Archivio per mese: aprile 2007

Phishing Fineco in queste ore

0.00 avg. rating (0% score) - 0 votes

Questo è il secondo tentativo di phishing che vedo rivolto a Banca Fineco, il primo di cui ho memoria risale al 2005. La mail che mi è arrivata ha come titolo “FPA NOTICE: verificare l’autenticità delle informazioni personali fornite” e il mittente risulta essere “Fineco IB <servizii@fineco.it>”, ecco invece il testo paro paro:

 

Testo mail truffa per utenti Fineco

Lo riporto anche in forma testuale per i motori e per chi non ha modo di vedere le immagini, questo è il testo della mail truffaldina:

Gentile Fineco Utente ,


Notificazione dell 23/04/2007

Il messaggio e stato  inviato per il seguente motivo:
*verificare l’autenticità delle informazioni personali fornite*
Per verificare e aggiornare le informazioni del tuo account Prema qui

La verficazione e obligatoria!

C 1999-2007 Fineco Bank-Capitalia Gruppo Bancario – P.Iva 12962340159

Che ora, dico io, se non fosse così sgrammaticato e incongruente avrei potuto anche crederci e cadere nella truffa, dato che basta un momento di sbadataggine… con tutte le operazioni e le modfiche che sto facendo in questo periodo, poi.

Attenzione quindi: non cliccare mai sui link presenti nelle mail: questo ad esempio mi avrebbe portato sul sito http://agiorna-fineco.com che evidentemente non è di proprietà della banca ed ha invece lo scopo di estorcere UserID e Password per commettere operazioni illegali sul conto del malcapitato di turno. Occhi aperti!

La leggerezza di Genialloyd

0.00 avg. rating (0% score) - 0 votes

Stasera avevo bisogno di accedere ad un account di un cliente di Genialloyd che non ricordava la sua password, ho avviato la procedura per il recupero online ma, dato che esistono più profili collegati alla stessa mail, il sito dell’assicurazione invita a chiamare il numero verde gratuito per ottenere tutte le informazioni.

Faccio il numero e mi risponde una ragazza del call-center a cui spiego la situazione senza dare alcuna informazione sulla mia identità: non fornisco cognomi o indirizzi mail, né codici di alcun tipo, mi viene richiesta solo la targa dell’automobile per la quale non dispongo più delle credenziali di accesso al sito. Poi mi viene domandato se l’intestatario fosse Nome Cognome e rispondo di si. Bene, la ragazza digita sulla tastiera e dopo qualche secondo mi dice al telefono UserID e Password. Così, in diretta.

Ora io mi chiedo:

  • è normale che gli operatori possano accedere alle password degli utenti? La password non dovrebbe essere criptata o comunque non visibile in chiaro? Gli operatori viceversa devono avere la possibilità di modificare le password o al limite avviare una procedura automatica che ne invii una nuova (privacy).
  • è normale che chiunque possa chiamare un’assicurazione (che lavora solo online) ed ottenere con questa facilità nome, cognome, userid e password di un cliente? Si parla di credenziali necessarie per accedere ad un’area riservata, con lo storico dei sinistri, degli ordini, dati personali, etc…
  • è normale che un’azienda che riceve altissime percentuali di pagamenti con carta di credito e che sfrutta quotidianamente adeguate soluzioni per la sicurezza dei dati, come il protocollo SSL, cada poi su una banalità del genere?

In questi anni ho sempre consigliato Genialloyd – anche per questo mi trovo ogni tanto a fare i rinnovi per gli amici – e, per la mia esperienza, si tratta davvero di un’azienda che funziona. Questa situazione però mi ha messo un attimino di preoccupazione e spero che si tratti solo della leggerezza estemporanea di un operatrice. Altre esperienze simili?

 Torna su