L’altro giorno – dopo essermi ricordato di averne uno e di avere dei servizi in scadenza – ho aggiornato il mio account sul sito di Poste Italiane, restando piacevolmente sorpreso dalla nuova grafica e dall’interfaccia molto più pratica e veloce (ok, non ci finivo sopra da molto tempo). Controllando i miei dati, ho notato che per qualche accidente si era persa la mia email di registrazione, forse in seguito all’aggiornamento del sito, vai a sapere. Ho compilato nuovamente il campo per indicare un indirizzo di registrazione e istantaneamente mi è arrivata la scarna email che vedete qui sotto.
La mail ha un oggetto molto generico, un testo di sette parole compresi i “distinti saluti” e un link sulla parola “qui” senza ulteriori indicazioni. Il lucchetto rosso barrato indica che il mittente non ha nemmeno criptato l’email. Anche se il messaggio era arrivato pochi istanti dopo l’inserimento del mio indirizzo email sul sito di Poste Italiane, ho esitato qualche secondo prima di cliccare su quell’anonimo “qui”. E se fosse una mail fasulla? Non sarà mica una di quelle classiche email che provano a rubarti i dati col phishing?
Ho controllato il codice dell’email, che il mittente fosse quello effettivamente indicato e soprattutto che il link su “qui” rimandasse verso il sito di Poste Italiane. Combaciava tutto e ho cliccato, completando la registrazione dell’email. Il servizio ha funzionato e non ho avuto problemi. Dopo mi sono però chiesto che senso abbia che le Poste Italiane mandino un messaggio di questo tipo, fatto in quel modo, senza ulteriori misure di sicurezza e tale e quale alle vagonate di mail fasulle che ricevono milioni di persone, spesso vittime del phishing. Perché non usare un sistema di doppia verifica con un SMS, per esempio? E perché non inviarti una mail di conferma quando hai verificato il nuovo indirizzo che hai inserito sul sito?
Ieri ho pubblicato su Twitter lo screenshot dell’email ricevuta da Poste Italiane, segnalando che potrebbe rendere più facile la vita a chi organizza il phishing.
questa è una mail di conferma di registrazione di poste italiane, poi dice perché quelli col phishing hanno vita facile pic.twitter.com/kCXgCgbaQv
— emanuele menietti (@emenietti) October 6, 2017
Quelli di Poste Italiane mi hanno gentilmente risposto dal loro account ufficiale, dicendo che l’email che ho ricevuto è un “tentativo di truffa”. Il fatto che lo stesso social media manager di Poste Italiane abbia difficoltà a distinguere uno screenshot di una mail genuina da un tentativo di phishing credo la dica lunga.
Considera che non si tratta di un'email di Poste Italiane ma di un tentativo di truffa.
— Poste Italiane (@PosteNews) October 6, 2017
Ps. Questo non è e non vuole essere una versione in digitale delle lamentele, a volte rumorose e pretestuose, che capita di sentire negli uffici postali. Negli ultimi anni le Poste Italiane hanno fatto un ottimo lavoro per rinnovare e migliorare i loro servizi online, anche dal punto di vista della sicurezza informatica. Ho segnalato questo post al CERT del gruppo, che ha proprio il compito di garantire che i sistemi informatici dell’azienda siano sicuri, per tutti.