Stamattina apro la posta e trovo un'email di poste italiane (falsa) che mi incitava a recarmi all'ufficio postale a recuperare un pacco che non ho mai ordinato. Per visualizzare i dettagli di questo pacco, l'email mi chiedeva di loggarmi nel sito di poste italiane. Sospettando si trattasse di un tentativo di phishing, mi sono loggato dalla pagina web ufficiale, ed effettivamente la mia area personale non riportava niente.
Invece di eliminare l'e-mail ho deciso di valutare la qualità dell'attacco. Ho aperto la pagina di phishing da un browser vuoto (nessun bookmarks, history, saved logins o cookies) usando una VPN con spoofed IP Address + Geolocation, e ovviamente... Indovinate che ho scoperto?
Mancano le conoscenze basiliari dell'HTML, inoltre sotto c'era scritto "Poste Italiane 2021" invece che 2022. Nelle immagini della pagina, c'erano errori nei SRC dei loghi, che risultavano appunto invisibili in fase di rendering. Ma la cosa più grave, è che l'autore dell'attacco non ha impostato una lunghezza minima e una lunghezza massima della password che si può inserire, cosa che farebbe palesemente scoprire che è un sito falso. Ho firmato il suo login scrivendo:
Username: Permettimi una correzione
Password: Apri l'HTML e vai al form della password, scrivici minlength="6", maxlength="50", così l'attacco è più credibile... ma senza bypassare il fattore a multiautenticazione obbligato da Poste non vai da nessuna parte. E finiresti comunque con lasciare tracce inevitabili se fai transazioni... Se vuoi un consiglio, butta via tutto.
Invece di eliminare l'e-mail ho deciso di valutare la qualità dell'attacco. Ho aperto la pagina di phishing da un browser vuoto (nessun bookmarks, history, saved logins o cookies) usando una VPN con spoofed IP Address + Geolocation, e ovviamente... Indovinate che ho scoperto?
Mancano le conoscenze basiliari dell'HTML, inoltre sotto c'era scritto "Poste Italiane 2021" invece che 2022. Nelle immagini della pagina, c'erano errori nei SRC dei loghi, che risultavano appunto invisibili in fase di rendering. Ma la cosa più grave, è che l'autore dell'attacco non ha impostato una lunghezza minima e una lunghezza massima della password che si può inserire, cosa che farebbe palesemente scoprire che è un sito falso. Ho firmato il suo login scrivendo:
Username: Permettimi una correzione
Password: Apri l'HTML e vai al form della password, scrivici minlength="6", maxlength="50", così l'attacco è più credibile... ma senza bypassare il fattore a multiautenticazione obbligato da Poste non vai da nessuna parte. E finiresti comunque con lasciare tracce inevitabili se fai transazioni... Se vuoi un consiglio, butta via tutto.