Previous Story
Il Phishing si evolve
Da Milano – Ormai quasi tutti avranno sentito parlare di Phishing. Il meccanismo è semplice: ricevete una e-mail, apparentemente proveniente dalla vostra banca on-line, che presenta un link e vi invita a cliccarlo per accedere ad una pagina web dell’istituto.
Sembra tutto regolare, l’ e-mail non induce sospetti perché sembra in tutto e per tutto provenire proprio dal vostro istituto di credito, inoltre il link riporta ad una pagina assolutamente identica a quella della vostra banca in cui si invita l’utente ignaro ad inserire i propri dati di accesso, tipo account e password, con la scusa di una verifica o qualche altra scusa convenzionale, anche questa apparentemente credibile.
Inserite i codici segreti e, dopo qualche tempo, vi ritrovate il conto corrente alleggerito.
Questa forma di truffa on-line è in realtà abbondantemente riconoscibile. Le mail inviate sono scritte spesso da stranieri, sgrammaticate, poco comprensibili. Eppure il phishing, seppure spesso male congeniato, fa le sue vittime. Il Phisher invia migliaia di mail in tutta la rete. Basta che una piccola percentuale di utenti “abbocchi” e la truffa diventa subito redditizia. Si gioca quindi sui grandi numeri, certi, come spesso accade, che almeno un utente su mille possa cadere incautamente vittima di questa truffa.
I siti “cloni” sono ospitati prevalentemente da nazioni extra europee. La lista vede in testa gli Stati Uniti con il 37% dei casi, la Cina con il 28%, la Corea con l’11%, il Brasile con il 3,97%, la Germania (2,95%), il Giappone (2,46%), il Canada (2,28%) e le altre nazioni con percentuali inferiori al 2%.
Più insidioso del pishing è il pharming, un attacco che avviene infettando un server DNS che indirizza i navigatori a un sito fraudolento malgrado loro abbiano digitato la URL corretta nel loro browser. Un attacco difficilmente rilevabile dal momento che il browser non segnala nessuna anomalia lasciando credere all’utente di navigare in un sito legittimo. A rendere più pericoloso questo tipo di attacco è il fatto che ad essere colpito non è un singolo navigatore, ignaro destinatario di una e-mail con un link fraudolento, bensì un elevato numero di vittime attaccate nello stesso istante in cui accedono a un falso dominio.
Ma purtroppo gli artisti della truffa si stanno inventando nuovi sistemi. Il Phishing è diventato anche telefonico. Qui ci sono diversi approcci. C’è chi chiama per cercare di carpire i dati chiedendo una verifica, chi è già in possesso di una parte di essi (non si sa bene come ma ormai con il commercio elettronico i dati delle carte circolano che è un piacere) e si limita a chiedere il numero di sicurezza a tre cifre che è la parte mancante per completare la frode.
Chi invia sms chiedendo sempre i soliti dati sensibili…
Le difese
C’è una regola che vale per tutte: non bisogna mai comunicare, in alcun modo e con nessun mezzo i propri dati sensibili.
Vi chiedono i dati della carta di credito al telefono? Mettete giù senza fare troppe cerimonie.
Vi mandano una mail di richiesta di dati? Ignoratela.
Spesso i truffatori sono facilmente identificabili, presunte banche che chiamano la sera fuori dall’orario di ufficio con interlocutori poco professionali, mail approssimative e via dicendo. La parola d’ordine è comunque diffidare.
Poi, volendo Esistono alcune società specializzate proprio in software realizzati per combattere questo genere di truffa, come Websense (http://www.websensesecuritylabs.com/alerts/), che propone Websense Web Security Suite un prodotto che risulta complementare agli altri software di difesa come antivirus e anti spam, in grado di identificare in modo sicuro le mail che cercano di portare attacchi di tipo phishing.
