Cos'è il phishing

In ambito informatico il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto falsi messaggi di posta elettronica o messaggi istantanei, ma anche contatti telefonici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, etc.

 

Metodologie di Attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

  1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).
  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

In Italia il fenomeno ha coinvolto diversi istituti di credito che offrono il servizo di Home Banking e dal mese di Aprile 2007 anche le Poste Italiane e la banca San Paolo-Intesa.

 

Il caso delle Poste Italiane

Particolarmente preso di mira dal phishing nel mese di Aprile del 2007 è stato il sito delle Poste Italiane.
In questo caso il phisher invita il destinatario dell' e-mail a collegarsi sul (falso) sito delle Poste Italiane per la "verifica dei dati anagrafici forniti".
Nel tentativo di essere maggiormente convincente minaccia anche la possibilità di una "interruzione del servizio" usando termini come "reato penalmente perseguibile". (Guarda l'E-mail)

Un'altra e-mail, che da un punto di vista grafico e di contenuti può risultare a prima vista più accattivante e più credibile rispetto alla precedente, cerca di convincere a fornire informazioni per diventare "utente verificato" e poter usufruire di non meglio specificati "nuovi servizi"; il phisher in questo caso non usa toni minacciosi ma si rivolge all'utente cercando di fare leva su un suo possibile interesse per eventuali servizi aggiuntivi. (Guarda l'E-mail)

 

Il caso Sanpaolo-Intesa

Un altro caso veramente singolare è quello di una e-mail che circola da maggio del 2007 e che coinvolge il gruppo bancario SanPaolo-Intesa.
In questo caso il phisher avverte il destinatario che il suo conto presso la banca è stato sospeso perchè c'è il sospetto, udite udite, che l'utente sia stato vittima di un furto di identità!

 

COME DIFENDERSI

Un Falso Timore

Una preoccupazione frequente degli utenti è capire come ha fatto il phisher a sapere che hanno un conto presso la banca o altro servizio on-line indicato nel messaggio-esca.
In realtà, normalmente il phisher non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.
Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di phishing.

 

Connessioni Sicure

Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona (a forma di lucchetto in tutti i browser) che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL).
La pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet.

 

Programmi Specifici

Esistono programmi software specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico.
Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si possono trovare i link sospetti in un'e-mail.

 

Filtri Anti-Spam e Anti-Phishing

Se l'utente non è titolare di un conto corrente on-line e riceve gli estratti conto periodici per posta ordinaria (non via e-mail), può impostare il filtro anti-spam sull'indirizzo dell'istituto di credito.
In questo modo, le e-mail contenenti un indirizzo della banca o un link alla banca stessa nel testo dell'e-mail, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle sospette.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-phishing che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft, ed alimentata dalle segnalazioni anonime degli utenti stessi.
Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del Web (in Italia, la Polizia Postale).

 

IL DECALOGO DELL'ABI

L'ABI ha stilato un utile decalogo per difendersi dal phishing, orientato particolarmente agli utenti che usufruiscono dei servizi di Home Banking, ma che può essere tranquillamente esteso a tutti gli utenti della rete.

1.      diffidate di qualunque e-mail che richieda l'inserimento di dati riservati: la vostra banca non richiederà tali informazioni via e-mail

2.      è possibile riconoscere le truffe via e-mail con qualche piccola attenzione. Generalmente queste e-mail non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici); fanno uso di toni intimidatori, ad esempio minacciando la sospensione dell'account in caso di mancata risposta; non riportano una data di scadenza per l'invio delle informazioni

3.      nel caso in cui riceviate un messaggio contenente richieste di questo tipo, non rispondete via e-mail, ma informate subito la vostra banca tramite il call center o recandovi in filiale

4.      non cliccate su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurvi ad un sito contraffatto, difficilmente distinguibile dall'originale. Anche se sulla barra degli indirizzi del browser viene visualizzato l'indirizzo corretto, non vi fidate: è possibile infatti per un hacker far visualizzare un indirizzo diverso da quello nel quale realmente vi trovate

5.      diffidate inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali

6.      quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l'indirizzo che compare nella barra degli indirizzi del browser comincia con https:// e non con http:// e nella parte in basso a destra della pagina è presente un lucchetto

7.      diffidate se improvvisamente cambia la modalità con la quale vi viene chiesto di inserire i vostri codici di accesso allo home banking: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contattate la vostra banca tramite il call center o recandovi in filiale

8.      controllate regolarmente gli estratti conto del vostro conto corrente e delle carte di credito per assicurarvi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contattate la banca o l'emittente della carta

9.      le aziende produttrici dei browser rendono periodicamente disponibili on-line e scaricabili gratuitamente degli aggiornamenti (cosiddette patch) che incrementano la sicurezza di questi programmi. Sui siti di queste aziende è anche possibile verificare che il vostro browser sia aggiornato; in caso contrario, è consigliabile scaricare e installare le patch

10.  Internet è un po' come il mondo reale: come non dareste a uno sconosciuto il codice PIN del vostro bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i vostri dati riservati senza essere sicuri dell'identità di chi li sta chiedendo. In caso di dubbio, rivolgetevi alla vostra banca.

