Chiamarli pirati è fargli un complimento e la triste realtà non sono tanto loro che ci provano, ma quelli che ci cascano.
In questo attacco, fresco fresco di questa notte non c'è nulla di speciale, è una delle solite email che arrivano regolarmente.
Punto A: Email sgrammaticata ... dovrebbe almeno insospettire
Punto B: Hyperlink palesemente errato
Punto C: Il vero sito usa https e l'utente può vedere il lucchetto
Punto D: L'indirizzo del sito clonato è palesemente errato
Veniamo però ai punto dove la banca avrebbe potuto fare meglio:
- Il nome del sito è totalmente anti-intuitivo. Se fosse stato il vero nome della banca e con un URL semplice (io lo chiamo ergonomico) l'utente avrebbe meno dubbi a scegliere quello giusto.
Da notare che spesso in questi attacchi vengono usati URL molto simili a quelli orginali come www.mia-banca.it oppure www.miabanca.me.com, etc.
Questo è il motivo per cui è importante il punto 2. - Il vero sito purtroppo NON fa uso di certificati Extended Validation che avrebbero trasformato la barra di Internet Explorer con un background verde e rendendo molto più evidente l'affidabilità del sito.
Questi certificati vengono rilasciati solo dopo verifica dell'esistenza fisica dell'azienda richiedente e costano molto più cari. - Il sito non fa uso di rolling-codes che vengono generati sempre diversi per ogni accesso e non riutilizzabili, rendendo così inutile il furto delle password.
Non sono stato a guardare i sorgenti della pagina per eventuali altre cose.
A coloro che pensano che gli utenti non possono essere anche "meccanici" del proprio veicolo rispondo che a mio avviso l'utente dovrebbe almeno prendere una patente prima di avventurarsi per la strada.
La truffa internet è più facile da prevenire rispetto al furto del numero della carta di credito in qualsiasi negozio, la differenza come al solito la fa l'utente e non il mezzo.