Stanno giungendo numerose segnalazioni di un e-mail truffaldino che sembra provenire dalle Poste Italiane, precisamente dall'indirizzo update@poste.it, e ha come oggetto "AGGIORNAMENTO URGENTE POSTE.IT".

Il testo del messaggio avvisa "i possessori di carta PostePay o di un conto BancoPosta" che "a seguito di verifiche nei nostri database clienti, si è reso necessario per l'utilizzo online la conferma dei Suoi dati. Le chiediamo perciò di confermarci i dati in nostro possesso entro 7 giorni dalla presente, accedendo al seguente form protetto". Segue un link al modulo online nel quale immettere i codici del proprio Bancoposta o Postepay.

Questo messaggio è un tentativo di truffa. Infatti i link presenti nel messaggio vengono visualizzati ingannevolmente (perlomeno dai programmi di posta insicuri o impostati in modo insicuro) come se si trattasse di link delle Poste Italiane: viene visualizzato https://www.poste.it/update-clienti/, ma cliccando sul link si viene portati a un sito-trappola, precisamente http://www.update-poste.com (in alcuni casi il sito-trappola ha un indirizzo differente, dettagliato più avanti).

Infatti al momento della prima stesura di questo articolo, la pagina base conteneva il messaggio Errore 403 - Accesso negato anziché le pagine-trappola, ma era accessibile un'immagine (presso http://www.update-poste.com/p_servizionline.jpg) che toglieva ogni dubbio residuo sulle intenzioni del phisher: mostrava il logo dei servizi online delle Poste Italiane.

Resta da vedere se l'intestatario del dominio è il truffatore, oppure se la truffa sta avvenendo a sua insaputa e il suo dominio è stato "bucato" da terzi. I dati dell'intestatario sono liberamente consultabili, per cui è stato possibile avvisarlo via e-mail; i tentativi di contattarlo telefonicamente sono stati infruttuosi. Zeus News rimane in attesa di risposta.

La tentata truffa è già stata segnalata all'apposito servizio di segnalazione della Polizia di Stato. Non resta che tenere d'occhio i siti-trappola (se ne è infatti aggiunto un secondo, citato sotto) e attendere gli sviluppi, sui quali Zeus News vi terrà puntualmente informati.

Nel frattempo, vale la raccomandazione di sempre: usate un programma di posta che non interpreti l'HTML ma mostri i messaggi come testo semplice. In questo modo, il link falso è immediatamente smascherato.

15/3/2005, 19:20: iniziano a giungere altre segnalazioni, secondo le quali il messaggio-esca cita un altro link nel sito del Genoa Cricket and Football Club (http://www.genoacfc.it/Temp/Poste/index.php). A questo punto, sembrerebbe che il phisher abbia teso una trappola distribuita su più siti.

15/3/2005, 20:15: E' sconsigliabile visitare senza protezione le pagine Web indicate. Alcuni lettori, infatti, segnalano la presenza di un trojan, di nome JS/Stealus.gen. Inoltre un lettore, Andrea C., riferisce che il sito-trappola update-poste.com è stato effettivamente attivo per alcuni minuti: quando ha ricevuto l'e-mail del truffatore, "il sito era attivo ma l'abuse di Seeweb [la società che fa hosting al sito, NdR] ha reagito in tempi rapidissimi sospendendo il servizio."

15/3/2005, 22:30: anche il link al sito del Genoa Cricket and Football Club è stato bloccato e ora risulta inesistente. La campagna di spam del truffatore, insomma, è stata stroncata prontamente.