Tra le numerose email di spam che ogni giorno invadono la nostra casella di posta elettronica una delle più comuni è quella relativa alle carte prepagate Postepay di Poste Italiane. Questo tipo di messaggi sono chiaramente truffaldini, cioè si tratta di un vero e proprio caso di phishing. Il loro scopo è quello di riuscire ad ottenere dall’utente, oltre che le credenziali di accesso allo spazio Web di Poste Italiane, i codici identificativi della carta (numero della carta, data di scadenza e codice di sicurezza CVV), in modo da poter rubare l’intero credito in essa contenuto.

Ecco il testo del messaggio:

Oggetto: AVVISO - Nuovo sistema Sicurezza Web Postepay
Gentile cliente

ti ricordiamo che è disponibile il nuovo sistema di Sicurezza Web
per eseguire, con maggiore sicurezza e affidabilità, le
operazioni di ricarica Postepay, ricarica telefonica e pagamento
bollettini effettuate con la tua Postepay sui siti di Poste
Italiane. Per autorizzare le operazioni dispositive potrai
utilizzare una password usa e getta che riceverai via sms al
momento dell’operazione direttamente sul tuo telefono cellulare
associato alla carta.

Vi preghiamo di compilare il modulo aggiunto.

Grazie per la collaborazione.

Come possiamo notare, non sono presenti nel testo grossolani errori di grammatica o sintassi, per cui ad una prima lettura il messaggio potrebbe sembrare autentico. Ad ogni modo, teniamo sempre bene a mente che né le banche né le poste richiedono mai ai propri clienti le credenziali di accesso ai propri servizi o i codici della carta di credito.

All’email, che ha come mittente Sicurezza Web Postepay (poste@postepay.it), è allegato il file Nuovo sistema Sicurezza Web Postepay.html grande 14 KB. Si tratta di un file HTML che, come vedremo più avanti, è stato modificato ad hoc per inviare ad un sito estero i dati della carta Postepay.

Per verificare facilmente che si tratta di un’email truffaldina proveniente da server esteri basta analizzare con il proprio client di posta (con Thunderbird, ad esempio, basta andare nel menu Visualizza/Sorgente del messaggio) il sorgente del messaggio e cercare l’IP compreso tra parentesi quadre in corrispondenza dell’header Received.

L’URL (mail.omskportal.ru) riportato nel campo Received, come possiamo vedere, si riferisce evidentemente ad un server SMTP ospitato da un provider russo. Per quanto riguarda l’IP associato (85.28.4.161) possiamo controllarne la provenienza utilizzando uno dei tanti servizi disponibili in Internet. (ad esempio il sito http://www.domaintools.com). Scopriremo che si tratta di indirizzo IP russo.

Per quanto riguarda l’allegato al messaggio, invece, essendo un file HTML lo possiamo visualizzare direttamente all’interno del client di posta ed evitare quindi di aprirlo.

Quello che è spacciato per un modulo di Poste Italiane, in realtà è una pagina realizzata ad hoc per inviare i dati della propria carta Postepay ad un server estero. Basta infatti aprire il file con un comune editor di testo (ad esempio Blocco Note) per verificare che, una volta inseriti i dati della carta, questi vengono inviati all’IP 61.19.124.164 che (possiamo nuovamente verificarlo utilizzando il servizio DomainTools) è localizzato in Thailandia.

Morale della favola: non dare mai credito a questo tipo di email, anzi meglio cancellarle immediatamente dal proprio computer. In nessun caso, comunque, aprire l’allegato al messaggio (in taluni casi potrebbe trattarsi persino di un virus) e non inserire mai i propri dati personali o della carta Postepay.