D2A8E-5CB7-4969-9C36-46D859D137BE-PartID: 087AAB5C-5A8F-4554-A419-D78B7A90605B
To: undisclosed-recipients:;
X-Antivirus: avast! (VPS 080106-0, 06/01/2008), Inbound message
X-Antivirus-Status: Clean

Riassumendo:

• Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
• Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
• Subject: Banca di Roma garantisce il corretto trattamento
• X-Mailer: Microsoft Outlook Express 6.00.2600.0000

Il reale mittente spedisce dal server bluestarjets.com (qui le informazioni in merito) che ha IP 38.98.85.249. Il tutto è partito da un Microsoft Outlook (dell’attaccante) presente sul PC con IP 209.178.208.74 e con un oggetto della mail alquanto stupido e improbabile: “Banca di Roma garantisce il corretto trattamento“, sembra quasi che parli una azienda chimica!

Il server di bluestarjets.com monta IIS 6.0 probabilmente non patchato. Secunia riporta qualcosa di interessante in merito ;)

Occhi aperti!

X-Chat è un client IRC compatto, elegante, pratico e gratuito realizzato per Windows e Linux. La pagina di Wikipedia è ricca di informazioni a riguardo, giusto per una infarinatura generale:

it.wikipedia.org/wiki/XChat

Quest’articolo serve solo per farvi conoscere uno script molto utile che permette di minimizzare X-Chat qualora non vogliate avere la sua finestra “in mezzo ai piedi”. Contrariamente al suo fratello maggiore per Windows (mIRC) non è una funzionalità nativa correttamente funzionante (probabilmente colpa della compilazione dei sorgenti o del fatto che l’autore non usi sistemi Windows).

Sono un utilizzatore Windows, perché dovrei pagare X-Chat?

X-Chat per Windows è diventato a pagamento qualche tempo fa. L’autore considera il processo di pacchettizzazione per Windows un compito molto faticoso ed uno spreco di tempo tutto tolto allo sviluppo dell’applicativo. I sorgenti sono e resteranno sempre aperti, gratuiti, utilizzabili da terzi per la modifica e la compilazione su quei sistemi non supportati nativamente.

Silverex.info propone una versione compilata per Windows, stabile, perfettamente funzionante:

silverex.info/news

Scaricare X-Tray per Windows

Una volta installato il client si potrà scaricare il plugin che servirà alla sua minimizzazione:

downloads.gxware.org/index.php?dir=apps/xchat/&file=xtray_1.2.3pr.exe

Il sito (forum in realtà) ufficiale sarebbe questo ma è chiuso (niente supporto, probabilmente niente aggiornamenti futuri) e lascia scaricare la versione 1.2.3 PR in versione ZIP o Installer. Ho fatto una copia di backup nella sezione download di GxWare per sicurezza :)

Installare e usare X-Tray

Già sento i fischi e le imprecazioni: “Come installare? E cosa sono, scemo? Chiunque sa fare doppio clic avanti avanti!“. Effettivamente dovrebbe essere così, peccato che contrariamente alla buona regola di lasciare indirizzi relativi come default negli installer si scelga di metterne uno assoluto che trae in inganno l’utilizzatore di Windows Vista :)

Potete anche non chiudere il client IRC, l’installer non tocca nessun file importante e/o in uso. Lanciando xtray_1.2.3pr.exe si arriverà alla seguente schermata:

Con l’unica differenza che il “2” dopo “X-Chat” è stato aggiunto dal sottoscritto. Occhio quindi, fate anche voi la stessa modifica e procedete (altrimenti fatevi dare una mano dal tasto “Browse…” come mostrato in questa immagine).

Aprite ora X-Chat e selezionate il menu Impostazioni | Preferenze e poi Chatting | Avvisi. Togliete il segno di spunta (se presente) sulla voce “Enable system tray icon” confermando il tutto con OK. Provate ora a ridurre ad icona il programma, il gioco è fatto :)

Buon lavoro :)