Archivio articoli Norton

Introduzione

Takumi non è stato però abbastanza astuto da non farsi identificare. E non è stato nemmeno l'unico adolescente a cadere preda della propria esca. Nel luglio 2003, sono state rilevate le attività di phishing di un giovane statunitense che preferiva il denaro alle foto. Il diciassettenne di nome Michael ha sfruttato e-mail di spamming e una pagina Web fasulla di AOL per indurre le persone a rivelare le informazioni della carta di credito che ha poi utilizzato per rubare alcune migliaia di dollari. Malgrado il piano fosse decisamente azzardato, Michael è stato incredibilmente fortunato: le vittime hanno accettato la restituzione del denaro rubato evitandogli uno spiacevole periodo di detenzione penale. Oggi, è molto  difficile che venga accettato un accordo così generoso. Dal 2003, abbiamo potuto renderci conto di quanto può essere devastante e costoso il crimine in Internet.

Un esperto criminale informatico può creare danni decisamente più seri di quelli generati dalle bravate dei due giovani ragazzi Takumi e Michael. Leggi questo e rimarrai sorpreso. L' articolo discute in dettaglio le truffe del phishing e propone una chiara panoramica di ciò che possono fare i criminali professionisti. Ma sopratutto, cosa molto importante considerando la facilità con cui oggi si cade vittima di queste truffe, ti spiega come individuare un tentativo di phishing.

Che cosa è il phishing?

Phishing (pronunciato fishing) è un termine che deriva dalla parola inglese "fishing" che significa pesca, e indica infatti l'attività di andare a pesca di informazioni. Tecnicamente, un attacco di phishing inizia in genere con l'invio di un'e-mail ingannevole. L'e-mail sembra provenire da un'azienda nota e affidabile con la quale verosimilmente il destinatario intrattiene già dei rapporti. Nell'e-mail viene segnalata la presenza di qualche problema con il conto del destinatario, vengono segnalati utilizzi o addebiti potenzialmente fraudolenti o viene semplicemente richiesta una verifica delle informazioni personali nel quadro di procedure volte a garantire una migliore protezione. Questo esempio di ingegneria sociale è piuttosto paradossale: il truffatore si offre per proteggere la vittima dai rischi della sicurezza.

Ecco un altro buon esempio di un noto tentativo di phishing, la truffa PayPal:

Gentile Cliente PayPal,

Stiamo conducendo una revisione periodica delle nostre misure di sicurezza. Il suo account è stato scelto in modo casuale per questa revisione nel corso della quale le saranno presentate alcune pagine per la verifica delle sue informazioni personali.

È nostro impegno primario garantire la protezione della sicurezza del suo account PayPal e ci scusiamo per qualsiasi inconveniente che ciò le potrebbe causare. La preghiamo di confermare i dati del suo account immettendo le informazioni in una delle sezioni mostrate di seguito.

La preghiamo di visitare l'indirizzo https://www.paypal.com/cgi-bin/webscr?cmd=_login-run e di spendere qualche istante per verificare il suo account. Per evitare interruzioni del servizio le saremmo grati di confermare quanto prima il suo account. Il suo account verrà così aggiornato nel sistema e lei potrà continuare a utilizzare i servizi di PayPal senza alcuna interruzione.

In caso di mancato aggiornamento, l'account verrà temporaneamente bloccato.

Grazie,
Lo staff di Paypal
la ringrazia per avere scelto PayPal!
-------------------------------------------------------
PROTEGGA LA SUA PASSWORD

NON la comunichi a nessuno e acceda SOLO all'indirizzo https://www.paypal.com/cgi-bin/webscr?cmd=_login-run Si protegga dai siti fraudolenti controllando la barra degli indirizzi/URL a ogni accesso.

Chiunque abbia utilizzato Internet per acquistare qualcosa presso un sito d'aste, avrà certamente familiarità con PayPal. PayPal è il servizio on-line che viene utilizzato dalla maggior parte delle persone per pagare gli articoli che acquista su siti come eBay. Pur non essendo una banca, PayPal funziona in modo molto simile in quanto consente di trasferire facilmente denaro a qualsiasi altro utente PayPal mediante il semplice invio di un messaggio di e-mail. Questi tipi di trasferimenti sono possibili perché ogni account PayPal configurato da un utente, o dai suoi genitori, è collegato a un conto corrente di una banca o a una carta di credito.

