Il fenomeno del phishing è all’ordine del giorno. Le finte email di banche che tentano di rubare le credenziali del malcapitato tramite un link malevolo hanno recentemente quasi ingannato persino il direttore dell’FBI. La notizia del giorno però ha dell’incredibile e mostra come spesso la sprovvedutezza delle istituzioni finanziarie stesse favorisca il terreno ai cyber criminali.
Sul suo blog, il direttore della formazione tecnica della Eset Randy Abrams ha raccontato di aver ricevuto una email (vera) da PayPal che conteneva un link a una pagina di login. Le email commerciali autentiche non dovrebbero mai contenerne, perché le rendono del tutto identiche a un’attacco di phishing. Randy Abrams scrive allora al servizio di supporto di PayPal facendo notare che l’email ricevuta era quantomeno sospetta, allegandone una copia.
Ebbene, a questo punto lo staff di Payapal commette una gaffe che la dice lunga sulla sicurezza delle proprie comunicazioni: invece di prendere nota dell’osservazione, risponde ad Abrams che sì, l’email inoltrata – l’email autentica di Paypal – è proprio un tentativo di phishing. “Ecco perché” scrive Abrams “le comunicazioni commerciali legittime non dovrebbero mai contenere link a pagine di login, o link in generale. Nemmeno lo staff di PayPal sa distinguere una propria email da un attacco di phishing.”
PayPal, di proprietà di Ebay, è uno dei marchi più sfruttati dal phishing. Purtroppo, nota The Register commentando la notizia, il comportamento di molte banche nell’inviare email è esattamente lo stesso.
Fonti:
- PayPal admits to phishing users – Eset Threat Center Bolo
- PayPal phishing false almarm – The Register
