Cos'e' il Phishing
E’ una particolare tipologia di truffa realizzata su Internet attraverso l’inganno degli utenti. Questa attività illegale avviene principalmente attraverso messaggi di posta elettronica ingannevoli.
Attraverso una e-mail, che apparentemente sembra provenire da istituti finanziari (banche o società emittenti di carte di credito ecc.) o da siti web che richiedono l'accesso tramite registrazione (web-mail, e-commerce ecc.). La mail invita, informando di problemi alla registrazione o di altra natura, a fornire i propri dati riservati per accesso al servizio. Solitamente nel messaggio è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato clonato e quindi identico a quello originale. Nel momento in cui l'utente inserisce i propri dati riservati, questi saranno nella mani dei criminali.
Oltre a carpire informazioni il Phishing viene utilizzato anche per veicolare virus. Viene usato sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, multe, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un “trojan banking”, il virus si attiverà per carpire dati finanziari.
Consigli
- Le banche o le Società che emettono Carte di Credito non chiedono mai la conferma di dati personali tramite e-mail ma contattano i propri clienti direttamente per tutte le operazioni riservate. Diffidate quindi delle e-mail che, tramite un link, rimandano ad un sito web dove confermare i propri dati.
- Nel caso riceviate una e-mail, presumibilmente da parte della vostra banca, che vi fa richiesta dei dati riservati personali, recatevi personalmente presso il vostro istituto di credito.
- Se credete che l´e-mail di richiesta informazione sia autentica, diffidate comunque del link presente in questa, collegatevi al sito della banca che l´ha inviata digitando l´indirizzo internet, a voi noto, direttamente nel browser.
- Verificate sempre che nei siti web dove bisogna immettere dati (account, password, numero di carta di credito, altri dati personali), la trasmissione degli stessi avvenga con protocollo cifrato.
- Controllate, durante la navigazione in Internet, che l´indirizzo URL sia quello del sito che si vuole visitare, e non un sito “copia”, creato per carpire dati.
- Installate sul vostro computer un filtro anti-spam.
- Controllate che, posizionando il puntatore del mouse sul link presente nell´e-mail, in basso a sinistra del monitor del computer, appaia l´indirizzo Internet del sito indicato, e non uno diverso.
Un metodo che i truffatori utilizzano, per camuffare l´indirizzo web fasullo, è quello di far comparire, nella barra degli indirizzi del browser, l´indirizzo reale dell'istituto di credito o delle Società emittenti di carte di credito rendendo invisibile o illeggibile l´URL copia.
Per fare questo si ricorre al seguente espediente:
nel link contenuto nella e-mail è presente l´indirizzo reale, seguito dal simbolo della chiocciola “@” e dall'indirizzo fraudolento (es. www.intesasanpaolo.com@sitotruffa.it). La chiocciola “@” viene inserita nell´indirizzo Internet perchè, per impostazioni predefinite, i browser di navigazione non tengono conto dell´indirizzo scritto prima di tale simbolo. Quindi, la prima parte dell´indirizzo che è rappresentata dall´indirizzo reale della banca, non viene neanche letta dal browser di navigazione. Il browser punterà infatti alla pagina il cui indirizzo è posto dopo la chiocciola, quindi quello fraudolento.
Generalmente le e-mail di phishing arrivano agli utenti con il metodo dello spamming. E' utile installare sul proprio pc un software anti-spamming per filtrare o annullare la ricezione di tali messaggi.
Modus opernadi
Il modus operandi utilizzato è, solitamente, il seguente:
- Viene inviato alla vittima un messaggio di posta elettronica, che sembra provenire dalla sua banca o dalla società che gestisce il servizio utilizzato, in cui si segnala un problema al sistema di vario genere e la necessità di visitare il sito web di "Home banking" o di gestione del servizio utilizzato.
- Nel messaggio è anche contenuto l´invito ad andare sulla "home page" della banca con cui si ha il conto corrente gestito on line, cliccando direttamente sul link riportato nella mail.
- Il link conduce ad una finestra su cui digitare la "user-id" e la "password" di accesso al servizio (ovviamente questa pagina web non è realmente quella della banca o del servizio, ma un’altra identica ad essa.)
- In seguito all´inserimento dei dati personali richiesti appare un messaggio che informa sull´impossibilità di effettuare la connessione per assenza di collegamento.
- I codici inseriti e appena carpiti vengono poi utilizzati dai truffatori per effettuare dei collegamenti al vero sito della banca on line o del servizio.
C'è da dire che l'accesso ai nostri servizi bancari viene effettuato inserendo, oltre al nome utente e password, anche un codice OTP (One Time Password) ovvero una password usa e getta generata da un dispositivo o inviata tramite sms sul nostro smartphone.
Una variante del Phishing è il Vishing, il cui termine è composto dalle parole "voice" e "Phishing". Ha lo stesso obiettivo del phishing, quindi i truffatori cercano di convincere le vittime a fornire dati personali come indirizzi, password o gli estremi delle carte di credito, a differenza che viene attuata tramite telefonata o messaggio vocale.
bit01: Francesco Ressa
Non sono presenti ancora recensioni.