Nonostante io mi auguri che nessuno più caschi in questi trucchetti, ci tengo ogni tanto a pubblicare tentativi di phishing che passano anche dalle caselle di posta del sottoscritto, colpendo -la maggior parte delle volte- istituti di credito italiani tra i quali le Poste, ultimamente sempre più in voga, soprattutto quando si parla di PostePay.

Oggi ho ricevuto l’ennesima comunicazione riguardante la necessità di confermare un mio recapito al quale Unicredit potesse mandare tutte le comunicazioni inerenti il mio conto corrente. Partendo dal presupposto che io non sono cliente di Unicredit e che per l’ennesima volta ci si trovasse davanti ad un tentativo di truffa, ho voluto analizzare rapidamente l’attacco, scoprendo un paio di cose interessanti.

La mail che mi è arrivata, sorpassando agilmente i controlli di sicurezza di GMail è questa:

COMUNICAZIONE IMPORTANTE

MODIFICA INDIRIZZO E-MAIL

Gentile Cliente,
dalle nostre verifiche risulta che non hai specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.

Per motivi di sicurezza e per uniformare i nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verrà utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es. e/c online, newsletter, 3D Secure).

Premi QUI per confermare il tuo indirizzo email

Grazie della collaborazione,
Francesca Mazzetti
Servizio Clienti

Un italiano corretto, privo di grossolani errori grammaticali e di forma (considerando il non-formalismo utilizzato nel testo, forse un po’ strano per questo tipo di comunicazioni), fatta eccezione per il “Cliente” con la “C” maiuscola, “Portale” con la “P” maiuscola,  “e/c online” quasi certamente al posto di “c/c online“, il punto mancante alla fine della frase “Premi QUI per …“.

Inutile dire che cliccando dove indicato si viene riportati ad un clone della vecchia interfaccia di login utente di Unicredit, vero?

Questa è la mail originale, header compresi:

Delivered-To: gioxx.gxware@gmail.com
Received: by 10.223.81.68 with SMTP id w4cs206040fak;
        Fri, 4 Nov 2011 06:25:50 -0700 (PDT)
Received: by 10.204.145.151 with SMTP id d23mr12013201bkv.100.1320413148770;
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Return-Path: <me@localhost.com>
Received: from yoda.techtemple.org (yoda.techtemple.org. [78.46.21.8])
        by mx.google.com with ESMTPS id k5si5597359faa.20.2011.11.04.06.25.48
        (version=TLSv1/SSLv3 cipher=OTHER);
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Received-SPF: neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) client-ip=78.46.21.8;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) smtp.mail=me@localhost.com
Received: from localhost (localhost [IPv6:::1])
	by yoda.techtemple.org (Postfix) with ESMTP id 7BD2F99F
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:48 +0100 (CET)
X-Relay-Countries: IT IT **
X-Spam-ASN: AS31034 62.149.128.0/19
X-Virus-Scanned: amavisd-new at yoda.techtemple.org
X-Spam-Flag: YES
X-Spam-Score: 7.332
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.332 tagged_above=0.1 required=5
	tests=[FROM_MISSP_DKIM=0.001, FROM_MISSP_URI=0.001,
	HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=1.996,
	MIME_HTML_ONLY=1.105, RAZOR2_CHECK=1.729, TO_NO_BRKTS_FROM_MSSP=2.499]
	autolearn=no
X-Greylist: from auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from smtpsmart3.aruba.it (smtpweb114.aruba.it [62.149.158.114])
	by yoda.techtemple.org (Postfix) with SMTP id 2B56D99B
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:42 +0100 (CET)
Received: (qmail 15310 invoked by uid 89); 4 Nov 2011 13:25:40 -0000
Received: by simscan 1.2.0 ppid: 14984, pid: 15004, t: 1.3232s
         scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
Received: from unknown (HELO webs2028.aruba.it) (62.149.132.38)
  by smtpsmart3.fe.aruba.it with SMTP; 4 Nov 2011 13:25:39 -0000
Received: from webs2028 ([127.0.0.1]) by webs2028.aruba.it with Microsoft SMTPSVC(7.5.7601.17514);
	 Fri, 4 Nov 2011 14:24:45 +0100
Date: Fri, 04 Nov 2011 14:24:45 +0100
Subject: [SPAM] Comunicazioni: documento n.D946M00153641
To: gioxx@gxware.org
From:UniCredit Banca<info.ucfin@unicreditgroup.it>
Content-Type: text/html
Message-ID: <WEBS20289W1IpMKX9ss00018aee@webs2028.aruba.it>
X-OriginalArrivalTime: 04 Nov 2011 13:24:45.0812 (UTC) FILETIME=[1E9C3340:01CC9AF5]

