Innovazione

Pescati nella Rete

Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto...

Pescati nella Rete
Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto in questo nuovo Focus File.

Volete vedere un esempio di phishing? Clicca sulla foto per vedere l'e-mail che sembra provenire dal sito di Poste Italiane e che invita l'utente ad accedere a sito falso e ad inserire i propri codici di accesso. Da notare l'italiano a dir poco maccheronico.
Volete vedere un esempio di phishing? Clicca sulla foto per vedere l'e-mail che sembra provenire dal sito di Poste Italiane e che invita l'utente ad accedere a sito falso e ad inserire i propri codici di accesso. Da notare l'italiano a dir poco maccheronico.

Se per pescare i tonni servono una canna robusta e un'esca succulenta, per pescare da Internet numeri di carta di credito e codici di accesso ai conti correnti bancari può bastare molto meno: anche una sola e-mail può essere sufficiente. Si tratta del phishing, la più diffusa delle truffe online, attuale spauracchio degli utenti internet di tutto il mondo, e incubo dei responsabili sicurezza di banche e istituti di credito.

Quando l'utente abbocca
Nato in Spagna e Portogallo, questo tipo di frode ha rapidamente raggiunto quasi ogni casella e-mail del pianeta, colpendo soprattutto gli internauti meno esperti e quindi più esposti a truffe e raggiri. Il termine phishing deriva dal verbo inglese to fish, che significa pescare, e raffigura in modo colorito le modalità di funzionamento di questo tranello, semplice dal punto di vista tecnico, ma subdolo e insidioso per chi vi resta suo malgrado coinvolto.
Il phisher, cioè il truffatore, getta la sua esca inviando a una casella di posta elettronica una mail che sembra provenire dal sito di una banca online, dal gestore di una carta di credito o da altri siti noti.
Il testo del messaggio invita l'utente a cliccare su un link e ad accedere a una pagina web del tutto identica a quella del sito in questione con tanto di loghi e grafica originale. Nello stesso messaggio viene chiesto di inserire negli appositi spazi i propri codici di accesso al servizio o gli estremi della propria carta di credito, adducendo come scusa non meglio precisati motivi tecnici.

Pescati nella Rete
Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto in questo nuovo Focus File.

Uno dei siti clone di Unicredit Banca, con loghi e grafica assolutamente simili a quelli originali.Clicca sulla foto per ingrandirla.
Uno dei siti clone di Unicredit Banca, con loghi e grafica assolutamente simili a quelli originali.

L'apparenza inganna
A questo punto la trappola è tesa e pronta a scattare: se chi riceve la mail-esca ha effettivamente un conto presso quella banca e non riconosce l'inganno, inserisce i propri codici di accesso consegnando di fatto i propri risparmi nelle mani del phisher.
Il sito truffa dispone infatti di un sistema di registrazione che consente al malintenzionato di memorizzare tutte le coppie di username e password inserite dagli ignari utenti, e di utilizzarle poi per svuotare i conti correnti o per commettere altre azioni illecite.

Il trucco c'è ma non si vede
È dunque fondamentale per il phisher convincere l'utente a entrare nel sito falso cliccando sul link contenuto nell'e-mail. Per fare questo è necessario mascherare l'indirizzo truffaldino, facendolo assomigliare il più possibile all'indirizzo del sito autentico.
I sistemi sono numerosi: il più semplice è quello di registrare un nome di dominio (cioè tutto ciò che in un indirizzo web sta a destra del www), simile a quello originale. Gli utenti di Banca Unicredit, il cui indirizzo web autentico è www.unicreditbanca.it, sono stati bersagliati da un tentativo di phishing che li rimandava all'indirizzo www.uinicreditimpresa-it.net.

Indirizzo impossibile
In altri casi il phisher utilizza link con indirizzi lunghi e complessi come http://163.121.47.12/jdwfnqreyurtjkcdjeritoypkhmfdhgsfcxavcbvnbtuw/log-in-card/enter.htm, che creano confusione e disorientano l'utente.
Esistono poi tecniche di phishing più sofisticate che permettono al truffatore di sfruttare le varie vulnerabilità dei browser per indurre l'utente ad abboccare all'esca: il sito falso viene ad esempio visualizzato in un pop-up, cioè in una finestra priva della barra degli indirizzi e della barra degli strumenti, così da rendere più difficile l'identificazione.

