Al giorno d’oggi in Italia, come nel resto del mondo il fenomeno del “Phishing” è sempre piu diffuso. In particolare le prede preferite dagli Hacker sono le banche.
Sempre più utenti anziché fare ore ed ore la fila inanzi allo sportello di una banca, preferiscono amministrare i loro risparmi online, tramite siti web gestiti dalle banche stesse. In queste ore KinG-LioN, admin di Eurohackers.it ha analizzato circa “trenta” siti di Banche Online, con risultato che almeno “dodici” di queste sono risultate buggate di cui due con Remote File Inclusion.
Le banche OnLine risultate Buggate sono:
Sempre più utenti anziché fare ore ed ore la fila inanzi allo sportello di una banca, preferiscono amministrare i loro risparmi online, tramite siti web gestiti dalle banche stesse. In queste ore KinG-LioN, admin di Eurohackers.it ha analizzato circa “trenta” siti di Banche Online, con risultato che almeno “dodici” di queste sono risultate buggate di cui due con Remote File Inclusion.
Le banche OnLine risultate Buggate sono:
- Banca Popolare Italiana
- Banca d’Italia
- Banca Sella
- Banca Etica
- Banca Popolare Di Novara
- Banca Delle Marche
- Claris Banca
- Banca CR Firenze
- Banca Popolare Pugliese
- Banca Iccrea
- Banca Popolare del Lazio
- Banca di Romagna
Il consiglio che si può dare è quello di controllare attentamente gli URL prima di inserire i propri dati d’accesso, e diffidare dalle email che vi invitano a verificare il conto online, di qualsiasi servizio esse siano.
Video Illustrativo di un attacco Phishing su Banche italiane, e reperibile al seguente indirizzo:
http://www.eurohackers.it/varie/phishing_su_banche.zip
http://www.eurohackers.it
#1softcodex
ho appena guardato il video ed é incredbile che ci siano ancora delle banche con servizi di ebanking che non garantiscono la sicurezza dovuta ai loro clienti.
in quel settore investire nella sicurezza dovrebbe essere un fattore da non perdere mai di vista, ma dopo il video mi pare proprio non essere così.
#2KinG-LioN
Ma credo che le banke online affette da tali bugs siano molte piu delle 30 che ho analizzato….
#3Shor
Hai segnalato i bug alle rispettive banche?
#4KinG-LioN
certo
#5BlACkFiRE
A cosa serve controllare l’url ? Pressochè a nulla…tanto per farvi 1 esempio io ho da poco letto la posta e c’era un messaggio dal dominio @poste.it con relativi loghi ecc che diceva che un conto non era stato inviato o roba simile,il link era molto simile a un server di posta e terminava con .com…ho cliccato,tanto non ho conti xkè sono minorenne…et voilà…per una frazione di secondo è apparso un sito di altervista,facendo lo screen col paint riuscì a vedere il sito…chiuso da altervista.
In poche parole chi vuole fregarvi dei soldi lo fa . e basta. Anche se nell’url c’è scritto http://www.posteitaliane.net
(quindi uno pensa : beh il .net è un dominio a pagamento,quindi un ladro non pagherebbe per rubare..)Invece no…c’è gente che spende migliaia di euro per far sembrare tutto credibile.
Unica soluzione ? Staccarsi dal pc,prendere la macchina ed andare in banca. Gli ologrammi non li hanno ancora inventati quindi per un po’ ce da stare tranquilli. =)
#6KinG-LioN
No amico, ti sbagli.
Gli url sono univoci.
Un Cracker potrebbe crearsi posteitalianA.it … ma l’url originale rimane sempre posteitalianE.it
Se l’url e corretto sei apposto.
Da cio l’importanza di controllare bene l’url.
#7Shor
King mi controlli Banca Mediolanum perfavore?
#8BlACkFiRE
King hai ragione,ma metti che chi legge la mail è un po fesso e l’url non lo guarda…oppure se io su msn ti dico visita il mio sito “www.miosito.altervista.org” dove nell’index ci ho messo un redirect per poi fotterti i soldi…qui non c’è molto da fare…è un po inverosimile,ma è fattibile.
io resto dell’idea che è meglio fare 3 km di macchina e andare alla nostra banca preferita che rischiare di perdere tutto per una pagina web.
Oppure ancora meglio tenersi i soldi in cassaforte 😀
#9KinG-LioN
Certo, molto meglio andare in macchina…
BlACkFiRE Says: King hai ragione,ma metti che chi legge la mail è un po fesso e l’url non lo guarda…
A quel punto il mio consiglio non e stato seguito…
Io x l’appunto ho dikiarato, di stare attenti agli url…
In qualsiasi modo, sia col redirect,
sia con l’include
sia in qualsiasi altra maniera,
x un Fake login si deve avere “sempre” e dico sempre un url diverso da quello originale, diverso anch di una sola vocale, ma cmq diverso.
Ribadisco l’importanza di controllare gli url.
#10KinG-LioN
Shor mi chiedevo se potevi fare un upgrate di questo articolo, aggiungendo oltre al link anche il video di youtube…
Per chi volesse vederlo non avendo i plugin necessari…
#11KinG-LioN
Azz, shor non ammazzzarmi per il triplo post… ma il link del video e questo:
[youtube JIVck6a9Gyo]
#12Shor
Il post non posso aggiornarlo, ho un problema e poi mi sfarfalla tutto, però ho fatto un magheggio con wordpress e sono riuscito a inserirtelo direttamente nel tuo commento!
#13Shor
Comunque domani ci faccio un articolo 😉
#14Marvin
I do not even know how I ended up here, but I thought this post was great. I do not know who you are but certainly you are going to a famous blogger if you aren’t already 😉 Cheers!|
#15Dorinda
Touche. Great arguments. Keep up the great spirit.|