Questa volta il phishing è stato fatto in maniera attenta. Il messaggio che sta arrivando in queste ore a molti utenti afferma che, dato il sovraccarico dei server, UniCredit Banca sta testando un nuovo indirizzo web (www.unicreditsbanca.com). Ovviamente i clienti sono invitati a inserire il loro username e password sul sito del nuovo indirizzo, e altrettanto ovviamente si tratta di una truffa bella e buona.
Il sito del phishing (211.168.106.163) si trova presumibilmente in Corea. Il messaggio, almeno nei casi che ho avuto modo di controllare di persona, arriva da un IP cinese.
Ecco il testo del messaggio:
Egregi clienti della banca UniCredit Banca via Internet Imprese, Vi informiamo
che in relazione al sovraccarico del nostro generale server http://www.unicreditbanca.it
la nostra zona tecnice e allargata con l'aggiunta di nuovo server attualmente
nella fase di test. L'indirizzo fisso del nuovo web server del servizio
online banking - www.unicreditsbanca.com
Tutti i clienti devono essere soggetti alla procedura obbligatoria d'autenticazione
al nuovo server per far transferire i Vostri dati d'utente con successo
alla base dei dati del nuovo piu protetto server del servizio online banking.
1. Aprite la web pagina http://www.unicreditsbanca.com
2. Entrate nel Vostro conto ondine usando la combinazione Codice i Pin.
3. Per evitare la perdita dei Vostri dati personali e per la protezione
contro assalti di "Phishing" si prega di sempre chiudere la finestra del
Vostro Internet Browser al termine di lavori con la banca ondine.
Distinti saluti, il servizio d'assistenza tecnica della banca ondine UniCredit.
Curiosamente, sul sito-truffa compare un avviso che invita gli utenti a non seguire i consigli dei messaggi di phishing. Questo perché il finto sito di UniCredit Banca copia le immagini direttamente dal sito originale.
Aggiornamento (20:21)
Oltre a scrivere la notizia sul blog, ho segnalato il problema a un mio amico che lavora in UniCredit Banca, che ovviamente era già a conoscenza del fatto. Poiché il sito-truffa usa link a immagini presenti sul vero server della banca, nella mia e-mail ho suggerito ai loro tecnici di variare le immagini del sito "originale" a seconda del http_referer (il sito di provenienza) modificandole con un warning nel caso il referer coincidesse con il falso sito, e facendo così apparire dei segnali di avvertimento sul sito di phishing. Il mio corrispondente non ha neanche fatto in tempo a leggere l'email, che i tecnici di UniCredit Banca hanno avuto la stessa identica idea, e in brevissimo tempo hanno messo in atto la trappola: ora sul falso sito appaiono diverse immagini che contengono la parola "CRACKED" a grandi lettere (immagine a fianco).
Sinceri complimenti ai tecnici di UniCredit per la rapidità!
Aggiornamento (20:53)
Naturalmente i phisher non hanno tardato a modificare di nuovo le immagini facendole sembrare reali (questa volta copiandole direttamente sul proprio server). Ora il sito-truffa ha nuovamente una parvenza di legalità, e il compito di chiuderlo spetterà adesso al provider coreano, ma che io sappia questo è stato il primo caso in cui una banca si è difesa attaccando direttamente il sito di phishing, anche se solo per pochi minuti.
Stanno diventando sempre più frequenti i messaggi di spam come quello mostrato qui a fianco.
