Overblog Tutti i blog Blog migliori Scienza e tecnologia
Edit post Segui questo blog Administration + Create my blog
MENU

tante curiosità e trucchetti dal mondo dell'informatica

Pubblicità

Il Phishing: quando l'e-mail diventa truffaldina

Chiunque abbia una casella di posta elettronica avrà avuto a che fare con e-mail come questa:

http://www.danielesalamina.it/wp-content/uploads/2008/05/phishing-poste-immagine.png

in cui si riceve un avviso di cambiamenti nel proprio conto corrente o nel proprio account e si chiede di reinserire i propri dati di accesso (o il numero di carta di credito compreso il codice di controllo) per verificare che tutto funzioni correttamente. Bene, quasi sempre si tratta di messaggi fraudolenti, inviati da qualcuno che vuole rubare la nostra identità elettronica.

Tentativi di truffa di questo tipo sono conosciuti con il nome di Phishing (parola inglese che indica il "pescare" dati sensibili), e sono nati ben prima che si diffondesse l'utilizzo di internet. In principio erano truffe telefoniche o eseguite dal vivo, in cui la vittima riceveva la telefonata o la visita di un qualche fantomatico consulente finanziario (o funzionario delle tasse, o un altro personaggio che al momento servisse allo scopo) che riusciva a carpire le informazioni al malcapitato di turno. Con l'avvento di internet il tutto è diventato più semplice, e basta una pagina web costruita in tutto e per tutto simile a quella della banca del destinatario per farsi rivelare i dati del proprio conto corrente senza alcuna fatica.     

Il funzionamento di simili truffe è piuttosto semplice, e possiamo ridurlo al seguente schema:

  1. L'utente malintenzionato spedisce alla vittima un messaggio di posta elettronica che simula in tutto e per tutto grafica e contenuto del sito di una istituzione ciu è iscritta la vittima (banca, provider web, organizzazione per cui si lavora).
  2. Nella mail viene segnalata una particolare situazione (addebiti in corso, accrediti, scadenza dell'account) e si chiede alla vittima di accedere a un link per risolvere la cosa.
  3. Il link in questione in realtà punta a una pagina web fittizia, situata su un server controllato dal mittente del messaggio e che ha l'unico scopo di rubare i dati di accesso alla vittima.
  4. Una volta che la vittima ha inserito i dati richiesti l'attacco è andato a buon fine e il nostro malintenzionato li userà per gli scopi più svariati ed illegali.

Purtroppo,in caso si subisca una truffa di questo tipo, sebbene la normativa del nostro Paese prevede che qualsiasi Banca o Istituzione debba proteggere il cliente da attacchi volti al furto dei dati personali, non è previsto alcun risarcimento se la Banca dimostra di aver attuato tutte le politiche di sicurezza necessarie a tutelare il cliente. Per quest'ultimo l'aver subito una frode informatica equivale al caso un cui viene fisicamente smarrito il bancomat ed il pin associato, si tratta di una sua mancata custodia e la Banca non è colpevole dell'accaduto. Il risarcimento è dovuto solo se viene dimostrato che la Banca non ha tutelato al 100% il cliente.

L'unico modo di difendersi è quindi quello di porre la massima attenzione alle mail che si ricevono: a volte per scoprire se il messaggio è fasullo basta controllare attentamente il link a cui fa riferimento, spesso è molto simile all'originale, ma con una lettura attenta (magari confrontandolo col sito a cui accediamo di solito per la nostra Banca) potremmo notare qualche differenza. Ad esempio cambierà qualche lettera, il suffisso, o altri caratteri. 

Una buona regola da seguire in caso di sospetti sarebbe quella di chiedere conferma alla Banca sull'origine del messaggio (contattando direttamente la propria filiale senza utilizzare alcun recapito di quelli inseriti nella mail). Nel caso si scopra che è una truffa la cosa migliore da fare è informare le autorità competenti in modo che possano bloccare il sito indicato dalla mail.

C'è da dire che a protezione degli utenti i client per la posta elettronica sono dotati di filtri anti-phishing che analizzano i mittenti delle mail e se scoprono che appartengono alla loro Black List provvedono automaticamente alla rimozione del messaggio, bollandolo come spam. Purtroppo la guerra tra criminali informatici e providers è sempre in corso, e ogni giorno vengono creati nuovi siti-truffa non ancora registrati come phishing, per cui consiglio sempre di porre la massima attenzione alle mail che si ricevono, in modo da scongiurare pericoli.     

 

 

Pubblicità
Torna alla home
Condividi post
Repost0
Per essere informato degli ultimi articoli, iscriviti:
Commenta il post