Home

Phishing: truffe informatiche

Mer, 18/04/2007 - 10:59 da Federconsumatori

Phishing: un'e-mail per rubare i Vostri dati di home banking

La Federconsumatori, comunica a tutti i cittadini di stare attenti alle nuove truffe informatiche che corrono sul web, una delle tante e delle più insidiose è la tecnica del phishing. Infatti in ambito informatico il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei che sono stati perfino ricevuti dalla nostra associazione o, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

Il Phishing funziona in questa maniera: l'utente riceva una email con il logo della Sua banca o di un latro istituto bancario e gli dice che c'è un imprecisato problema al sistema di "home banking". Lo invita pertanto ad aprire la home page della banca con cui avete il conto corrente gestito via web e di cliccare sul link indicato nella mail.

Subito dopo aver cliccato sul link si apre una finestra (pop-up) su cui digitare la "user-id" e la "password" di accesso all'home banking. Dopo pochi secondi, in generale, appare un altro pop-up che lo informa che per assenza di collegamento non è possibile la connessione. A questo punto qualcuno è entrato in possesso dei dati dell'utente e può fare operazioni dal suo conto.

Il raggiro consiste nell'acquisire "user-id", "password", nome dell'istituto di credito ed eventuali altri dati immessi dall'ignaro utente. Così grazie a quel primo pop-up che ha registrato i dati, il conto corrente viene svuotato con bonifici fatti a società fantomatiche.

Purtroppo i dati rilevano che la truffa online è purtroppo in aumento esponenziale.

Come riconoscere una e- mail di phishing

Esempio di phishing tramite posta elettronica: il messaggio contiene un indirizzo URL ingannevole che collega a un sito Web falsificato

Per far apparire più autentico il messaggio di posta elettronica, l'autore della frode può inserire un collegamento in apparenza valido al sito Web dell'azienda originale, che in realtà conduce a un falso sito appositamente predisposto oppure apre una finestra popup che riproduce fedelmente il sito Web autentico.

Queste imitazioni sono spesso chiamate siti Web falsificati. Una volta all'interno di uno di questi siti falsificati, è possibile che gli utenti immettano involontariamente informazioni personali che vengono inviate all'autore della frode.

Come individuare i messaggi di posta elettronica fraudolenti

Di seguito vengono elencate alcune espressioni che è possibile trovare all'interno dei messaggi inviati dagli autori di una frode tramite phishing.

"La preghiamo di confermare i dati relativi al suo account." Le aziende serie non dovrebbero avere necessità di richiederti di fornire password, dati di accesso, codice fiscale o altre informazioni tramite posta elettronica.

"Se non riceveremo risposta entro 48 ore, il suo account verrà chiuso." Questi messaggi sottolineano spesso l'urgenza della risposta per indurre ad agire senza soffermarsi a pensare. I messaggi di posta elettronica con phishing attuano tale procedura sostenendo che, in mancanza di una risposta, potrebbero verificarsi dei problemi con l'account.

"Gentile cliente."I messaggi contraffatti vengono solitamente inviati in blocco a diversi destinatari e non contengono il nome o cognome dei singoli utenti.

"Fare clic sul collegamento sottostante per accedere al proprio account."All'interno dei messaggi in formato HTML è possibile inserire collegamenti o moduli compilabili in modo analogo a quelli presenti nei siti Web.
I collegamenti che si chiede di utilizzare possono contenere tutto o parte del nome di un'azienda autentica e sono solitamente "mascherati" ovvero il collegamento visualizzato non corrisponde all'indirizzo reale ma rimanda a un altro sito Web, solitamente predisposto dall'autore della frode.Osserva l'esempio seguente: se posizioni il puntatore del mouse sul collegamento, nella casella con lo sfondo giallo viene rivelato il vero indirizzo Web corrispondente al collegamento. La stringa numerica è decisamente diversa dall'indirizzo Web dell'azienda e ciò è un segnale molto sospetto.

Esempio di indirizzo URL mascherato

Gli autori delle frodi utilizzano anche URL che sembrano corrispondere al nome di una nota azienda, ma in realtà, grazie all'aggiunta, l'omissione o la trasposizione di alcune lettere, sono leggermente diversi.

Elenchiamo qui di seguito alcuni consigli per non cadere nella truffa.

Non ci cadete, si tratta sempre di una truffa! Nessuna banca o istituto vi chiederebbe mai i codici personali attraverso una richiesta via e-mail. Mai. Le banche contattano i loro clienti direttamente, in particolare modo per queste operazioni riservate.

Quello che può generare disorientamento nell'utente che riceve questi messaggi è la apparente autenticità dell'azienda che richiede i dati. Nel tempo gli sciacalli del web hanno affinato le loro armi: grafica accattivante, loghi ufficiali di aziende e istituzioni, messaggi efficaci e scritti in buon italiano o in altre lingue, cortesia e semplicità possono fare pensare di non essere vittime di un raggiro. Negli ultimi tempi inoltre i truffatori hanno perfezionato il loro metodo di "pesca": per essere più credibili hanno dato l'assalto elettronico utilizzando come mittente il nome di banche che non erano state mai utilizzate prima.

Per essere sicuri di non "cadere nella Rete", seguite questi semplici consigli e leggete i nostri approfondimenti:

  • Gli istituti bancari e le aziende serie non richiedono mai informazioni personali attraverso un messaggio di posta elettronica. L'unica circostanza in cui viene richiesto il numero della vostra carta di credito è nel corso di un acquisto su Internet che voi avete deciso di fare

  • Non rispondete mai alle e-mail, non cliccate sul link che vi viene proposto nel messaggio. Contattate la banca che dichiara di chiedere i vostri codici personali

  • Per accedere al sito dell'istituto di credito con il quale avete il conto online digitate l'Url direttamente nella barra dell'indirizzo del vostro browser o raggiungetelo attraverso i vostri "preferiti" o "segnalibri" della vostra rubrica

  • Controllate spesso i movimenti del vostro conto corrente e delle vostre carte di credito o bancomat



Ringraziando per la cortese pubblicazione, porgiamo cordiali saluti

FEDERCONSUMATORI PISA

IL PRESIDENTE ONORARIO

PAOLO PERELLI