Poste Italiane, a rischio clienti Banco Posta
I siti degli istituti bancari e finanziari devono essere molto curati dal punto di vista della sicurezza informatica, altrimenti si rischia che informazioni segrete, a partire dai codici di accesso ai numeri delle carte di credito, vadano a finire nelle mani di qualche malintenzionato.
Anche Poste Italiane si è adeguata allo sviluppo dell’e-commerce e di Internet, permettendo ai suoi clienti Banco Posta di controllare i movimenti e fare altre operazioni, come pagare le bollette, con il proprio conto, stando seduti in poltrona davanti al PC.
Ripetutamente i clienti di Banco Posta sono stati al centro di numerosi tentativi di truffe on-line, che solitamente chiedevano ad un utente di identificarsi al sistema per i motivi più svariati.
Queste truffe, tuttavia, sono facilmente individuabili, perché portano l’utente in un sito esterno a quello di Poste Italiane e, quindi, basta osservare l’indirizzo in cui ci si trova per scoprire la truffa. Fra l’altro molti strumenti contro il phishing, riconoscono questi siti truffaldini, impedendone l’accesso.
Il problema sorge quando qualcuno (Salvatore Aranzulla, alias io) riesce ad utilizzare il sito originale - ripeto originale - di Poste Italiane per attuare una ipotetica truffa on-line. Questo è possibile grazie a due falle nel sistema di Poste Italiane con cui è possibile servire un’ottima truffa.
Il funzionamento è semplice: portando l’utente da truffare in un indirizzo strano del sito originale di Poste Italiane è possibile interecettare i dati di accesso al suo conto Banco Posta. I dati finirebbero nelle mani di qualche truffatore.
In altre parole, cliccate in una e-mail che presenta un indirizzo https://bancopostaonline.poste.it/ (il sito originale di Banco Posta), venite portati sul sito originale di Poste Italiane e siete a rischio di frode.
Il problema è grave se si considera che la maggior parte dei filtri anti-phishing non riconoscono i tentativi di phishing effettuati con siti originali di cui vengono sfruttate le vulnerabilità. Pertanto un cliente, che ha installato e configurato a puntino la sua toolbar anti-phishing, è potenzialmente a rischio.
Poste Italiane, fra l’altro, presenta milioni di clienti Banco Posta, che potrebbero farsi ingannarsi dal fatto di trovarsi nei siti originali di Poste Italiane, affidandosi magari al filtro anti-phishing del proprio antivirus che non individua tale tipologia di attacco.
A legittimare fra l’altro una possibile e-mail di phishing potrebbe essere - ripeto - il fatto di proporre l’indirizzo originale del sito, che potrebbe ingannare anche l’utente più attento.
La falla potrebbe essere usata non solo in e-mail, ma anche in forum o messaggi in rete dove magari proporre una storia convincente che induca i proprietari di un conto Banco Posta a cliccare sull’indirizzo… originale di Banco Posta!
Questo articolo è in forma ridotta rispetto a quello originale da me scritto, in quanto Poste Italiane non ha ancora corretto le falle di sicurezza. Quando queste saranno corrette, verranno pubblicati i dettagli tecnici ed un video esemplificativo.
E’ incredibile che siano siti di questa importanza i soggetti di falle che possono essere usate per effettuare attacchi di Phishing, qui dove gli utenti non perderebbero solo la password come in forum e chat…
Come mai hai deciso di pubblicare questo articolo, anche se in forma ridotta? In passato hai sempre rivelato le falle dopo che sono state corrette.
Ciao Mauro,
il fatto è che non ho visto alcun interesse da parte di Poste Italiane alla correzione del problema: non mi hanno nemmeno risposto! Forse così si mettono in moto e risolvono il problema.
Stavolta il sito in questione è quello di BancoPosta, per la gestione online del proprio conto su Poste Italiane. Riporto direttamente dal post: l problema sorge quando qualcuno (Salvatore Aranzulla, alias io) riesce ad utilizzare il sito originale - ripeto originale - di Poste Italiane per attuare una ipotetica truffa on-line. Questo è possibile grazie a due falle nel sistema di Poste Italiane con cui è possibile servire un?ottima truffa.
Be, pauroso! Francamente credo che avresti dovuto far risaltare di più questo disinteresse da parte di Poste Italiane a risolvere un problema che è veramente grave.
Cmq continua cosi, il tuo lavoro contribuisce a rendere migliore questo mondo digitale! :D
Analizzando il tutto da un punto di vista di comunicazione d’impresa le Poste Italiane denotano una straordinaria visione comune del proprio business ad ogni livello. Fa pena il servizio clienti, è assolutamente vergognosa la preparazione degli impiegati allo sportello, è scarsa la competenza del settore ITC. Insomma: tutti condividono la medesima visione del (dis)servizio offerto.
Segnalo un post di Salvatore Aranzulla in cui viene posta in evidenza una grave falla nel sistema di autenticazione dei servizi telematici di Poste Italiane. Rimando all’articolo di Salvatore per i dettagli tecnici, complimentandomi per la sua competenza (che d’altronde ?eritatamente nota in rete).
Grazie Salvatore, per questa tua opera di tutela nei confronti degli utenti Internet… non è la prima volta che viene alla luce una falla di grave entità sul sito di Poste Italiane (collegato al sito di Banco Posta…) infatti suhttp://punto-informatico.it/p.asp?i=50144 del 25/10/2004 appare la segnalazione di alcuni lettori (tra cui la mia) di un grave problema di privacy sul loro sito. Vedo che neanche a te hanno risposto… speriamo che almeno correggano il problema al più presto. Saluti dalla Sardegna.