<HTML>

<BODY>
<DIV
style="Z-INDEX: 0; POSITION: absolute; WIDTH: 758px; HEIGHT: 290px; OVERFLOW: hidden; TOP: 29px; LEFT: 44px"
id=text1>
<DIV>
<DIV><FONT color=#ff0000 face=Arial>COMUNICAZIONE IMPORTANTE
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>MODIFICA INDIRIZZO E-MAIL </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Gentile Cliente, </FONT></DIV>
<DIV><FONT face=Calibri>dalle nostre verifiche risulta che non hai
specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Per motivi di sicurezza e per uniformare i
nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verr&agrave;
utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es.
e/c online, newsletter, 3D Secure). </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Premi </FONT><FONT face=Arial><a href="http://www.privaticartasionline.info/images/web/loginClr_js.htm">QUI</A></FONT><FONT
class=ws11 face=Calibri> per confermare il tuo indirizzo email</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Grazie della collaborazione,</FONT></DIV>
<DIV><FONT face=Calibri>Francesca Mazzetti</FONT></DIV>
<DIV><FONT face=Calibri>Servizio Clienti</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV></DIV></DIV></BODY></HTML>

E queste sono le informazioni riguardanti il sito web al quale si appoggia il tentativo di phishing operato:

Domain ID:D37160236-LRMS
Domain Name:PRIVATICARTASIONLINE.INFO
Created On:11-Mar-2011 15:04:34 UTC
Last Updated On:10-May-2011 20:34:34 UTC
Expiration Date:11-Mar-2012 15:04:34 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. dba PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:contact@privacyprotect.org
Admin ID:PP-SP-001
Admin Name:Domain Admin
Admin Organization:PrivacyProtect.org
Admin Street1:ID#10760, PO Box 16
Admin Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Admin Street3:
Admin City:Nobby Beach
Admin State/Province:
Admin Postal Code:QLD 4218
Admin Country:AU
Admin Phone:+45.36946676
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:contact@privacyprotect.org
Billing ID:PP-SP-001
Billing Name:Domain Admin
Billing Organization:PrivacyProtect.org
Billing Street1:ID#10760, PO Box 16
Billing Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Billing Street3:
Billing City:Nobby Beach
Billing State/Province:
Billing Postal Code:QLD 4218
Billing Country:AU
Billing Phone:+45.36946676
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:contact@privacyprotect.org
Tech ID:PP-SP-001
Tech Name:Domain Admin
Tech Organization:PrivacyProtect.org
Tech Street1:ID#10760, PO Box 16
Tech Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Tech Street3:
Tech City:Nobby Beach
Tech State/Province:
Tech Postal Code:QLD 4218
Tech Country:AU
Tech Phone:+45.36946676
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:contact@privacyprotect.org
Name Server:NS1.HOST-CARE.COM
Name Server:NS2.HOST-CARE.COM

Intelligentemente protetto affinché il reale proprietario non venga dichiarato (basta pagare, è un servizio che ormai offrono in tanti).

La cosa curiosa è che provando a visitare la radice del sito web interessato, si possono scoprire altri due cloni pronti per essere utilizzati: PostePay e CartaSi.

Ho volutamente evitato di segnalarvi in chiaro il sito in questione (anche se lo si può comunque notare dal whois sopra dichiarato) e nel frattempo ho già inviato una segnalazione a Google affinché possa farvi comparire il solito messaggio di sito contraffatto in Firefox o Chrome, qui maggiori informazioni direttamente da Mozilla.

Occhio a quello che visitate! ;-)

Le Poste Italiane hanno da poco rinnovato il loro sito web introducendo quotidianamente piccoli ritocchi grafici per -evidentemente- meglio apparire agli occhi dei suoi clienti e non. Sotto al cofano tutto sommato ciò che serve al cliente resta identico, con la sola esclusione della vecchia PosteMail (gratuita vita natural durante per i clienti BancoPosta, BancoPosta Click e PostePay) che lascia spazio alla nuova “Postemailbox“, gratuita solo per i primi 36 mesi, una PEC nata dagli accordi ormai datati tra governo e questo tipo di istituzioni nel campo dei servizi al cittadino, ne aveva parlato abbondantemente Roberto diverso tempo fa (a tal proposito vi suggerisco di dare un’occhiata al sito web più completo).

