Questo è una lettera che ho inviato alla mia carta di credito (anonimizzata per proteggere gli innocenti). Sigh.
---
Nel mio ruolo di professionista delle tecnologie online, devo dire che mi ha molto preoccupato ricevere da Voi la comunicazione di cui sopra.
Una delle regole fondamentali dell'online banking è che la banca solo in rarissime occasioni, ma, idealmente, mai, invia messaggi di posta elettronica.
Se lo fa si tratta di messaggi che non contengono link, che idealmente sono in formato testuale, e che non discutono temi come cambio di password e cose del genere, e, in ogni caso, devono provenire da un indirizzo email verificabile e monitorato.
Questo per rendere ovvi i tentativi di phishing ed educare gli utenti ad individuare le truffe, che sono diffusissime. Di queste regole siete Voi stessi consapevoli (e cito dalla sezione consigli antifrode del Vs. sito web):
"Diffida di email che richiedono informazioni sensibili e riservate[....]
Diffida di link presenti nelle email; potrebbero essere “falsi” e dirottarti su siti clonati, solo apparentemente coincidenti con quello originale. Ricorda che la tua carta di credito XxxCard e la tua banca non chiederanno di collegarti al proprio sito Internet utilizzando un link contenuto in un messaggio di posta elettronica e soprattutto di rilasciare informazioni personali attraverso questo tipo di email."
La comunicazione da voi recentemente inviatami:
Ho dovuto controllarla attentamente per convincermi che non fosse un fake, ma pare in effetti si tratti di una comunicazione genuina. Vi faccio notare che, la prossima volta che i Vostri clienti riceveranno una comunicazione simile, però contenente un link per cambiare password che li porta al sito i40ladroni.ru, molti la seguiranno grazie all'esempio negativo dato dal Vs. messaqggio.
Posso solo sperare di essermi sbagliato e che il messaggio fosse in effetti contraffatto. Per Vostro riferimento, riporto in calce il testo del messaggio da me ricevuto.
Per quello che riguarda il merito della comunicazione vorrei anche osservare che complicare le regole di composizione username/password è attualmente considerato assai meno efficace, oltre che oneroso in fase di supporto, che non l'uso di sistemi basati su 2-factor authentication.
Cordialmente,
Ing. Alessandro Forghieri
----
Cordiali saluti
Servizio Clienti XxxCard
---
Nel mio ruolo di professionista delle tecnologie online, devo dire che mi ha molto preoccupato ricevere da Voi la comunicazione di cui sopra.
Una delle regole fondamentali dell'online banking è che la banca solo in rarissime occasioni, ma, idealmente, mai, invia messaggi di posta elettronica.
Se lo fa si tratta di messaggi che non contengono link, che idealmente sono in formato testuale, e che non discutono temi come cambio di password e cose del genere, e, in ogni caso, devono provenire da un indirizzo email verificabile e monitorato.
Questo per rendere ovvi i tentativi di phishing ed educare gli utenti ad individuare le truffe, che sono diffusissime. Di queste regole siete Voi stessi consapevoli (e cito dalla sezione consigli antifrode del Vs. sito web):
"Diffida di email che richiedono informazioni sensibili e riservate[....]
Diffida di link presenti nelle email; potrebbero essere “falsi” e dirottarti su siti clonati, solo apparentemente coincidenti con quello originale. Ricorda che la tua carta di credito XxxCard e la tua banca non chiederanno di collegarti al proprio sito Internet utilizzando un link contenuto in un messaggio di posta elettronica e soprattutto di rilasciare informazioni personali attraverso questo tipo di email."
La comunicazione da voi recentemente inviatami:
- Contiene 2 link (uno al sito xxxcard.it e un mailto)
- è in html con profusione di immagini, corporate identity, etc.
- parla di un imminente cambio di password policy, di dove
ottenere aiuto per cambiarla eccetera
- proviene da un indirizzo noreply.
Ho dovuto controllarla attentamente per convincermi che non fosse un fake, ma pare in effetti si tratti di una comunicazione genuina. Vi faccio notare che, la prossima volta che i Vostri clienti riceveranno una comunicazione simile, però contenente un link per cambiare password che li porta al sito i40ladroni.ru, molti la seguiranno grazie all'esempio negativo dato dal Vs. messaqggio.
Posso solo sperare di essermi sbagliato e che il messaggio fosse in effetti contraffatto. Per Vostro riferimento, riporto in calce il testo del messaggio da me ricevuto.
Per quello che riguarda il merito della comunicazione vorrei anche osservare che complicare le regole di composizione username/password è attualmente considerato assai meno efficace, oltre che oneroso in fase di supporto, che non l'uso di sistemi basati su 2-factor authentication.
Cordialmente,
Ing. Alessandro Forghieri
----
Gentile
Titolare,
dal 9 settembre i sistemi di sicurezza per l’accesso all’Area Riservata del sito xxxcard.it saranno aggiornati e prevederanno l’inserimento di una UserID numerica e di una password lunga almeno 8 caratteri, contenente:
• almeno un carattere speciale (per es. &,%,$);
• almeno una lettera maiuscola;
• sia numeri che lettere.
Se la tua attuale UserID è alfanumerica e se la tua password non rispetta i criteri di sicurezza menzionati, sarai guidato dalla procedura per ottenere la tua nuova UserID numerica e per modificare la tua password.
Per
qualsiasi dubbio o informazione contattaci al Numero Verde 800xxxxxxxx o scrivici all’indirizzo info@xxxcard.it.dal 9 settembre i sistemi di sicurezza per l’accesso all’Area Riservata del sito xxxcard.it saranno aggiornati e prevederanno l’inserimento di una UserID numerica e di una password lunga almeno 8 caratteri, contenente:
• almeno un carattere speciale (per es. &,%,$);
• almeno una lettera maiuscola;
• sia numeri che lettere.
Se la tua attuale UserID è alfanumerica e se la tua password non rispetta i criteri di sicurezza menzionati, sarai guidato dalla procedura per ottenere la tua nuova UserID numerica e per modificare la tua password.
Cordiali saluti
Servizio Clienti XxxCard
No comments:
Post a Comment