,

Pishing: A caccia di dati riservati

Quando pensavate di poter nuovamente accedere alla vostra casella di posta in tutta sicurezza, ecco profilarsi una nuova forma di spamming all’orizzonte. E questa volta non si tratta solo di posta indesiderata e irritante. Questo tipo di spam potrebbe infatti avere come conseguenza il furto del vostro numero di carta di credito o di vostre password, informazioni relative a un account o altre informazioni personali. Il Pishing è una tecnica frudolenta usata per “pescare” (dal qui il nome del fenomeno) dati riservati. Studiamolo meglio. Continuate a leggere per saperne di più su questa nuova forma di furto di identità e conoscere possibili modi per contribuire alla protezione delle vostre informazioni personali.

Che cos’è il phishing?

L’ignaro utente riceve una e-mail dal suo istituto di credito, da eBay o da PayPal, tra le vittime preferite del pishing o da altre grandi organizzazioni, con la richiesta di cliccare su un link e compilare un forum con una serie di dati, tra cui nome utente e password, numero della carta di credito, estremi del conto on line…

L’invito standard quasi sempre si mostra con una intimidazione simile:
“Gentile cliente, se non aggiorna i suoi dati entro tra giorni il suo account sarà sospeso”.
Il link presente nel corpo del messaggio punta a un sito clone di quello originale che, dunque, può indurre in errore anche lo stesso utente con molta esperienza sul campo.

Il phishing, in parole povere, è un tipo di frode ideato allo scopo di rubare l’identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l’utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata o finestre a comparsa.

Come funziona?

Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. I messaggi di posta elettronica e i siti Web in cui l’utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali.

Per far sembrare tali messaggi di posta elettronica ancora più veritieri, un esperto di contraffazione potrebbe inserirvi un collegamento che apparentemente consente di accedere ad un sito Web autentico, ma che di fatto conduce ad un sito contraffatto o persino una finestra a comparsa dall’aspetto identico al rispettivo sito ufficiale. Queste imitazioni sono spesso chiamate siti Web “spoofed”. Una volta all’interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all’autore del sito che le utilizzerò per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l’identità dell’utente.
L aumento degli attacchi di phishing è dovuto a diversi fattor: il primo è che i virus stanno diventando sempre più mirati su specifici target e non sembrano puntare più alla larga diffusione.
Secondo: stanno cambiando i metodi di autenticazione dei siti di e-commerce che stanno portando a un aumento dei cosiddetti attacchi MITM (Man In The Middle attack) nei quali l’attacker è in grado di intercettare e modificare i messaggi fra due utenti a loro insaputa. Terzo: sono sempre più i siti di phishing che stanno usando tecnologia Flash al posto del classico HTML nel tentativo di superare le barriere antiphishing dei browser (funzione ormai che si trova in tutti i più famosi: Google Chrome, Firefox, Internet Explorer, Opera).

Ecco cosa potete fare per proteggervi dal phishing
Gli esperti di contraffazione continueranno a sviluppare nuove e più subdole forme di inganno online, così come nella vita reale. Tuttavia, seguendo questi cinque facili passaggi potete proteggere le vostre informazioni e la vostra sicurezza.

1. Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica (le aziende più affidabili non richiederanno mai password, numeri di carte di credito o altre informazioni personali in un messaggio di posta elettronica). In caso di dubbio, rivolgetevi all’istituto che dichiara di avervi inviato l’e-mail.
2. Visitare i siti Web digitandone il rispettivo URL nella barra degli indirizzi.
3. Verificare che il sito Web utilizzi la crittografia (appare un lucchetto chiuso vicino all indirizzo in alto, oppure la barra degli indirizzi diventa totalmente verde).
4. Esaminare regolarmente i rendiconti bancari e della carta di credito.
5. Denunciare sospetti usi illeciti delle proprie informazioni personali alle autorità competenti.

Luca Chialastri