Punto informatico Network

Canali
20080829220641

Come difendersi dal phishing

10/01/2006
- A cura di
Zane.
Sicurezza - Attenzione alle false e-mail che sembrano provenire da banche o altri servizi on-line: nella maggior parte dei casi si tratta di una truffa, concepita per sottrarre le coordinate di accesso ai conti correnti. Ecco come proteggersi.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

phishing (1) , difendersi (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 468 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Se dovessero chiedermi quale sia stato il fenomeno IT più interessante del 2005 appena trascorso non avrei davvero dubbi: il phishing!

Non che questo tipo di truffa di per se sia nata l'anno scorso (gli utenti d'oltreoceano di servizi come PayPal o eBay ne sono colpiti fin dagli anni'90..) ma è stato il 2005 l'anno che ha segnato l'arrivo di questo fenomeno collegato specificatamente a istituiti di credito e servizi in lingua italiana.

Ma facciamo un passo indietro, e vediamo di capire di cosa si tratta

Il phishing

Il termine denota un particolare un tipo di truffa perpetrata via e-mail.

Il gruppo di truffatori raccoglie per prima cosa centinaia di migliaia di indirizzi e-mail Rete. Ottenerli non è difficile, basta affidarsi a sistemi di scansione automatizzati, che scandagliano le pagine web, i gruppi di discussione o i forum tematici a caccia di qualche utente poco accorto che, in barba a tutte le raccomandazioni anti-spam, ha avuto la pessima idea di lasciare il proprio indirizzo alla mercé di tutti. Oppure ci si affida ad uno dei tanti individui che per poco centinaia di dollari vendo liste di indirizzi a chiunque ne voglia disporre.

Un sito web fasullo

Dopo aver compilato una bella lista di possibili vittime, il truffatore prepara un sito web in tutto e per tutto uguale a quello di una banca, un servizio di pagamenti on-line o un qualsivoglia istituto di credito: nel prosieguo dell'articolo parlerò genericamente di "banca", ma è bene capire che la truffa può colpire qualsiasi servizio che permetta di trasferire elettronicamente denaro, come ad esempio BancoPosta.

Il sito-trappola è graficamente identico a quello vero, non fosse per il fatto che spedisce le informazioni inserite (quindi username e password digitati dagli utenti) direttamente nella casella e-mail del ladro.

Truffa_fineco.gif

Il sito viene poi ospitato ad un indirizzo simile a quello della banca che il truffatore sta imitando: ad esempio, qualcosa del tipo http://www.finecobanca.net al posto del vero www.fineco.it, oppure http://www.bancopostaonline-poste-it.com per imitare http://www.poste.it/bancoposta/

Una email come esca

Come ultimo passo viene costruita una e-mail che esorta gli utenti a reinserire le credenziali di accesso sul nuovo sito, adducendo motivazioni come un aggiornamento dei sistemi informatici o una modifica al servizio. Come ultimo passo si spedisce il messaggio alla lista di indirizzi costruita in precedenza, fingendosi la vera banca.

Truffa_bancoposta.jpg

Et voilà, il truffatore non deve far altro che aspettare: non appena un utente abboccherà, e inserirà nome utente e password sul finto sito, questi dati verranno inviati al ladro che potrà così accedere al conto corrente e trasferire somme di denaro a proprio piacimento.

Poco importa che la maggior parte degli utenti che riceveranno il messaggio non siano in alcun modo legati alla banca in questione: il truffatore spara nel mucchio, contando di contattare almeno una minima parte di utenti che effettivamente disponga di un conto corrente presso la banca che sta imitando.

Come prevenire

Questo genere di truffe sono spesso ben confezionate: nei messaggio visti fino ad ora il difetto più evidente era rappresentato dall'italiano impreciso delle missive (frasi del tipo la nostra zona tecniche e allargata con l'aggiunta di nuovo server attualmente nella fase di test risultano troppo mal formulate per provenire un'azienda rispettabile) ma non escludo che se il fenomeno dovesse proseguire nell'anno corrette la cosa verrà corretta rapidamente.

A parte questo, distinguere un messaggio fasullo da uno vero è tutt'altro che semplice.

Pagine
  1. Come difendersi dal phishing
  2. Pagina 2

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.4 sec.
    •  | Utenti conn.: 79
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.25