www.MegaLab.it

Se dovessero chiedermi quale sia stato il fenomeno IT più interessante del 2005 appena trascorso non avrei davvero dubbi: il phishing!

Non che questo tipo di truffa di per se sia nata l'anno scorso (gli utenti d'oltreoceano di servizi come PayPal o eBay ne sono colpiti fin dagli anni'90..) ma è stato il 2005 l'anno che ha segnato l'arrivo di questo fenomeno collegato specificatamente a istituiti di credito e servizi in lingua italiana.

Ma facciamo un passo indietro, e vediamo di capire di cosa si tratta

Il phishing

Il termine denota un particolare un tipo di truffa perpetrata via e-mail.

Il gruppo di truffatori raccoglie per prima cosa centinaia di migliaia di indirizzi e-mail Rete. Ottenerli non è difficile, basta affidarsi a sistemi di scansione automatizzati, che scandagliano le pagine web, i gruppi di discussione o i forum tematici a caccia di qualche utente poco accorto che, in barba a tutte le raccomandazioni anti-spam, ha avuto la pessima idea di lasciare il proprio indirizzo alla mercé di tutti. Oppure ci si affida ad uno dei tanti individui che per poco centinaia di dollari vendo liste di indirizzi a chiunque ne voglia disporre.

Un sito web fasullo

Dopo aver compilato una bella lista di possibili vittime, il truffatore prepara un sito web in tutto e per tutto uguale a quello di una banca, un servizio di pagamenti on-line o un qualsivoglia istituto di credito: nel prosieguo dell'articolo parlerò genericamente di "banca", ma è bene capire che la truffa può colpire qualsiasi servizio che permetta di trasferire elettronicamente denaro, come ad esempio BancoPosta.

Il sito-trappola è graficamente identico a quello vero, non fosse per il fatto che spedisce le informazioni inserite (quindi username e password digitati dagli utenti) direttamente nella casella e-mail del ladro.

Il sito viene poi ospitato ad un indirizzo simile a quello della banca che il truffatore sta imitando: ad esempio, qualcosa del tipo http://www.finecobanca.net al posto del vero www.fineco.it, oppure http://www.bancopostaonline-poste-it.com per imitare http://www.poste.it/bancoposta/

Una email come esca

Come ultimo passo viene costruita una e-mail che esorta gli utenti a reinserire le credenziali di accesso sul nuovo sito, adducendo motivazioni come un aggiornamento dei sistemi informatici o una modifica al servizio. Come ultimo passo si spedisce il messaggio alla lista di indirizzi costruita in precedenza, fingendosi la vera banca.

Et voilà, il truffatore non deve far altro che aspettare: non appena un utente abboccherà, e inserirà nome utente e password sul finto sito, questi dati verranno inviati al ladro che potrà così accedere al conto corrente e trasferire somme di denaro a proprio piacimento.

Poco importa che la maggior parte degli utenti che riceveranno il messaggio non siano in alcun modo legati alla banca in questione: il truffatore spara nel mucchio, contando di contattare almeno una minima parte di utenti che effettivamente disponga di un conto corrente presso la banca che sta imitando.

Come prevenire

Questo genere di truffe sono spesso ben confezionate: nei messaggio visti fino ad ora il difetto più evidente era rappresentato dall'italiano impreciso delle missive (frasi del tipo la nostra zona tecniche e allargata con l'aggiunta di nuovo server attualmente nella fase di test risultano troppo mal formulate per provenire un'azienda rispettabile) ma non escludo che se il fenomeno dovesse proseguire nell'anno corrette la cosa verrà corretta rapidamente.

A parte questo, distinguere un messaggio fasullo da uno vero è tutt'altro che semplice.