Si chiama phishing il nuovo fenomeno che intercetta dati sensibili per poi trarne vantaggi economici. Prende le mosse dallo spam e si combatte con…
Febbraio 2005, Che lo spam sia un business, lo possiamo dare per assodato.
Ma ora che la truffa è on line e pare essere un passaggio "logico"
dello spam, è il caso di prestare molta attenzione a ciò di cui
gli utenti, sia consumer che business, hanno bisogno. Perché c’è
un nuovo fenomeno che si sta affacciando con forza e che viene definito Phishing
(acronimo di Password harvesting fishing). Siamo di fronte a un fenomeno di
phishing quando un cracker agisce attraverso e-mail per catturare nominativi
e dati sensibili. Lo fa dissimulando la propria identità e assumendo
quella di realtà bancarie gestori di carte di credito. Spesso il messaggio
adotta la scusa di dover aggiornare i dati del cliente per richiedere all’utente
di inserire informazioni personali come numeri di carte di credito e password.
Talvolta l’e-mail contiene un link a un falso sito del tutto simile a
quello del presunto mittente; in questo sito viene chiesto all’utente
di inserire i suoi dati che vengono così trasmessi al phisher.
Di chi è il problema?
Ecco allora che, in prima istanza, da una parte abbiamo due entità danneggiate:
da un lato il cittadino, qualsiasi italiano che usa la posta elettronica. Dall’altro
le aziende che vengono "usate" per carpire la buon fede. E queste
sono le banche, ovviamente, le assicurazioni, ma anche coloro i quali hanno
un’attività di e-commerce.
Gartner ha stimato che ben 57 milioni di adulti statunitensi abbiano ricevuto
durante il 2004 un messaggio di posta elettronica legato a un tentativo di phishing.
E il 5% è stato convinto a rispondere inviando le proprie informazioni
personali. Ora non si tratta solo di essere allerta al 100 per cento. Vero è
che la minaccia risulta amplificata dal fatto che recenti forme di phishing
sfruttano vulnerabilità software forzando le macchine a scaricare un
codice eseguibile (similmente al metodo utilizzato dal worm "Sasser"
rilevato nel maggio 2004) che effettua, quindi, la raccolta dei dati presenti
sul pc dell’utente reindirizzandoli verso altre macchine.
Sta di fatto che per studiare e combattere il fenomeno del phishing si è
costituito un gruppo di lavoro l’Anti-phishing working group (Apwg) e questo
fa notare come il problema tenda ad aggravarsi. Gli attacchi sarebbero, infatti,
cresciuti nell’ultimo semestre a un tasso del 110% al mese: dai 28 del novembre
2003 ai 1.125 verificati nell’aprile 2004.
E in Italia? Nel nostro Paese non ci sono dati certi sul fenomeno. Vero è
che le stesse associazioni per la tutela dei consumatori si stanno muovendo,
allertate da numerose denunce arrivate da cittadini che si sono visti richiedere
le proprie coordinate bancarie da e-mail "strane". E pare che lo
stesso ufficio comunale di Roma sia stato oggetto di due tentativi di truffa
telematica. Tanto per capire il possibile raggio d’azione segnaliamo che
nella sola Capitale, secondo una ricerca effettuata dal Comune, sarebbero circa
300mila i privati abilitati ai servizi offerti dalle banche on line. Pare, inoltre,
che tramite i sistemi di Internet banking i clienti richiedano in media 100
informazioni sul proprio conto corrente e dispongano di 10 bonifici all’anno.
Le transazioni sono molte…
Consigli in caso di phishing
Va da sé che siamo di fronte a un’utenza abbastanza evoluta perché
utilizza una banca on line e fa e-commerce: quindi di sicuro, mentre lo spam
tocca un vasto raggio di utenza, qui il target è più sofisticato.
Ciò non vuol dire che sia ristretto. Anzi.
Ecco allora cosa è bene consigliare all’utenza finale. Noi ci siamo rivolti
allo stesso avvocato referente dell’ufficio per la tutela dei consumatori di
Roma, Sergio Scicchitano, il quale suggerisce agli utenti finali
di:
1) diffidare di chi chiede tramite e-mail di inviare dati personali
quali codice fiscale, numero di conto, numero di carta di credito, codici di
accesso, pin e password;
2) contattare i call center dell’azienda che presumibilmente
ha spedito l’e-mail sospetta;
3) qualora venisse richiesto l’inserimento di dati riservati
via e-mail non selezionare mai direttamente l’indirizzo Web contenuto nel messaggio;
4) per collegarsi al proprio istituto bancario è bene
aprire sempre il proprio browser Web e digitare l’Url ufficiale senza utilizzare
altri tipi di link;
5) quando si inseriscono i propri dati riservati su Internet
controllare di essere su una pagina protetta da certificato di crittografia
valido, riconoscibile dalla presenza dell’immagine di un lucchetto sulla finestra
del browser che consente anche di identificare con certezza l’autenticità
del servizio utilizzato.
E se succede? Per prima cosa si deve denunciare il fatto alle Forze dell’ordine
e inviare copia della denuncia ai creditori. Si deve, inoltre, contattare almeno
uno dei principali bureau di credito in modo che la posizione creditizia venga
segnalata come soggetta a una possibile frode in atto.
Qualsiasi conto corrente minacciato o usato in maniera fraudolenta deve essere
chiuso. È altresì opportuno controllare con attenzione estratti
conto e rendiconti delle spese con carte di credito per verificare che non vi
siano acquisti effettuati da altri.