Ilaria mi ha chiesto una mano giusto due giorni fa, quando a sua volta non era stata capace di entrare nel sito web delle Poste Italiane per due giorni. Specifico che sia io che lei utilizziamo parecchio l’area clienti BancoPosta per poter tenere d’occhio i conti correnti e spostare denaro all’occorrenza, fare ricariche telefoniche, bonifici, pagamento bollette e bollo auto, quello che qualunque cittadino con un conto corrente ed un’interfaccia web funzionante dovrebbe poter fare.

Il risultato? La mia utenza continua a funzionare correttamente dalla home page di Poste.it, Ilaria viene rimbalzata con un’autenticazione fallita.

Poste.it - Autenticazione fallita

Dopo aver fatto qualche altra prova e partendo dal presupposto che lei conosca bene la sua password (salvata anche in un database KeePass, per sicurezza), ho deciso di sentire qualcuno del call center di Poste Italiane (qui i contatti). Da qui in poi ci è sembrato di vivere un’esperienza dell’altro mondo. Contro l’operatrice convinta dell’assoluta incapacità di Ilaria (e anche della mia, ovviamente) abbiamo provato a scherzarci su dicendo che “a questo punto sarà entrato un uomo misterioso a cambiarmi la password“, scatenando a quel punto l’ira funesta della stessa che ha cominciato a dire quanto fosse sicuro l’accesso al sito delle Poste e di quanto fosse impossibile bucare tali protezioni (beata ignoranza, back in time). Provando a ricostruire un dialogo accettabile siamo riusciti ad ottenere solo l’assoluta incapacità di risolvere il problema posto: “mi dispiace signorina, nel suo contratto non compare il numero di telefono, non posso mandarle un messaggio per il recupero della password“. Inutile dire che sul contratto il numero di cellulare di Ilaria compare chiaramente, vero? Ah, questo è il recupero password di Poste Italiane:

Poste.it - Recupero password via SMS

e questo è il recupero del codice cliente che servirà a sua volta a recuperare l’eventuale nome utente perso:

Poste.it - Recupero codice cliente

Ma a questo punto interviene l’operatrice con il suo intervento davvero risolutivo (… sigh!): dalla home page del sito web bisogna selezionare la tab “Privati” quindi “PosteMail” nel box “Servizi Online“, che nulla ha a che fare con ciò che serve a noi. Indovinate un po’ … anche in questo caso nulla di fatto. Telefonata terminata con un’operatrice scocciata dalla nostra incapacità e l’invito ad andare presso una filiale di Poste Italiane (possibilmente quella dove è stato aperto il conto corrente) per risolvere il problema di persona, nel frattempo son fatti tuoi se non riesci ad accedere ai tuoi soldi da web.

Quello che ho scoperto in autonomia

Affidarsi ad un call-center al sabato pomeriggio è evidentemente controproducente, motivo per il quale ho deciso di approfondire l’argomento e cercare di risolvere il problema. Come? Beh, un paio di modi per aggirare il problema li ho trovati.

Login dalla vecchia PosteMail

Partendo dal suggerimento della poco riposata operatrice, ho ben pensato di passare dalla porta di retro. Da Privati / Servizi Online ho selezionato Postemail, inserito quindi le credenziali di Ilaria per arrivare così alla schermata di avviso della dismissione della vecchia casella di posta elettronica (dimostrando così che le credenziali erano giuste e che la colpa non era certo della nostra incapacità). In barba al passaggio sulla nuova bacheca (che NON funziona e manda in loop la schermata riportando Ilaria alla home page) ho voluto fare accesso alla vecchia Postemail. Da li mi è bastato cliccare su “myPoste” in alto a destra per accedere all’amministrazione del conto corrente. Ecco quindi il primo modo per aggirare l’ostacolo.

Login diretto a BPOL: BancoPosta OnLine

La via più semplice è tanto spesso anche la migliore. Perché quindi passare dalla porta principale se è possibile passare da una porta secondaria diretta? Il sottodominio dedicato a BPOL esiste e funziona ancora perfettamente, perché non sfruttarlo quindi?

https://bancopostaonline.poste.it

Poste.it - Accesso a BPOL

Entrerete così nuovamente in possesso del vostro conto on-line, almeno fino al prossimo fantastico e funzionale aggiornamento da parte del personale di Poste Italiane, lo pensano anche le centinaia di persone che hanno commentato su Facebook :-)

