«Gentile Utente eBay, durante i regolari controlli sugli account non siamo stati in grado di verificare le sue informazioni. In accordo con le regole di eBay abbiamo bisogno di confermare le sue reali informazioni. E’ sufficiente che lei esegua il login e completi il modulo che le forniremo. Se ciò non dovesse avvenire saremo costretti a sospendere il suo account»

«Gentile Cliente della banca …, da controlli sul serivizio di Internet banking, sono emerse delle irregolarità nei suoi dati. E’ quindi necessario che lei confermi i suoi dati reali, digitando oltre a ciò il suo numero di carta di credito a questo indirizzo web»

Questi sono due esempi di phishing (storpiatura dall’inglese, letteralmente “pescare”. Il riferimento al pesce che abbocca ad un’esca ben apparecchiata è fin tropo evidente), una pratica informatica illecita e truffaldina, che mira alla raccolta di informazioni sensibili, come informazioni personali, numeri e codici di carta di credito/bancomat, password, ecc. Il phishing è un fenomeno in aumento, tanto che secondo l’Anti-Phishing Working Group, truffe e frodi di questo tipo sono cresciute del 52% tra il dicembre e il gennaio scorsi, arrivando a destare seria preoccupazione.

Metodologia di attacco
Il processo standard di questo genere di truffa può essere riassunto nei seguenti punti:

1. L’utente malintenzionato (il phisher, “pescatore”) spedisce milione di e-mail uguali (con tecniche simili a quelle di spam) nella speranza di accalappiare una malcapitata ed ignara vittima. I messaggi e-mail simulano nella grafica e nel contenuto quella di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto, ecc.).
2. L’e-mail contiene quasi sempre avvisi di particolari situazioni d’emergenza o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, problemi con i dati, ecc.).
3. L’e-mail normalmente invita il destinatario a seguire un link, presente nel messaggio, per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione.
4. Il link fornito, tuttavia, NON porta in al reale sito web dell’ente o della società indicata, bensì ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema. Queste informazioni vengono memorizzate dal server gestito dal phisher, finendo nelle mani del malintenzionato. Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Come si diffonde
Questa infida frode in passato è stata facilitata, oltre che dalla disinformazione, anche da un errore nella gestione degli indirizzi web da parte di Internet Explorer. Fino a pochi mesi fa, infatti, dopo aver cliccato il link truffaldino il browser di casa Microsoft visualizzava, sia sulla barra di stato in basso che sulla barra degli indirizzi, un indirizzo Internet (URL) falso, manipolato dal “pescatore”. Di fatto, l’utente cliccava su un link tipo “www.ebay.com” e finiva su una pagina che riportava esattamente l’indirizzo cliccato, ma che in realtà era una pagina artefatta per ingannare.
Errori dei software, elevato numero di truffatori, inesperienza e una buona dose di ingenuità da parte degli utenti-vittime, sono gli ingredienti della truffa, che diffonde sempre più l’insicurezza e talvolta un certo panico nella rete. Al di là di inutili drammi, gli ultimi due fattori della “ricetta della truffa” sono del tutto personali, quindi corretti quelli si è già a metà dell’opera.

Come difendersi
Ecco i cinque semplici ma fondamentali passaggi per evitare di “abboccare” al phishing:

1. Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica. Le aziende più affidabili non richiederanno mai password, numeri di carte di credito o altre informazioni personali “sensibili” in un messaggio di posta elettronica. Se ricevete un’e-mail in cui vengono richieste informazioni di questo tipo, non rispondete!
2. Visitare correttamente i siti web. Se avete motivi per ritenere che l’e-mail sia autentica, contattate telefonicamente o tramite sito web la società che l’ha inviata per averne conferma. Attenzione: se decidete di agire attraverso il web, non cliccate mai sul o sui link contenuti nell’e-mail. Come detto, questi collegamenti potrebbero condurvi ad un sito contraffatto, dal quale tutte le informazioni immesse potrebbero essere inviate alla truffatore. Anche se sulla barra degli indirizzi viene visualizzato l’indirizzo corretto, non lasciatevi ingannare.
3. Verificare che il sito web utilizzi la crittografia. Come controllare se un sito web è sicuro? E’ possibile farlo in vari modi, ma il più immediato è certamente quello di, prima di immettere qualsiasi informazione personale, verificare che il sito web utilizzi la crittografia per trasmettere i vostri dati personali, cioè che li protegga con speciali sistemi informatici/matematici. Nei browser più usati (Internet Explorer o Firefox) potete farlo controllando che in basso a destra sulla barra di stato sia presente l’icona di un piccolo lucchetto chiuso, segnale appunto che il sito utilizza la crittografia. Inoltre, facendo doppio clic sull’icona del lucchetto è possibile visualizzare il certificato di protezione del sito. Il nome che segue “Rilasciato a:” dovrebbe corrispondere al sito in cui pensate di trovarvi. Se il nome è diverso, il sito potrebbe essere contraffatto. Se non siete sicuri che il certificato visualizzato sia autentico, non immettete alcuna informazione personale. Evitate rischi e uscite dal sito web.
4. Esaminare regolarmente i rendiconti bancari e della carta di credito. Anche seguendo i tre passaggi precedenti, è comunque possibile essere vittima di un furto di identità. Se controllate il rendiconto della vostra banca e della carta di credito almeno una volta al mese, potrete riuscire a bloccare una frode prima che provochi danni rilevanti. Informatevi presso la vostra banca se sono previsti risarcimenti in caso di frodi di questo tipo.
5. Denunciare sospetti usi illeciti delle proprie informazioni personali alle autorità competenti. Se ritenete di essere vittima di una frode attuata tramite phishing, dovreste denunciare immediatamente la frode all’azienda che è stata oggetto di contraffazione (l’azienda potrebbe disporre di un indirizzo di posta elettronica specifico per denunciare questo tipo di illeciti). Se ritenete che le vostre informazioni personali siano state compromesse o rubate, dovreste esporre denuncia alle autorità di polizia competenti.