Rieccolo, il phishing delle Poste...

Lunedì ho ricevuto, dal mittente apparente postepay@poste.it, un e-mail il cui oggetto era Concorso Riparty con Postepay. Ecco il corpo del messaggio, debitamente "censurato" per motivi di privacy... ;-) (La forma lascia un tantino a desiderare... ma, rispetto allo spammer che mi scrisse «Basta pagare troppissimo per cronometri di classe aristocratica», per fare un esempio fra tanti, l'autore di quanto segue è il Manzoni redivivo! :-))

Gentile sig. [Nome],
Le informiamo che sei uno dei vincitori del nostro concorso mensile "Riparty con Postepay". Il premio di questo mese per i 5 vincitori è una ricarica di 150 euro per ogni vincitore.
Per ottenere il premio è necessario accedere al nuovo sito Postepay e confermare che tu, [Nome] sei il titolare della carta di credito Visa 4023-60XX-XXXX-XXXX.
Accedi al sito Postepay seguendo il link fornito all'interno di questa e-mail.
https://www.postepay.it
*Partecipano alle estrazioni mensili tutti i titolari che avranno effettuato almeno una transazione Visa nel mese precedente. Sono incluse tutte le transazioni effettuate sul circuito Postamat o sul circuito Visa (es. ricarica carta, pagamento bollettini, pagamenti on-line sui siti web inseriti nel circuito Visa, o altri acquisti sul sito www.poste.it o presso gli uffici postali)
Montepremi complessivo indicativo di . 11.449,00.

Tutto questo puzzava di spam, anzi di phishing, lontano un miglio, per varie ragioni:

• tanto per cominciare, mi risultava che «Poste Italiane non chiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali, i dati delle carte di credito o della carta Postepay»;
• inoltre mi è bastato passare il cursore del mouse sul link contenuto nel messaggio per notare che esso non puntava affatto a https://www.postepay.it, bensì a un URL camuffato mediante il diffuso servizio di URL shortening bit.ly;
• ciliegina sulla torta, pur possedendo effettivamente una carta Postepay (e questo gli spammer non possono saperlo... ma tanto loro adottano la ben nota strategia denominata "'ndo' cojo cojo" ;-)), la sottoscritta era però priva dei requisiti di partecipazione al concorso "Riparty con Postepay" (che esiste davvero): non solo la mia carta Postepay l'ho rinnovata più di un anno fa, ma sono alcuni mesi che non la utilizzo, e quindi non avrei potuto partecipare all'estrazione mensile.

Quel messaggio presentava però alcune caratteristiche che mi hanno insospettito:

• per prima cosa appariva decisamente mirato, poiché è arrivato al mio indirizzo @poste.it, e non a quello @tin.it oppure a quello @katamail.com come accade per altri messaggi ancor più palesemente fasulli... ma non necessariamente ciò vuol dire qualcosa, poiché tutti i miei indirizzi sono stati prima o poi bersagliati in qualche misura dallo spam;
• il [Nome] indicato nel testo era effettivamente quello con cui sono registrata su Poste.it... però a pensarci bene esso è legato in maniera biunivoca al relativo username, nel senso che, individuato uno dei due, l'altro ne deriva in modo immediato;
• ma soprattutto, le sei cifre "in chiaro" contenute nel numero della carta di credito sono effettivamente le prime sei cifre del numero della mia carta Postepay!

Il mio primo pensiero è stato: non è che qualche pirata informatico è riuscito in qualche modo ad intercettare il mio username e il numero della mia carta, e a questo punto cerca di estorcermi anche la password perché è l'unica cosa che gli manca per entrare nel mio account e ripulire tutto? (Stiamo parlando di cifre da capogiro, eh: sulla ricaricabile ho un credito di una quindicina di euro, al momento! ;-))
A questo punto, dopo aver cambiato per sicurezza la password di accesso (ed era pure ora!), mi sono rivolta al forum della community Postepay, nel quale era già stata aperta una discussione su questo genere di truffe, e gli utenti che mi hanno risposto mi hanno tranquillizzata su tutta la linea:

• innanzitutto ho avuto la conferma che, se evito di digitare i miei dati in siti raggiungibili tramite link sospetti, non corro alcun rischio... fermo restando che l'unico modo sicuro per accedere al sito delle Poste è digitare www.poste.it nella barra degli indirizzi, o al limite richiamare l'URL dai Segnalibri del browser;
• ma soprattutto, ecco spiegato il mistero delle prime sei cifre della carta indovinate: «Le prima 6 cifre delle postepay sono quasi tutte 4023 60 per cui usano quei sei numeri perche cosi azzeccano il 99%». Hai capito l'astuzia diabolica di quei bastardi! In effetti avrei dovuto pensarci, dal momento che pure la mia vecchia carta, quella che ho sostituito con l'attuale, aveva la stessa particolarità... ma il panico non è mai un buon consigliere.

Mi piacerebbe che questo post servisse a mettere in guardia qualcuno che dovesse trovarsi in situazioni analoghe. In ogni caso, vale la pena di fare un giretto nello spazio di Poste Italiane dedicato alla sicurezza online... senza comunque sottovalutare l'importanza di affidarsi a programmi sicuri quando si naviga in Rete. Nel mio caso, Mozilla Thunderbird (il mio client di posta elettronica) mi aveva prontamente segnalato che «Questo messaggio potrebbe essere una frode»...

... e quando ho cliccato sul link contenuto nell'e-mail (ebbene sì, l'ho fatto... ma soltanto perché sapevo bene quello che stavo facendo! ;-)) ha visualizzato quest'altro avviso facendomi notare che il link stava «cercando di far aprire delle pagine diverse da quelle che sembrerebbe».

Ho comunque cliccato su Sì... e a questo punto si è aperta una nuova scheda nel browser, Mozilla Firefox, informandomi che il sito era stato segnalato come contraffatto ed era stato bloccato sulla base delle impostazioni di sicurezza.

Beh, a questo punto ho investigato a sufficienza, mi sono detta... basta così, meglio non tirare troppo la corda! ;-)