Se dovessero chiedermi quale sia stato il fenomeno IT più interessante del 2005 appena trascorso non avrei davvero dubbi: il phishing!
Non che questo tipo di truffa di per se sia nata l'anno scorso (gli utenti d'oltreoceano di servizi come PayPal o eBay ne sono colpiti fin dagli anni'90..) ma è stato il 2005 l'anno che ha segnato l'arrivo di questo fenomeno collegato specificatamente a istituiti di credito e servizi in lingua italiana.
Ma facciamo un passo indietro, e vediamo di capire di cosa si tratta
Il phishing
Il termine denota un particolare un tipo di truffa perpetrata via e-mail.
Il gruppo di truffatori raccoglie per prima cosa centinaia di migliaia di indirizzi e-mail Rete. Ottenerli non è difficile, basta affidarsi a sistemi di scansione automatizzati, che scandagliano le pagine web, i gruppi di discussione o i forum tematici a caccia di qualche utente poco accorto che, in barba a tutte le raccomandazioni anti-spam, ha avuto la pessima idea di lasciare il proprio indirizzo alla mercé di tutti. Oppure ci si affida ad uno dei tanti individui che per poco centinaia di dollari vendo liste di indirizzi a chiunque ne voglia disporre.
Un sito web fasullo
Dopo aver compilato una bella lista di possibili vittime, il truffatore prepara un sito web in tutto e per tutto uguale a quello di una banca, un servizio di pagamenti on-line o un qualsivoglia istituto di credito: nel prosieguo dell'articolo parlerò genericamente di "banca", ma è bene capire che la truffa può colpire qualsiasi servizio che permetta di trasferire elettronicamente denaro, come ad esempio BancoPosta.
Il sito-trappola è graficamente identico a quello vero, non fosse per il fatto che spedisce le informazioni inserite (quindi username e password digitati dagli utenti) direttamente nella casella e-mail del ladro.
Il sito viene poi ospitato ad un indirizzo simile a quello della banca che il truffatore sta imitando: ad esempio, qualcosa del tipo http://www.finecobanca.net al posto del vero www.fineco.it, oppure http://www.bancopostaonline-poste-it.com per imitare http://www.poste.it/bancoposta/
Una email come esca
Come ultimo passo viene costruita una e-mail che esorta gli utenti a reinserire le credenziali di accesso sul nuovo sito, adducendo motivazioni come un aggiornamento dei sistemi informatici o una modifica al servizio. Come ultimo passo si spedisce il messaggio alla lista di indirizzi costruita in precedenza, fingendosi la vera banca.
Et voilà, il truffatore non deve far altro che aspettare: non appena un utente abboccherà, e inserirà nome utente e password sul finto sito, questi dati verranno inviati al ladro che potrà così accedere al conto corrente e trasferire somme di denaro a proprio piacimento.
Poco importa che la maggior parte degli utenti che riceveranno il messaggio non siano in alcun modo legati alla banca in questione: il truffatore spara nel mucchio, contando di contattare almeno una minima parte di utenti che effettivamente disponga di un conto corrente presso la banca che sta imitando.
Come prevenire
Questo genere di truffe sono spesso ben confezionate: nei messaggio visti fino ad ora il difetto più evidente era rappresentato dall'italiano impreciso delle missive (frasi del tipo la nostra zona tecniche e allargata con l'aggiunta di nuovo server attualmente nella fase di test risultano troppo mal formulate per provenire un'azienda rispettabile) ma non escludo che se il fenomeno dovesse proseguire nell'anno corrette la cosa verrà corretta rapidamente.
A parte questo, distinguere un messaggio fasullo da uno vero è tutt'altro che semplice.
Come prima regola imponiamoci di trattare come possibili truffe tutti i messaggi che sembrino provenire dalla banca, da PayPal, dalle poste o in generale da qualsiasi servizio possa disporre dei nostri soldi. Semplice ma assolutamente efficace: appena arriva un messaggio da un mittente che assomigli ad uno dei servizi citati lo classifichiamo come truffa: ora sarà la e-mail a doverci convincere di essere originale, non il contrario!
Diamo ora un'occhiata al messaggio: attenzione bene, il nostro presupposto è che sia una truffa, dobbiamo andare a caccia di indizi che ci dicano il contrario.
