JackDefender è il blog dove trovi tutto (e di più!) su social e sicurezza. Raccontato in modo semplice e divertente da Michele Cimmino, Responsabile della Comunicazione per l’Italia di BitDefender, e Catalin Cosoi, Ricercatore Senior del laboratorio Antispam di BitDefender. In questa puntata ti raccontano i pericoli delle operazioni bancarie online.
Michele. la settimana scorsa ci hanno chiesto informazioni in più sulla sicurezza dei link da cliccare.
Catalin. prova del fatto che il problema della sicurezza esiste.
M. oggi dunque parliamo di phishing, pericolo forse fra i più temuti dagli utenti. Per esempio tu lo sapevi che c’è un’azienda italiana fra i dieci marchi più “phishiati” al mondo?
C. si, ne abbiamo anche scritto nel nostro rapporto del semestre scorso.
M. diamo qualche esempio di phishing ai lettori?
C. Certo. Dunque, ricevi una email che pare provenire dalla tua banca, nella quale si dice che qualcosa di grave è accaduto al tuo conto bancario online – cosa mai possa accadere mi domando – oppure che è in corso una nuova mega promozione con fantastici premi pensati apposta per te, o altro scenario possibile, che alcuni lavori di manutenzione sono in corso sui server della banca.
M. scenari che vanno dall’estasi alla catastrofe...
C. esatto. In ogni caso, l’obiettivo è quello di far effettuare di nuovo il log-in all’utente, preferibilmente attraverso il link che viene fornito nella mail.
M. ma allora tutte le campagne di sensibilizzazione, gli articoli e gli studi con cui continuamente cerchiamo di mettere in guardia gli utenti?
C. il fatto è che questi tentativi di phishing hanno un movente ben radicato: il timore di perdere soldi, e la paura è una cattiva consigliera che porta a cliccare su dei link anche quando non si dovrebbe.
M. e questi link su cui si clicca molte volte presentano una copia quasi identica del sito originale della banca, ricordando addirittura agli utenti che “In nessuna circostanza la tua Banca ti chiederà di fornire via e-mail informazioni confidenziali come nome utente, password, numero di carta di credito o PIN”. Approccio interessante, non trovi?
C. molto interessante, perché il messaggio sembra rinforzare la veridicità del sito, soprattutto quando presenta sulla stessa pagina la richiesta di inserire le proprie credenziali.
M. e come possiamo mettere in guardia gli utenti?
C. pensa che ci sono persone così spaventate dall’idea di perdere del denaro, da ignorare ogni messaggio proveniente dalla soluzione antiphishing installata.
M. quindi ribadiamo il concetto di stare molto attenti a cosa si clicca?
M. ho presente.
C. quelle email riportano le prime sei, e le ultime quattro cifre della carta di credito. E sai cosa rappresentano le prime sei cifre?
M. rappresentano chi ha emesso la carta, se non sbaglio.
C. non sbagli.
M. quindi se la matematica non mi inganna, trovare una simile email basterebbe a scoprire la maggior parte delle cifre del numero di carta di un utente, e magari la data di scadenza della carta stessa?
C. non male, no?
M. non male per nulla.
C. hai cancellato tutte le email di conferma degli acquisti online dalla tua casella di posta?
M. corro ora a farlo.
