Il problema che ha afflitto il sito Rasbank è stato risolto: codice corretto, falla eliminata, phishing sventato. E’ utile, visto il susseguirsi della richiesta di informazioni da parte di responsabili e utenti, spiegare nei dettagli l’origine della problematica emersa.
La scoperta della falla va attribuita a Daniele Fogazzi, il quale ha notato un problema di validazione all’interno di una pagina dedicata alla ricerca di promotori finanziari Rasbank. Come scoperto da Fogazzi, la pagina ripropone i dati all’utente nel caso in cui tali dati non siano stati compilati correttamente, ma un errato controllo della presenza di caratteri quali le virgolette o i segni “maggiore” o “minore” apriva alla possibilità del più classico degli HTML Injection.
Fogazzi ha così costruito ad arte un url in grado di inoculare codice all’interno della pagina tale per cui un utente all’apertura avrebbe potuto, pur trovandosi su una pagina a tutti gli effetti facente parte del sito Rasbank, leggere contenuti provenienti da siti terzi. Il proof-of-concept proponibile è semplice: “compila il form e vinci un viaggio”. L’utente che compila il form non invia però i propri dati alla banca ma ad un sito esterno, ed il suo account è aperto così alla truffa. La truffa, inoltre, avrebbe potuto essere portata a termine con estrema faiclità semplicemente inviando mail casuali (come per il caso Fineco) contenenti l’url truffaldino ed invitando al click con stratagemmi vari.
Fogazzi ha immediatamente avvertito la banca ed ha quindi segnalato la cosa alla nostra redazione. La verifica è scattata istantanea: la truffa è risultata dimostrata per Internet Explorer mentre con l’ultima versione di Firefox il tutto è parso inibito (si ringrazia Luca Conti per la preziosa collaborazione apportata). In giornata si è data notizia della falla pur non rivelando i dettagli del bug. Un problema di comunicazione con Rasbank ha quindi allungato i tempi di intervento, ma appena il responsabile sign. Fiore ha preso in mano la situazione il tutto è stato risolto in tempi molto brevi.
Problema risolto, allarme fugato. Rimangono però sul terreno gli strascichi di una sensazione di insicurezza legata a due giorni in cui il mondo bancario ed il phishing hanno avuto difficili rapporti.