Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto in questo nuovo Focus File.
Volete vedere un esempio di phishing? Clicca sulla foto per vedere l'e-mail che sembra provenire dal sito di Poste Italiane e che invita l'utente ad accedere a sito falso e ad inserire i propri codici di accesso. Da notare l'italiano a dir poco maccheronico. |
Se per pescare i tonni servono una canna robusta e un'esca succulenta, per pescare da Internet numeri di carta di credito e codici di accesso ai conti correnti bancari può bastare molto meno: anche una sola e-mail può essere sufficiente. Si tratta del phishing, la più diffusa delle truffe online, attuale spauracchio degli utenti internet di tutto il mondo, e incubo dei responsabili sicurezza di banche e istituti di credito.
Quando l'utente abbocca
Nato in Spagna e Portogallo, questo tipo di frode ha rapidamente raggiunto quasi ogni casella e-mail del pianeta, colpendo soprattutto gli internauti meno esperti e quindi più esposti a truffe e raggiri. Il termine phishing deriva dal verbo inglese to fish, che significa pescare, e raffigura in modo colorito le modalità di funzionamento di questo tranello, semplice dal punto di vista tecnico, ma subdolo e insidioso per chi vi resta suo malgrado coinvolto.
Il phisher, cioè il truffatore, getta la sua esca inviando a una casella di posta elettronica una mail che sembra provenire dal sito di una banca online, dal gestore di una carta di credito o da altri siti noti.
Il testo del messaggio invita l'utente a cliccare su un link e ad accedere a una pagina web del tutto identica a quella del sito in questione con tanto di loghi e grafica originale. Nello stesso messaggio viene chiesto di inserire negli appositi spazi i propri codici di accesso al servizio o gli estremi della propria carta di credito, adducendo come scusa non meglio precisati motivi tecnici.
Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto in questo nuovo Focus File.
Uno dei siti clone di Unicredit Banca, con loghi e grafica assolutamente simili a quelli originali. |
L'apparenza inganna
A questo punto la trappola è tesa e pronta a scattare: se chi riceve la mail-esca ha effettivamente un conto presso quella banca e non riconosce l'inganno, inserisce i propri codici di accesso consegnando di fatto i propri risparmi nelle mani del phisher.
Il sito truffa dispone infatti di un sistema di registrazione che consente al malintenzionato di memorizzare tutte le coppie di username e password inserite dagli ignari utenti, e di utilizzarle poi per svuotare i conti correnti o per commettere altre azioni illecite.
È dunque fondamentale per il phisher convincere l'utente a entrare nel sito falso cliccando sul link contenuto nell'e-mail. Per fare questo è necessario mascherare l'indirizzo truffaldino, facendolo assomigliare il più possibile all'indirizzo del sito autentico.
I sistemi sono numerosi: il più semplice è quello di registrare un nome di dominio (cioè tutto ciò che in un indirizzo web sta a destra del www), simile a quello originale. Gli utenti di Banca Unicredit, il cui indirizzo web autentico è www.unicreditbanca.it, sono stati bersagliati da un tentativo di phishing che li rimandava all'indirizzo www.uinicreditimpresa-it.net.
Indirizzo impossibile
In altri casi il phisher utilizza link con indirizzi lunghi e complessi come http://163.121.47.12/jdwfnqreyurtjkcdjeritoypkhmfdhgsfcxavcbvnbtuw/log-in-card/enter.htm, che creano confusione e disorientano l'utente.
Esistono poi tecniche di phishing più sofisticate che permettono al truffatore di sfruttare le varie vulnerabilità dei browser per indurre l'utente ad abboccare all'esca: il sito falso viene ad esempio visualizzato in un pop-up, cioè in una finestra priva della barra degli indirizzi e della barra degli strumenti, così da rendere più difficile l'identificazione.
Il nuovo spauracchio di Internet si chiama phishing, la più recente truffa via web che mira a estorcerci le chiavi dei nostri conti in banca. Come funziona e i consigli per non abboccarre: tutto in questo nuovo Focus File.
Nel browser viene visualizzata l'home page di focus.it, ma nella barra degli indirizzi viene mostrato un indirizzo diverso: si tratta di un'immagine che viene visualizzata al posto della barra autentica. Con la stessa tecnica è stato aggiunto il lucchetto che indica la transazione sicura. |
Falsi d'autore
Tecniche più raffinate, che richiedono però conoscenze informatiche non proprio elementari, consentono invece di sostituire la barra degli indirizzi con un'immagine falsa della stessa, che riporta l'indirizzo autentico.
Con la stessa tecnica è possibile anche visualizzare nell'angolo in basso a destra del browser il lucchetto solitamente utilizzato per indicare che si sta compiendo un'operazione su un sito protetto.
Chi troppo vuole…
Ultimamente ha fatto la sua comparsa anche nel nostro paese un tipo di phishing completamente nuovo: il phisher non cerca più di carpire i codici di accesso ai conti correnti online, ma in modo molto più subdolo tenta di coinvolgere l'ignaro utente in vere e proprie operazioni finanziarie illecite, per lo più finalizzate al riciclaggio e al trasferimento di denaro provenienti da attività illegali.
L'esca è ancora una volta un messaggio e-mail, solitamente redatto in lingua inglese, nel quale una fantomatica società finanziaria promette facili guadagni in poco tempo e senza sforzo. Al destinatario del seducente messaggio viene chiesto di mettere a disposizione il proprio conto corrente per ricevere bonifici, e qualche ora del proprio tempo per effettuare semplici transazioni finanziarie. Chi si lasciasse ingolosire dall'allettante prospettiva di guadagno rischierebbe così di trasformarsi da vittima a complice dei truffatori, partecipando attivamente ad attività probabilmente illecite.
Difendersi dal phishing è comunque possibile, basta seguire alcune semplici regole di prudenza. È bene ricordare che nessuna banca online e nessun altro sito chiederanno mai via e-mail ai propri utenti di confermare username e password. Si tratta di una procedura che non ha nessuna utilità pratica ai fini dell'erogazione del servizio.
Nel caso in cui si ricevano mail sospette è sempre bene effettuare una verifica telefonando al call center della propria banca. Attenzione alla grammatica: spesso le e-mail esca sono redatte in un italiano stentato e pieno di errori (come quella che sembra arrivare dal sito delle Poste).
È inoltre buona regola tenere sotto controllo il proprio conto online, verificandone frequentemente il saldo. E se per caso si fosse già caduti nella trappola, bisogna contattare con urgenza il proprio istituto di credito per mettere in atto tutte le contromisure del caso.
A cura di Alessandro Bolla