Il phishing, come è noto, è un’attività illegale che esorta gli utenti a lasciare i propri dati personali mediante l’utilizzo di strumenti elettronici che simulano comunicazioni da parte di enti, aziende o istituti.
Il bug nel sito di Fideuram, ben descritto da Punto Informatico e da CastleCops, ha permesso a un gruppo di pirati informatici di creare una pagina, a cui l’utente sprovveduto viene indirizzato, in cui si trova una maschera dove inserire i propri dati per accedere a una ipotetica pagina riservata.
Fortunatamente la grafica della pagina, che proviene da un server collocato a Taiwan, è un po’ approssimativa e un osservatore arguto può facilmente intuire che ci sia qualcosa di irregolare. Questa sensazione viene poi ulteriormente confermata dall’avviso del browser che i dati non passano su un canale protetto. Rimane però che chi non ha esperienza di Internet può facilmente incorrere nel phishing.
Riferisce Punto Informatico che Marco D’Itri, uno dei massimi esperti di sicurezza italiani, ha segnalato alla Banca il problema da molto tempo, facendo presente che «il sito ha una funzione accessibile pubblicamente per inserire HTML arbitrario all’interno delle sue pagine HTTPS, XSS by design. Chiunque abbia minime conoscenze di programmazione può intuire come funziona guardando l’URL».
Da Fideuram i tecnici rispondono che stanno lavorando alla risoluzione del problema. Frattanto però il sito taiwanese è ancora attivo...
Tratto da Webmasterpoint.
Vota o condividi questo articolo su Diggita
Nessun commento:
Posta un commento