Se include il nostro nome e cognome completo è un indizio che il messaggio possa essere genuino. I truffatori infatti non hanno (generalmente parlando) la possibilità di risalire ai dati anagrafici dell'utente dietro un indirizzo e-mail. Attenzione però, questo non è sufficiente per dire che il messaggio sia originale!
Leggiamo ora il testo e capiamone il contenuto: se si tratta di un messaggio informativo che non richieda alcuna risposta (ad esempio qualcosa del tipo la informiamo che l'interesse sul conto corrente sono scesi dello 0.25%) ci sono ottime possibilità che sia originale. Potremo verificare l'informazione sul sito della banca emittente, ma in generale il messaggio può essere considerato attendibile.
Se invece si sta chiedendo di cliccare su di un link e inserire nome utente e password, le possibilità che si tratti di un messaggio fasullo sono prossime al 100%. In questo caso interrompiamo immediatamente la lettura e non facciamo niente (men che meno cliccare sull'indirizzo proposto nella mail!) anche se sembra autentico. Lasciamo il messaggio a decantare almeno 4-5 giorni prima di fare qualsiasi cosa: questo darà il tempo alla banca di aggiornare il sito web in caso di pericolo (e a MegaLab.it di segnalare la cosa sulle proprie pagine, in caso si trattasse di una truffa su vasta scala!).
Trascorso questo lasso di tempo apriamo il navigatore web e digitiamo nella barra degli indirizzi l'indirizzo della nostra banca. No, non cliccate su uno dei preferiti, non aprite il sito con un click sull'URL proposto nel messaggio: aprite una nuova finestra del navigatore e digitate, solo così avrete la certezza che si tratti del sito originale.
Date un'occhiata in giro: vedete un qualsiasi richiamo alla comunicazione giunta via e-mail? Nella stragrande maggioranza dei casi non troverete niente di simile, ma al suo posto sarà ben visibile un avvertimento della banca che mette in guardia i clienti dal messaggio truffa in questione.
Se invece trovate un avviso che conferma la necessità di inserire le vostre credenziali su di un altro sito.... personalmente tendo ad essere un po' paranoico quando si tratta dei miei soldi, e prima di fare qualsiasi cosa chiedo conferma telefonicamente alla mia banca. Ma in caso siate meno maniacali del sottoscritto potete considerare attendibile il messaggio, e proseguire seguendo l'indirizzo proposto sul sito originale della banca (non quello del messaggio e-mail!).
Netcraft Toolbar
Se volete una sicurezza in più, potete installare anche la toolbar messa a disposizione da Netcraft. Questo strumento, disponibile sia per Internet Explorer sia per Firefox, comprende una interessante funzionalità che mostra un messaggio di avviso in caso si tenti di accedere ad un sito fasullo.
Non è infallibile, ma si tratta sicuramente di una protezione in più.
Netcraft Toolbar per Internet Explorer - Netcraft Toolbar per Mozilla Firefox
Se avete già abboccato..
Se vi rendete conto di aver fornito le vostre credenziali di accesso ad un sito fasullo, contattate immediatamente la vostra banca e informateli dell'accaduto. No, non spedite una e-mail e non utilizzate il form presente sul sito web: le possibilità di limitare i danni sono tanto più alte quanto più vi muovete con tempestività.
Preparate quindi le vostre coordinate bancarie, fra cui il numero di conto corrente, il codice cliente e la password che utilizzate per fare login sul sito originale e contattate il call center telefonicamente, illustrando l'accaduto.
Farete una figuraccia, ma in linea di massima dovreste riuscire a risolvere il problema.
I casi documentati
Se avete qualche minuto libero date un'occhiata ai casi di phishing che abbiamo documentato fino ad ora: poiché la strategia di fondo è sempre la stessa, si tratta di letture interessanti per evitare truffe future.
- Nuova truffa per Banca Intesa
- Nuova truffa ai danni degli utenti eBay
- Nuova truffa per clienti Fineco
- Nuova truffa per Banca ByBank
- Banca Intesa / San Paolo IMI / Fineco: il phising ci riprova
- Oggi si truffa.... BancoPosta!
- Riprende forza la truffa BancoPosta
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati