La truffa di Unicreditsbanca.com

Alle ore 16.30 dell'11/7/2005 arriva una mail da Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. :

La prima cosa che insospettisce è la presenza di clamorosi errori ortografici, che non sono tipici di una grossa realtà dove le mail vengono passate al vaglio del reparto comunicazione; abbiamo la "banca ondine", la "zona tecnice" che si "allarga"... un server in fase di test che viene reso disponibile (da quando un server in test è sicuro, soprattutto per operazioni bancarie?) per poter "transferire i Vostri dati d'utente con successo alla base dei dati del nuovo piu protetto server". Bah.

Si capisce già benissimo che è un tentativo di truffa ma tanto vale approfondire la proprietà del dominio:

Il sito però appare in tutto il suo splendore originale come da immagine:

Se si inseriscono dei dati, io ho ovviamente inserito dati "finti", si viene in effetti rediretti al sito in HTTPS dell'home banking e presumo che, nel caso in cui si acceda ad un conto esistente, funzioni anche tutto correttamente. Controllando il codice html si viene a scoprire che il form di inserimento dei dati del conto punta prima ad un file script.php che probabilmente memorizza i dati immessi in un archivio per poi redirigere verso l'home banking... ingegnoso ed efficace!

Ora però le note dolenti: per prima cosa, segnalata la truffa a più testate giornalistiche (Ansa a parte, che ha un bel mail server Exchange che dice che gli indirizzi pubblicati nella pagina "contatti" non esistono) e informata la guardia di finanza & polizia postale nessuna fonte di informazione (a parte punto-informatico, ma non fa testo perchè testata online informatica con un bacino di utenza meno a rischio) si è degnata di mettere in guardia le possibili vittime.
La seconda colpa va a Unicredit: ha tutti i mezzi, e il banner sotto riportato che campeggia nella pagina dell'homebanking dal 13/7/2005 ore 8:00 ne è la prova, per discernere tra un accesso fatto tramite il sito reale e un qualsiasi altro sito che mette in atto questa truffa. Questo mezzo è il referrer: è una tecnica non affidabile al 100% (un buon truffatore può aggirarla) ma permette al sito chiamato di sapere da dove viene l'utente, qual'è la pagina che lo ha fatto arrivare fino a li; in questo caso Unicredit ha da sempre avuto la possibilità di sapere se l'utente proveniva dal sito ufficiale o un qualsiasi altro sito e quindi poteva presentare questo banner (mancante da sempre) in caso di provenienza sospetta, eventualmente bloccando preventivamente il conto come a già fatto in occasioni simili quali una truffa sui loro Bancomat (tre mesi prima, a Genova).

Alle 19:00 del 13/7/2005 è comunque offline il sito incriminato, ora campeggia una pagina di errore ma probabilmente, per un paio di giorni, il truffatore è riuscito a farla franca grazie alla scarsa comunicazione e l'incapacità di chi ha realizzato l'home banking di Unicredit.