Il Phishing è una tecnica che ha alla base delle tecniche di ingegneria sociale, il sistema più comune consiste nel rubarvi dati identificativi, dati di accesso ed altre informazioni utili al fine di effettuare una truffa nei vostri confronti attraverso l'inganno, nella maggior parte dei casi si tratta di truffe economiche.
I truffatori normalmente non conoscono la vittima ma effettuano la truffa su vasta scala sapendo che qualcuno cadrà nella trappola, facendo leva sulla buona fede ed ignoranza del malcapitato.
I reati vengono perpetrati adescando la vittima tramite siti internet e/o l'ausilio di e-mail e spesso chi effettua la truffa svolge l'attacco al di fuori del paese interessato al fine di sfuggire più facilmente ad azioni legali.
Vediamo un esempio tipico:
 |
| mail truffa |
Non mi è stato possibile mostrarvi la pagina web di "ACCEDI AI SERVIZI ONLINE" in quanto per fortuna il sito è stato già segnalato e rimosso.
Ma, continuando l'indagine, senza andare sul sito possiamo scoprire qualcosa di interessante nella mail, utile a farci capire che in realtà c'è una truffa...
Apparentemente l'intestazione della mail indicata dal programma di posta può sembrare valida:
in realtà già quel trattino basso "_" tra "CartaSi_Informa" mi lascia perplesso perchè inusuale, ma andiamo avanti...
Ogni programma di posta ci permette di visualizzare il codice sorgente di una mail, analizzando questa mail risulta che:
questa mail non è stata spedita da un mail server dislocato in Italia ma nella Federazione Russa in quanto il dominio "mail.dhr.ru" è russo e ".ru" è il dominio di primo livello della Federazione Russa... mmm, in questo caso la cosa non và!
Andiamo avanti...
Continuando ad analizzare il codice ci accorgiano che il link "ACCEDI AI SERVIZI ONLINE" contenuto nella mail punta su...
".uk" è il dominio di primo livello inglese.
Se il link indicato nella mail fosse stato attivo nell'url della pagina web avreste visto il seguente indirizzo:
L'url "www.the8mmshedshop.co.uk/" è fin troppo anomalo per corrispondere ad una pagina web bancaria, e per quale motivo se fossi un loro cliente italiano il sistema bancario sul territorio italiano dovrebbe registrare o reindirizzare il proprio sito web su un dominio inglese?
Per un semplice internauta in questo caso la truffa nonostante tutto è anche abbastanza ben congegnata, in quanto invita il cliente del circuito CartaSì a scaricare l'estratto conto accedendo al servizio online, ma nel momento in cui accedeste tramite il link verreste inevitabilmente indirizzati ad una pagina simile a quella originale con lo scopo di farvi immettere i dati della vostra carta di credito per sottrarvi poi il denaro dal vostro conto.
E' evidente che tutto questo sia una truffa, sia a carico delle banche, del circuito di carte di credito CartaSì e dei malcapitati...
Il cliente medio però non ha una possibilità di analisi approfondita e allora come può difendersi?
Vediamo alcuni consigli utili...
- Non accedete mai ai vostri sevizi online tramite link, memorizzate piuttosto la pagina web nei vostri segnalibri del browser ed accedete da lì.
- Cercate di memorizzare anche in linea di massima l'url del sito web, insospettitevi se ha una intestazione strana o poco pertinente.
- Cercate di memorizzare la grafica in particolare dei vostri servizi bancari online ed insospettitevi se cambia.
- Le credenziali d'accesso non vengono mai richieste via mail!
- Proteggete il più possibile le vostre credenziali di accesso, utilizzate il meno possibile le carte di credito a favore di altre soluzioni come per es. le carte prepagate.
- Mantenete il sistema operativo sempre aggiornato e protetto con un sistema antivirus, (in alcuni casi il furto di dati si ottiene invitando con una scusa la vittima ad installare sul pc del software malevolo).
- Se accedendo ad una pagina web vi vengono inviati messaggi d'allerta, come segnali di contraffazione e/o di pericolo invitandovi a non proseguire, allontanatevi, salvo che non siate più che esperti e non sappiate cosa sta succedendo.
- Ricordate che i servizi, in particolare delicati come quelli bancari, hanno un servizio clienti in genere molto efficiente, se avete dei dubbi non esitate a chiamare.
Andrea Guzzo - ex pubblicazione 11/03/2012
