Il pescatore di informazioni

Posted on 22 giugno 2007

2


Nel 2003 un giovane statunitense di nome Michael ha sfruttato e-mail di spamming e una pagina web fasulla di AOL per indurre le persone  a rivelare informazioni della carta di credito che ha poi utilizzato per rubare alcune migliaia di euro. Malgrado il piano fosse decisamente azzardato, Michael è stato incredibilmente fortunato: le vittime hanno accettato la restituzione del denaro rubato evitandogli uno spiacevole periodo di detenzione penale. Questo è un classico esempio di Phishing.. è un termine che deriva dalla parola inglese “fishing” che significa pesca, e indica infatti l’attività di andare a pesca di informazioni. Io che sono un pescatore agonista posso sfatare un mito; non crediate che “il pescatore” è il classico esempio di pigrizia che aspetta che il pesce  abbocchi all’amo, anzi è il contrario.

 Tecnicamente, un attacco di phishing inizia in genere con l’invio di un’e-mail ingannevole. L’e-mail sembra provenire da un’azienda nota e affidabile con la quale verosimilmente il destinatario intrattiene già dei rapporti. Nell’e-mail viene segnalata la presenza di qualche problema con il conto del destinatario, vengono segnalati utilizzi o addebiti potenzialmente fraudolenti o viene semplicemente richiesta una verifica delle informazioni personali nel quadro di procedure volte a garantire una migliore protezione. Questo esempio di ingegneria sociale è piuttosto paradossale: il truffatore si offre per  proteggere la vittima dai rischi della sicurezza.

Purtroppo è un problema reale, attuale, che molte società di sicurezza cercano di arginare con tecnologie adeguate, sebbene non sempre riescano a raggiungere lo scopo prefissato.

Ci sono molte proposte per sconfiggere questo fenomeno, purtroppo ancora non si riesce a trovare la via maestra.

Di solito le più colpite sono le banche o realtà del mondo finanziario, quindi gli esperti  cercano di muoversi più rapidamente per cercare di fermare questo fenomeno:  c’è chi ha proposto di utilizzare domini riservati alle banche o organizzazioni finanziarie certificate e attestate. Dunque un dominio “.bank” al quale potrebbero accedere soltanto gli enti come le banche, il cui costo dovrebbe essere proibitivo per la maggior parte delle persone.

Un’idea che potrebbe salvaguardare la sicurezza degli utenti e in parte eliminare il fenomeno del phishing. È doveroso dire che i pionieri sono stati i siti dedicati ai musei che hanno registrato un  dominio “.museum”.     Se si riescono a proteggere le opere d’arte perché non si dovrebbero proteggere i propri soldi??

In Italia questo fenomeno è famoso perché ha colpito prevalentemente il sito di Poste Italiane.

In una recente ricerca effettuata da www.anti-phishing.it,  il sito di poste italiane ha avuto una percentuale d’attacco dell’87% mentre in minor misura Banca Intesa,e-bay Italia,Banca di Roma, paypal, Banca Sella e per finire Banca del Centroveneto.

Chi si è recato recentemente in posta  avrà sicuramente notato quella brochure posizionata in tutti gli sportelli che spiega come evitare i fenomeni di phishing.

  Sarà utile???

Sempre in una ricerca commissionata da anti-phishing.it al sito www.eurohackers.it, riguardante il livello di sicurezza rispetto ad un possibile attacco di phishing alle banche, è emerso un dato veramente interessante.

La ricerca è stata condotta su trenta istituti di credito on-line nazionali e tra loro sono risultate vulnerabili le seguenti:

  • Banca popolare italiana.
  • Banca d’Italia.
  • Banca Sella (di cui si è parlato del form a lezione).
  • Banca Etica.
  • Banca popolare di Novara.
  • Banca delle Marche.
  • Claris Banca.
  • Banca CR Firenze.
  • Banca popolare Pugliese.
  • Banca Iccrea.
  • Banca popolare del Lazio.
  • Banca di Romagna.

Questo dato è molto inquietante, il fenomeno del phishing è dilagato e tutti noi siamo possibili “pesci”.

Il meccanismo più usato dai siti per difendersi è quello dell’informazione rivolta ai clienti. Per esempio e-bay dedica una pagina del sito dove mette in allerta i propri utenti; purtroppo questo fenomeno sta dilagando anche nei blog, l’esempio più plateale è Myspace, preso d’assalto dai phisher.

Un modo per riconoscere un phishing è quello controllare con il puntatore la barra degli indirizzi/URL: se il risulta diverso è un PHISHING

Francesco Pieroni

Messo il tag:
Posted in: corso di crm