Come difendersi dal Fishing
Introduzione
Per PHISHING si intende una tipologia di truffe informatiche effettuate tramite web per mezzo del quale un aggressore, può ingannare la vittima convincendola a fornire informazioni personali sensibili, senza che lo stesso sia consapevole del danno perpetuato a sue spese.
È una attività illegale che sfrutta una particolare tecnica che consiste nell'inviare, messaggi di posta elettronica che hanno la capacità di IMITARE alla perfezione SITI WEB di Banche o Poste, e così facendo si estorcono password di accesso al conto corrente, o le password che autorizzano i pagamenti oppure il numero della carta di credito.
Fishing, che in inglese vuol dire PESCARE allude all'uso di tecniche sempre più sofisticate per carpire dati finanziari e password di un utente. In questa guida vediamo come difendersi dal Fishing.
Occorrente
- computer ben funzionante
- antivirus molto potente
Vediamo qual è la metodologia di attacco.
Le fasi Principali sono le seguenti:
1) l'utente malintenzionato (phisher) spedisce al malcapitato utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
2) l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
3) l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).
4) il link fornito non porta in realtà al sito web ufficiale, ma a una copia simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5) il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Fate attenzione; le banche non inviano e-mail con questo tipo di informazioni! Al Massimo vi inviano raccomandate, oppure vi invitano a recarvi in filiale per chiarire situazioni anomale.
Come difendersi da questi attacchi informatici.
Bisogna fare attenzione ai siti visitati non autentici.
In caso di richiesta di dati personali, numeri di conto, password o carta di credito, è buona norma, prima di cancellare, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.
Il cliente può verificare i movimenti dall'estratto conto, che può vedere al Bancomat o dal proprio conto corrente on-line.
Molti istituti offrono un servizio di SMS alert, più efficace, perché notifica il movimento non appena viene effettuato, non quando avviene la sua registrazione, che può essere a distanza di diversi giorni.
Il servizio è gratuito; i costi del messaggio dipendono dall'operatore telefonico.
Occorre poi presentare denuncia alle Forze di Polizia, e recarsi in Agenzia con la copia della denuncia e il codice di blocco.
I servizi preposti penseranno a risalire agli eventuali truffatori e a impedire che gli stessi vi possano contattare in futuro.
Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Gli utenti di internet explorer possono utilizzare un filtro anti-spillaggio che utilizza una blacklist, e confronta gli indirizzi di una pagina web anomala con quelli presenti in una banca dati mondiale e centralizzata, e alimentata dalle segnalazioni anonime degli utenti stessi. Analoga protezione è presente in Mozilla Firefox (a partire dalla versione 2), che propone all'utente di scegliere tra la verifica dei siti sulla base di una blacklist e l'utilizzo del servizio anti-spillaggio offerto dai principali motori di ricerca.
E-MAIL CON OFFERTE DI LAVORO
Vi invitano a collaborare dicendo che sono società di transazioni finanziarie, oppure non a scopo di lucro, etc..
Vi inviano somme di danaro tramite bonifico (ovviamente proveniente da conti vittime di fishing, così risulterete voi ad essere i beneficiari di questi movimenti).
Poi vi inviteranno (pesantemente) a prelevare tali somme in contanti e ad inviarle tramite Western Union o altri servizi simili a terzi residenti all'estero, trattenendo per voi solitamente il 5% della somma inviata.
Non aderite a queste offerte, oltre a trovarvi nei guai potete essere accusati di complicità in attività illecite finalizzate alla truffa di terzi!
In quest'ultimo passo vengono spiegate le procedure per il risarcimento del danno.
Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell'account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito. I singoli contratti per l'apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate. Spesso, l'istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.
L'istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking rifiuta di risarcire le somme se il cliente ha smarrito la password di accesso insieme al token.
Tuttavia la banca (o altro istituto o società) ha l'onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l'utente del danno.