Cos'è il phishing?

Il phishing è una forma di trabocchetto o di furto di file ai danni di potenziali clienti di ISP, istituti bancari, fornitori di servizi di Internet banking, enti istituzionali e così via.

Ogniqualvolta inserite il vostro indirizzo email in Internet, ad esempio compilando moduli online o partecipando a newsgroup o siti web, è possibile che i dati vengano sottratti dai programmi crawler e utilizzati senza il vostro consenso per scopi fraudolenti o per altre azioni criminali.

Il concetto alla base del phishing

I phisher creano siti web falsi del tutto uguali ai siti di fornitori noti ed affidabili. In seguito, con l'aiuto di banche dati di posta elettronica o di indirizzi generati casualmente, viene gettata l'esca. Vengono richieste anche informazioni riservate da inserire in un sito web (tramite collegamenti come "fare clic qui" o collegamenti URL, simbolici o di testo), oppure direttamente in un modulo fornito nell'email. La richiesta appare sensata e, qualora venga ignorata, di solito seguono minacce di conseguenze, per suscitare una reazione immediata.

Esempi di oggetto delle email:
"Aggiornate il vostro conto PayPal"
"Il vostro conto eBay è stato bloccato!"

Di solito vengono richiesti i seguenti dati o simili:
$ Numero di carta di credito
$ Codice segreto e codice di transazione (TAN) del bancomat o dell'Internet banking
$ Dati relativi al conto
$ Numero dell'assicurazione sociale
$ Password
$ Dati dell'abbonamento di posta elettronica
$ Altri dati personali

Tecniche di phishing

Per lo più consiste nell'utilizzare un'email apparentemente attendibile per attirare l'utente in un sito web falsificato. Alcune email phishing contengono un modulo di richiesta o d'ordine nel corpo del messaggio. Vi ricordiamo che le entità in questione non inviano mai email contenenti dei moduli o richieste di dati personali.

L'URL del sito web falsificato può essere differente da quello vero. Ma anche gli URL possono essere falsificati.

• Social Engineering:
  L'URL falsificato è molto simile a quello vero, cosa che spesso sfugge a un primo sguardo. Ad esempio, l'URL http://www.volksbank.com può essere falsificato con http://www.voIksbank.com. Pensate che siano identici? Errato! La lettera minuscola "I", ad esempio, è stata sostituita con la maiuscola "i".
• Punti deboli del browser:
  Il sito web falsificato potrebbe contenere uno script che sfrutta i difetti di sicurezza (Exploit) del browser. In questo caso viene mostrato l'URL corretto, ma il contenuto del sito web proviene dal server truffaldino. Un esempio consiste nell'inserire una figura falsificata sopra l'indirizzo corretto del browser. L'utente non può fare clic nel campo di questa barra per selezionare l'URL. Altri Exploit possono mostrare un campo falsificato, che permette addirittura di cliccarvi sopra e selezionare l'URL.
• Pop-up:
  Il collegamento nell'email rinvia al sito web corretto, ma sullo sfondo si apre un'altra finestra del browser. È possibile in realtà consultare il sito web veritiero senza alcun pericolo, ma la seconda finestra potrebbe creare dei problemi. Spesso i pop-up non dispongono di una barra degli indirizzi sulla quale si possano riconoscere i siti web falsificati.
• Assenza della barra degli indirizzi:
  Alcuni siti falsificati non mostrano alcuna barra degli indirizzi. Se non prestate attenzione, può darsi che non vi accorgiate dell'assenza della barra.

Esistono ulteriori tecniche che possono essere utilizzate in aggiunta o in alternativa alla modifica della barra degli indirizzi per accedere a informazioni riservate.

• Altri punti deboli del browser:
  Sfruttando altri punti deboli del browser può essere inoltre scaricato e eseguito software malvagio di qualunque tipo. Si può trattare ad esempio di un trojan che registra tutte le digitazioni e controlla l'intero traffico Internet – soprattutto se inviate i vostri dati tramite un modulo online.
• Pharming:
  In questo caso si parla anche di "Domain Spoofing". L'utente viene deviato in un sito web falsificato. Anche se l'URL viene inserito correttamente nel browser, viene comunque richiamato il sito web falsificato. L'URL corretto, tuttavia, viene mostrato senza modifiche. Per effettuare tale deviazione occorre modificare la risoluzione del nome. Ciò è possibile tramite la modifica delle impostazioni del protocollo TCP/IP o tramite una voce nel file host.
• Man-in-the-Middle:
  Si tratta del metodo più sofisticato, in quanto nel computer locale non risulta alcuna modifica. Il phisher si colloca al centro, come un "uomo nel mezzo" e devia la connessione dell'utente su un falso server

Tecniche di mimetismo

Un sito web di phishing può utilizzare ulteriori trucchi, ad esempio:

• tooltip falsificate
• menu contestuali soppressi

I phisher aggirano le procedure di riconoscimento attraverso programmi antispam e antiphishing utilizzando le seguenti tecniche:

• caratteri alfabetici casuali o citazioni famose nell'oggetto o nel corpo del testo dell'email
• testo invisibile nell'email HTML
• contenuti HTML o Java invece del testo normale
• solo grafici (nessun testo nell'email)

 

Conseguenze

Poiché i phisher utilizzano moltissime tecniche o addirittura combinazioni di esse, non è facile riconoscere se un'email proviene da una fonte ufficiale o meno.

Quali conseguenze possono derivare dal rivelare informazioni riservate?

$ I phisher possono addebitare denaro sul vostro conto.
$ Possono aprire nuovi conti o stipulare contratti di servizi o di locazione a vostro nome.
$ Possono utilizzare una falsa identità e commettere crimini con i vostri dati personali.

Non abboccate all'esca!

• Non compilate mai formulari ricevuti via email con dati riservati. Tutti i fornitori di servizi affidabili utilizzano siti web sicuri e certificati digitali.
• Non fate clic sui link forniti nelle email - soprattutto se la mail vi giunge inaspettatamente. Chiedete al mittente se ha inviato di proposito l'email, utilizzando il numero di telefono che fornitovi direttamente dall'azienda in questione e non quello indicato nell'email.
• Non rispondete. Eliminate il messaggio e rivolgetevi direttamente all'azienda interessata. (utilizzando il numero di telefono che vi è stato fornito direttamente dall'azienda in questione e non quello indicato nell'email.)
• Non fate clic su link o collegamenti contenuti in tali messaggi. Digitate voi stessi l'indirizzo nel browser.

 

Regole di sicurezza

Eliminare un danno causato dal phishing costa tempo e fatica. Oltre alla perdita di produttività e all'utilizzo di risorse di rete, il furto di dati danneggia soprattutto voi stessi. Dovete dimostrare la vostra identità, recuperare la proprietà e i diritti e molto altro ancora, per poter riconquistare una veste irreprensibile.

È molto più semplice seguire alcune di regole di base per la sicurezza:

• Aggiornate sempre il vostro sistema operativo con gli ultimi patch usciti sul mercato.
• Sostituite Internet Explorer con altri browser.
• Utilizzate software antivirus e firewall e teneteli sempre aggiornati.
• Digitate sempre voi stessi gli URL, invece di utilizzare i collegamenti.
• Accertatevi di visitare siti web sicuri (HTTPS) e controllate i certificati digitali.
• Verificate regolarmente i vostri conti e gli estratti conto e notificate immediatamente qualsiasi tipo di utilizzo criminoso.
• Segnalate le email sospette alle società di sicurezza e alle autorità locali.

Potete inviare le email sospette anche ai seguenti indirizzi;
 
 

Conoscere i virus

---