Pescati nella Rete
Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto in questo nuovo Focus File.

Nel browser viene visualizzata l'home page di focus.it, ma nella barra degli indirizzi viene mostrato un indirizzo diverso: si tratta di un'immagine che viene visualizzata al posto della barra autentica. Con la stessa tecnica è stato aggiunto il lucchetto che indica la transazione sicuraClicca sulla foto per ingrandirla.
Nel browser viene visualizzata l'home page di focus.it, ma nella barra degli indirizzi viene mostrato un indirizzo diverso: si tratta di un'immagine che viene visualizzata al posto della barra autentica. Con la stessa tecnica è stato aggiunto il lucchetto che indica la transazione sicura.

Falsi d'autore
Tecniche più raffinate, che richiedono però conoscenze informatiche non proprio elementari, consentono invece di sostituire la barra degli indirizzi con un'immagine falsa della stessa, che riporta l'indirizzo autentico.
Con la stessa tecnica è possibile anche visualizzare nell'angolo in basso a destra del browser il lucchetto solitamente utilizzato per indicare che si sta compiendo un'operazione su un sito protetto.

Chi troppo vuole…
Ultimamente ha fatto la sua comparsa anche nel nostro paese un tipo di phishing completamente nuovo: il phisher non cerca più di carpire i codici di accesso ai conti correnti online, ma in modo molto più subdolo tenta di coinvolgere l'ignaro utente in vere e proprie operazioni finanziarie illecite, per lo più finalizzate al riciclaggio e al trasferimento di denaro provenienti da attività illegali.
L'esca è ancora una volta un messaggio e-mail, solitamente redatto in lingua inglese, nel quale una fantomatica società finanziaria promette facili guadagni in poco tempo e senza sforzo. Al destinatario del seducente messaggio viene chiesto di mettere a disposizione il proprio conto corrente per ricevere bonifici, e qualche ora del proprio tempo per effettuare semplici transazioni finanziarie. Chi si lasciasse ingolosire dall'allettante prospettiva di guadagno rischierebbe così di trasformarsi da vittima a complice dei truffatori, partecipando attivamente ad attività probabilmente illecite.

Utenti&contenti? Si può
Difendersi dal phishing è comunque possibile, basta seguire alcune semplici regole di prudenza. È bene ricordare che nessuna banca online e nessun altro sito chiederanno mai via e-mail ai propri utenti di confermare username e password. Si tratta di una procedura che non ha nessuna utilità pratica ai fini dell'erogazione del servizio.
Nel caso in cui si ricevano mail sospette è sempre bene effettuare una verifica telefonando al call center della propria banca. Attenzione alla grammatica: spesso le e-mail esca sono redatte in un italiano stentato e pieno di errori (come quella che sembra arrivare dal sito delle Poste).
È inoltre buona regola tenere sotto controllo il proprio conto online, verificandone frequentemente il saldo. E se per caso si fosse già caduti nella trappola, bisogna contattare con urgenza il proprio istituto di credito per mettere in atto tutte le contromisure del caso.

A cura di Alessandro Bolla

9 novembre 2005
Ora in Edicola
Scopri il mondo Focus. Ogni mese in edicola potrai scegliere la rivista che più di appassiona. Focus il magazine di divulgazione scientifica più letto in Italia, Focus Storia per conoscere la storia in modo nuovo ed avvincente e Focus Domande & Risposte per chi ama l'intrattenimento curioso e intelligente.

Qual è la "retta via" indicata dal Corano e dalla Sunna? Come si riflette la Sharìa – la legge divina islamica - sulla vita delle persone e sugli equilibri fra mondo musulmano e occidente? Viaggio nel fondamentalismo religioso, islamico e non solo, per capire cosa succede quando la parola di Dio viene presa alla lettera, non tiene conto dei cambiamenti storici e sociali e si insinua nella politica.

ABBONATI A 29,90€

Come sarà la città del domani? Pulita, tecnologica, intelligente, come quella in costruzione vicino a Tokyo. E in giro per il mondo ci sono altri 38 progetti futuristici che avranno emissioni quasi azzerate nel nome della salute e dell’ambiente. Inoltre, le missioni per scoprire Venere; come agisce la droga dello stupro sul cervello; il paradosso del metano, pericoloso gas serra ma anche combustibile utile per la transizione energetica.

ABBONATI A 29,90€
Follow us