Salvatore mi segnala la presenza di un Bug su Poste Italiane e nello specifico sulla gestione del Conto Banca online. Per maggiori info vi invito a legger il post qui. English Version
certo che almeno rispondere!
anche si un ringraziamento sarebbe d’obbligo.
pazzesco! bravo Salvo…
Chi si fida della posta si merita di venir truffato :P
Scherzi a parte, si vede che era un’azienda pubblica…
Patchata?
“Due to the presence of characters known to be used in Cross Site Scripting attacks, access is forbidden. This web site does not allow Urls which might include embedded HTML tags.”
Sì,ma è una semplice xss,c’è pieno zeppo di siti bacati,anke quello di mediaset,e del governo italiano ad esempio…. Cmq,ottimo lavoro,6 un grande ;-)
CIAO Salvatore
Io sono correntista di bancoposta e sono stato frodato tramite un vaglia on-line emesso a nome mio a favore di una tipa che non conosco affatto, senza mai aver ricevuto messaggi di phishing..
Questo è accaduto il 18 ottobre e ad oggi mi trovo a dover avviare causa contro le poste perchè non ho avuto risposte soddisfacenti in merito a una eventuale restituzione soldi..
Ti chiedo, e mi chiede il mio avvocato se è possibile dimostrare quello che hai scritto qui, io sono sicuro di si e vorrei sapere se posso ricevere documentazione privata in merito a questo fatto.
Se preferisci e hai paura che io abbia inventato la storia per avere gli strumenti per diventare un truffatore, puoi inviare tutto all’indirizzo dello studio legale.
Ti sono grato se mi fai sapere qualcosa.
Maurizio L.
La falla, che è stata corretta, richiedeva comunque l’intervento della persona da truffare, che avrebbe dovuto cliccare su un indirizzo in una e-mail o in un sito internet. Non sono al corrente di falle che non richiedono la partecipazione dell’utente.
Bhe,magari hanno sfruttato il “problemino” del file host, quello che anke tu,salvo,hai spiegato.E bastato un programmino,magari apparentemente innoquo,a modificarlo,e boom…..
Si potrebbe essere: lancio una allerta a riguardo.
Good! Senti,io stò sviluppando un programmino che controlla ogni tot se il file host è stato modificato.Se sì,ti avvisa e tu puoi ristabilirlo.Se interessa,vi avviso una volta terminato !;-)
ottimo: mandami una mail!
Ok,lo ho terminato. ;-)
Salvo,ti ho mandato l’email….Ma ti invio l’exe,o lo uppo da qualche parte?Come preferisci.
ma per sapere i miei movimenti del mio bancoposta maestro come potrei fare…rispondete al più presto. cordiali saluti…
…sono passati quasi 2 mesi …o meglio piu’ di uno….è stata corretta falla da P.T. ?????
Sarei curioso di sapere…….
sono stato truffato ad ottobre 2005 grazie a questa falla nel sito di banco posta, ma a oggi non ho ottenuto risarcimento
sono per vie legali
aprire un conto in poste italiane è stata per me una cattiva idea, ci ho rimesso 2500 euro grazie alla loro incompetenza..
Buongiorno
Ieri hh avuto la terza udienza in tribunale, ma banco posta fa di tutto per non pagare..
c’è qualcuno in grado di produrre documentazione da inviarmi e da presentare al giudice, per dimostrare che il sito ufficiale di bancoposta era corrotto?
vi prego di aiutarmi
maurizio
Ciao Maurizio,
anche io sono stata truffata ad ottobre e mi hanno chiamata OGGI per chiedermi informazioni su cosa è successo dopo che ho mandato decine di raccomandate, fax, fatto denuncia ai carabinieri e mandato dozzine di email. e OGGI MI DICONO CHE E’ TARDI???? solo quando ieri ho mandato un’altra email dicendo che andavo per vie legali se non mi veniva risarcito il danno (2000euro rubati) mi hanno contattata e ora mi dicono che FORSE mi restiuiscono i soldi??
Ora vedremo come procede, ma se va avanti così andrò anche io per vie legali.
Sono stato frodato on line di 7500 euro e dovrei iniziare una causa legale contro il phisher che hanno trovato con il rischio di rimetterci tanti altri soldi dato che il tizio è un venezuelano senza un soldo… ma possibile che un istituto come le Poste non sia assicurato contro tali reati dato che offre un servizio che ha delle falle… se qualcuno sa indicarmi qualche percorso da fare lo ringrazio anticipatamente.
ragazzi sono disperata mi sono state truffate dalla mia carta postepay 1000. euro sulla lista movimenti c’e’ scritto ricarica online.tramite carabinieri e denuncia,verro’ a sapere dove sono finiti i miei soldi?
Ciao Sara,
con i carabinieri non penso…però fai subito la denuncia alle poste, devono darti il numero di Roma dove inviare il fax con quello che è successo, la lista movimenti eccetera…chiama il n°verde e chiedi della sezione delle poste che si occupa delle truffe!io purtroppo sono stata avvisata molto tardi di questo e quindi credo che nonl i rivedrò più…non so come fare:(
ho due sportelli delle poste sotto casa…. posso anche andarci tutti i giorni…
Un pagamento con BP online (acconto ICI) fatto il 9 giugno mi è stato addebitato due volte (operazione stessa ora stesso minuto n°pgr 1 unità). Ai miei numeosi reclami telefonici, fax, online, a 100 GIORNI di distanza UNICA RISPOSTA: stiamo lavorando al suo caso!!!! Cosa foccio denuncia? 400€, spero di farmeli accreditare dall esattore.
Chiaramente il banco posta con mè chiude!