 

I Dialer Illegali

Cos'è un Dialer

Un dialer è un programma per computer che crea una connessione ad Internet, ad un'altra rete di calcolatori o semplicemente ad un altro computer tramite la comune linea telefonica.
In inglese to dial significa comporre, ma il termine dialer nell'accezione più comune si riferisce a quei programmi software associati ad elevate tariffazioni telefoniche che spesso nascondono frodi e truffe; per completezza va detto che esistono comunque anche dialer perfettamente legali ed autorizzati dal Ministero dell Telecomunicazioni.

 

Come agisce

La maggior parte di questi programmi, una volta installati sul proprio computer, si connettono a numeri telefonici con tariffazione speciale all'insaputa dell'utente; solo pochi di questi dialer contengono l'indicazione visibile ed esatta del costo della chiamata, mentre la maggior parte di essi utilizza metodi illegali, rientrando così nel reato di truffa.

 

Come si diffonde

Il metodo più diffuso per la propagazione dei dialers è quello basato sul principio dell'ormai desueto pay per click che in altri termini significa elargire una percentuale di guadagno a coloro che, ad esempio tramite un loro sito, contribuisco alla diffusione del dialer.

Il guadagno per il webmaster (il gestore del sito) si concretizza generalmente in pagamenti mensili di una percentuale sui minuti di connessione che risultino provenire dall'indirizzo IP del sito tramite il quale gli utenti hanno attivato, non consapevoli del rischio, il dialer truffaldino che il webmaster gli ha messo a disposizione.

Il metodo meno invasivo che questi software maligni usano per convincere l'utente ad installarli è fornire informazioni incomplete; sono numerosi i siti che promettono ad esempio loghi e suonerie per il telefono cellulare, canzoni e file mp3, ricette culinarie, immagini pornografiche tutte gratuitamente, a patto che il navigatore installi un certo programma, naturalmente anch'esso offerto gratuitamente.
Il programma è in realtà un dialer che si connette a quei numeri telefonici dall'elevato costo (anche 3/4 € al minuto oppure 10/12 € alla risposta.
Le informazioni sul prezzo e sul numero chiamato sono spesso assenti o nascoste, inducendo di fatto l'utente a credere che i servizi offerti siano effettivamente gratuiti; a volte i messaggi sono in lingua straniera e lasciano intendere che quello che sta installando sia un "innocuo" plug-in.

In altri casi questi programmi truffa sfruttano metodi ancora più deplorevoli: a volte disabilitano l'altoparlante del modem in modo che l'utente non sia accorga di una nuova chiamata in corso che si sostituisce a quella del collegamento internet attivo fino a quel momento, oppure impediscono la loro disinstallazione replicandosi sul computer con un comportamento simile a quello di certi virus.

 

 

Come difendersi

Un primo modo per neutralizzare la minaccia dei dialers è quello di passare dalla connessione Internet via Modem a quella di tipo ADSL; in questo caso infatti il software maligno, anche se installato, tenta inutilmente di comporre il numero perchè il router adsl, che sostituisce il vecchio modem, è collegato al computer tramite una connessione di rete (raramente tramite la porta Usb) e non più tramite il cavo telefonico; l'importante è che il computer, oltre alla ADSL, non sia connesso ad una seconda linea telefonica analogica (ad esempio per inviare o ricevere Fax).
Analogamente chi usa Internet collegato ad una rete aziendale, ad esempio sul posto di lavoro, non è soggetto alle conseguenze dei dialers.
Attenzione alle linee ISDN: sono linee telefoniche di tipo digitale introdotte in Italia una decina di anni fa, ormai in via di dismissione, che però nei confronti dei dialer presentano la stessa vulnerabilità delle linee telefoniche normali.

Un altro modo valido per proteggersi, anche se purtroppo non completamente sicuro, è quello di acquistare o scaricare dalla rete alcuni programmi particolari che, in modo simile agli antivirus, possono indivuduare la presenza di dialer sul proprio computer e impedirne l'installazione e/o l'attivazione (sono i cosiddetti Antidialer e Antispyware).

In ogni caso per le denunce è sempre competente la Polizia Postale.

Infine, per richiedere la disabilitazione di alcuni numeri telefonici, sporgere reclami o segnalazioni a seguito di una bolletta eccessivamente salata occorre chiamare il servizio clienti del proprio gestore telefonico.