Sono in tanti a conoscere ed utilizzare la carta PostePay, soluzione ricaricabile ideale per pagamenti online (e non solo) teoricamente più sicura di una carta di credito convenzionale grazie al tetto massimo di “euro ricaricabili” (imposto con le nuove carte a 3000 €), nessun conto corrente direttamente collegato, legata solo ad un nome ed un numero “di carta” univoco assegnato all’utilizzatario che può tranquillamente decidere di terminare il credito e metterla da parte / buttarla nel caso in cui non serva più :)

La mia carta, acquistata circa due anni fa, è entrata in rotta di collisione con quel “11/08” nel campo “Valid Thru“. Fase di scadenza, è necessario rinnovarla (la trovo fin troppo comoda, soprattutto con un account PayPal dietro ad ulteriore protezione dei miei acquisti).

Ecco come fare, passo dopo passo spiegato da chi lo ha fatto con successo :P

#1 Call Center – Richiesta di Rinnovo

Prima di cominciare suggerisco di tenere la carta a portata di mano. Per avviare le pratiche di rinnovo ci si rivolge direttamente al Call Center Poste Italiane (niente uffici, niente internet, niente mail) chiamando il numero verde:

800 00 33 22

A questo punto potete decidere di ascoltare la dolce voce dell’operatrice rigorosamente registrata su cassetta o schiacciare in sequenza (chiaramente attendendo i cambi di messaggio) le scelte:

1 – 4 – 1 – 1

la voce registrata chiederà ora il numero della carta prepagata, bisogna inserirlo e attendere la conferma di inoltro chiamata all’operatore che, a sua volta, chiederà:

• numero della carta (si, ancora una volta)
• scadenza della carta
• il vostro nome e cognome (intestatario della carta)
• il vostro attuale indirizzo di residenza

Con un “Conferma” generale dato alla fine di questa richiesta dati l’operatore procederà all’avvio del rinnovo e vi comunicherà che in circa 15 / 20 giorni dovreste ricevere comodamente a casa sia la carta che il codice PIN in spedizioni ovviamente separate per questioni di sicurezza (così come succede per la carta BancoPosta per capirci).

ATTENZIONE: La carta attuale (scaduta o in scadenza) non deve essere buttata, servirà per attivare la nuova!

Teoricamente la lettura di quest post si interrompe qui, ci rivediamo tra una ventina di giorni? :)

#2 Attivazione delle nuova carta

La carta è arrivata a destinazione dopo 20 giorni di attesa circa, giusto l’altra sera ho deciso di attivarla così che mi venissero trasferiti i vecchi fondi sulla nuova e che potessi finalmente ricominciare a fare acquisti tramite PayPal. Il processo è molto simile (chiaramente) a quello per la richiesta nuova carta e non richiede l’intervento di un operatore dall’altra parte della cornetta, viene fatto tutto automaticamente ed istantaneamente.

Bisogna quindi chiamare il numero verde (lo stesso della precedente volta):

800 00 33 22

Appena possibile si può scegliere la successione di scelte che porta al rinnovo, stavolta l’ordine è:

1 – 1 – 2

la voce registrata chiederà ora il numero della vecchia carta prepagata così da poter procedere con la richiesta di rinnovo. Seguono a ruota:

• richiesta della data di nascita del proprietario della carta;
• la sequenza di numeri della nuova carta prepagata (fronte carta, 16 cifre);
• accettazione delle condizioni contrattuali spiegate all’interno del foglio informativo allegato alla nuova carta, nella busta che arriva comodamente a casa vostra, si conferma premendo il tasto 1;
• conferma della precedente risposta (quindi nuovamente tasto 1);

A questo punto la voce registrata comunica che la procedura è stata completata con successo!

Benefit del rinnovo:

• nei 30 giorni successivi al rinnovo le ricariche saranno completamente gratuite (risparmiando 1 euro ad operazione)
• in questo periodo (ma le Poste potrebbero anche prorogare il tutto) c’è un concorso grazie al quale è possibile vincere un viaggio all’estero per due persone (non ricordo bene i dettagli ma tant’è :P)

A questo punto sarà possibile tagliare la vecchia carta (per sicurezza, lo consiglio io e lo consiglia la Posta stessa a fine operazione di rinnovo) e ricominciare ad utilizzare PostePay. Questo perché attraverso il processo automatizzato il credito viene trasferito immediatamente dalla vecchia alla nuova carta.

Sei utilizzatore PayPal? Dovrai andare su paypal.com, autenticarti con mail e password ed inserire poi i dettagli della nuova carta per poter fare nuovi acquisti.

Buon rinnovo! :)