martedì 20 ottobre 2009

L'Arbitro c'è. Adesso tra banca e cliente è bene giocare la partita senza falli e rigori

Sono ancora pochissimi i siti delle banche monitorate da Of, (vedi qui), che segnalano la novità: nell'immagine il sito di FriulAdria (Gruppo Crédit Agricole), ma ci sono anche i siti di Intesa Sanpaolo, tra i primi, e alcune Banche Popolari e BCC come ad esempio la Popolare di Cortona. Parlo dell'Arbitro Bancario Finanziario che dal 15 ottobre sostituisce Obdusman nelle diatribe che riguardano conti, mutui e prestiti. Il risaprmio gestito e i titoli sono ancora appannaggio di Obdusman.

Le novità sono molte (Leggi qui) ma in sitesi la filosofia è questa: banca cerca di non sbagliare e soprattutto di gestire il cliente che potesta nel modo migliore possibile senza arrivare all'Arbitro. Perché farlo significa perdere tempo e anche denaro. Se il cliente deve sborsare 20 euro per ogni modulo inviato all'ABF, la banca deve pagarne ben 200. Non solo: se l'Arbitro deciderà contro di essa, potrà anche vedersi iscritta in una blacklist pubblicata sul sito www.arbitrobancariofinanziario.it e in almeno due giornali, a sue spese. E' quindi bene giocare in modo corretto. L'Arbitro deve lavorare il meno possibile.

lunedì 19 ottobre 2009

Poste Italiane senza pace

Poste Italiane con BancoPosta è di fatto la più grande banca italiana con milioni di clienti che usano sempre di più l'online come strumento di pagamento. Ed ecco che i pirati informatici da sempre sono a caccia di clienti BancoPosta "boccaloni", che cadono nelle trappole del phishing, cioé quella truffa che viaggia quasi esclusivamente via email. Tanto che Poste è tra le "banche online" con il servizio anti-frode più attento a questo fenomeno e con un portale (Vedi qui) dedicato proprio alla lotta al phishing che invito a leggere con attenzione.


Il 10 ottobre scorso, la home page di Poste Italiane è scomparsa, lasciando il posto a una pagina nera con la scritta "hacked". la home page è stata, come si dice in gergo, "defacciata", dal participio passato del verbo inglese "deface" che significa letteralmente "cambiare faccia". Il defacement è un attacco pirata che cambia faccia a una pagina web. Il sito anti-phishing italiano si chiede, ancora nella sua home page, il perché di questo attacco, che non è stato fatto contro il servizio BancoPosta che è inattaccabile, ma solo verso la home page.

Noi abbiamo adesso la risposta.

Proprio ora mi è arrivata una email, con il mio indirizzo personale, che mi informa che "...per permettermi di effettuare operazioni online in assoluta sicurezza, BancoPosta ha creato per me uno strumento semplice e innovativo. Il Lettore BancoPosta, garantisce un livello di sicurezza molto elevato, perche', ad ogni operazione su BancoPosta online e BancoPosta Click fornisce una nuova serie numerica che e' impossibile duplicare. Il Lettore BancoPosta diventera' il nuovo strumento per operare online sul proprio conto e sostituira' a breve il sistema basato sul Codice Dispositivo composto da 10 caratteri alfanumerici. Stiamo provvedendo a distribuire il Lettore a tutti i clienti BancoPosta online e BancoPosta Click." La notizia è vera: se leggete questa news di Of qui, potete capire che Poste Italiane ha effettivamente in corso un programma di sicurezza che prevede proprio questo, la consegna di lettori di carta Postepay che geenrano password mono uso. Questo sistema metterà alle strette il crimine informatico che munge i clienti di Poste Italiane da anni. Ecco allora che i "defacciatori" avevano una strategia in mente, molto lucida.

La seconda parte della email lo chiarisce, ecco cosa invitano a fare i criminali: "Accedi ora per prenotare il lettore che ti sara' inviato gratuitamente all'indirizzo sottoscritto in fase di iscrizione, usando il pulsante sottostante.". Se premi il pulsante, che poi è solo un link, si apre una pagina falsa del sito delle Poste Italiane in tutto simile a quella vera, se dai il tuo id e la password attuale diventi complice dei frodatori e amen ai tuoi soldi.

Attenzione quindi e passate parola. NON rispondete mai questi inviti. Gettate via queste false email. Per accedere al vostro conto online fatelo partendo da www.poste.it e basta.

La pagina falsa è a questo indirizzo qui falso:
http://www.poste-lettoreit.200u.com/online/personale/

Sperando che presto venga oscurato e disattivato.

martedì 6 ottobre 2009

CONTO CORRENTE SVUOTATO. DI CHI E' LA COLPA?


La Polizia postale ha un gran da fare: fioccano le denunce di persone che si sono visti svuotare il conto corrente grazie a bonifici mai fatti a conti esteri o per acquisti a Blockbaster o per ricariche a cellulari di cui si perdono le tracce. Cosa sta accadendo? Il caso Cariprato-Popolare di Vicenza è emblematico: la banca aveva a disposizione il token, ma non lo aveva comunicato a tutti i clienti, soli ai nuovi. E sono stati i vecchi clienti che non vanno mai alla filiale e nemmeno leggono l'home page del sito tanto meno le newsletter a rimanerci sotto, con il conto svuotato. La banca non rimborsa, i clienti furibondi dicono di non avere mai risposto a mail false. Ma il phishing non c'entra in questo caso. Come si può leggere chiaramente dallo Speciale di of dedicato ai furti d'identità (Leggi qui), il problema informatico si chiama virus troiano e pharming: in pratica siti al di sopra di ogni sospetto inoculano un virus silenzioso senza che si possa bloccarlo nemmeno con un antivirus aggiornato o un firewall. E allora? Allora l'unica strada è avere una password mono-uso con o senza token. E soprattutto verificare che il proporio computer sia pulito. In soccorso, ci sono alcuni strumenti utili come questo di Infinita, la piattaforma online del Gruppo Monte dei Paschi di Siena.

Il servizio, che oggi ha già registrato, secondo un comunicato postato su facebook dalla stessa banca, circa ben 132.000 accessi nei primi sei mesi del 2009, oltre l'80% in più rispetto al 2008, si chiama "Sei OK" e verifica un bel po' di cose: se le porte del pc sono aperte a virus, worm, spie (un PC possiede circa 64000 porte, delle quali vengono esaminate quelle considerate più a rischio), se ci sono programmi spia nel computer, aggiornamenti di browser, sistema operativo e così via. Un semaforino si accende giallo o rosso a seconda della rischiosità riscontrata. Un terzo meccanismo prevede la verifica delle impostazioni di sicurezza di Windows e la versione di Internet Explorer. Ma non è finita qui: il servizio di Infinita, nel caso in cui il servizio Microsoft di controllo remoto sia attivo, verifica la presenza di minacce legate a questo servizio.

Prova qui