Coloro che acquistano on-line apprezzano PayPal perché si sentono più sicuri non dovendo comunicare numeri di carta di credito a persone completamente estranee. Dov'è quindi il problema? Negli ultimi anni, PayPal è diventato anche uno dei principali bersagli di hacker e phisher. E non è l'unico. Anche se si è parlato a lungo di attacchi denial-of-service (DoS) e di worm sferrati con l'intento di bloccare l'operatività dei siti Web commerciali, il problema più rilevante che ha colpito la maggior parte delle grandi aziende che operano on-line, come PayPal, eBay, Amazon ecc., negli ultimi anni non è stato costituito dai problemi della sicurezza dei loro siti. Il problema maggiore è stato costituito dai phisher che cercano di frodare i dettagli finanziari dei loro clienti.

Chi ha utilizzato PayPal per acquistare un articolo presso qualche asta, sarà già stato probabilmente colpito da questo tipo di truffa. In realtà, la truffa avrà colpito anche molti utenti che non hanno mai creato un account PayPal. La ragione è che i phisher, ovvero gli autori del phishing, agiscono in modo analogo agli spammer. Puntano alla quantità, non alla qualità. Poiché PayPal gestisce oltre 78 milioni di utenti in 56 paesi, è probabile che una buona percentuale di indirizzi di e-mail coinvolti nello spamming dei phisher corrisponda effettivamente a clienti di PayPal. Vale la pena controllare? No. Questo spiega perché tu o i tuoi genitori potete avere ricevuto la richiesta di "aggiornare informazioni" relative a carte di credito che non posseggono. I phisher, come gli spammer, giocano semplicemente sul numero. Se anche una piccola percentuale dei clienti cade nella trappola, il guadagno è assicurato.

La nostra e-mail di esempio della truffa PayPal chiede di visitare una pagina Web specifica, https://www.paypal.com/cgi-bin/webscr?cmd=_login-run. Il collegamento incorporato nell'e-mail è un componente comune di tutti i tentativi di phishing. A un certo punto, tutte le e-mail di phishing chiedono di fare clic sul collegamento fornito per accedere al proprio account e aggiornare o verificare le relative informazioni. Il problema, ovviamente, è che il collegamento non rimanda all'account reale. In realtà, indirizza l'utente verso una schermata fasulla, spesso più di una, che riproduce in modo fedele quella dell'azienda reale.

Se si segue il collegamento, tutto ciò che viene digitato da quel momento in poi viene inviato direttamente al truffatore responsabile del tentativo di phishing. Immettendo nome utente e password, si fornisce al truffatore tutto il necessario per accedere al sito reale impersonando l'utente reale. Quando il bersaglio del phishing è un conto corrente bancario o simile, come quello di PayPal, si forniscono al criminale tutti i dettagli necessari per svuotarlo letteralmente. Se si immettono informazioni sulla carta di credito, è probabile aspettarsi addebiti imprevisti nel giro di breve tempo. Può anche accadere di fornire tutti i dati necessari ad identificare una determinata persona (furto d'identità). In questo caso, gli addebiti sul conto corrente potrebbero essere la preoccupazione minore. Un ladro astuto potrebbe aprire un numero illimitato di NUOVE carte di credito a nome della vittima, danneggiando così la sua reputazione finanziaria con conti scoperti e minando la sua capacità di creare nuovi rapporti finanziari.

Va tenuto presente che l'e-mail non è l'unico metodo utilizzato per il phishing. La truffa di base del phishing colpisce di fatto i computer da molti decenni. La grande opportunità è che ora i computer consentono ai truffatori di nascondersi più facilmente. Poiché le e-mail vengono spesso create utilizzando indirizzi di fantasia e informazioni di routing fasulle, diventa difficile rintracciarli.

Questo articolo è stato ripreso dal nuovo libro di Linda McCarthy intitolato Own Your Space: Keep Yourself and Your Stuff Safe Online. Per acquistare il libro, fai clic qui

Link correlati