|
|
Combattiamo lo SCAM
Truffe e frodi innescate da messaggi di posta elettronica fasulli, fenomeno identificabile col termine SCAM, sono cresciute del 52 per cento tra dicembre e gennaio di questo anno, arrivando a destare seria preoccupazione e a diffondere l'insicurezza nelle nuove tecnologie ritardandone di conseguenza l'affermazione.
Le tecniche adottate per attuarle sguazzano nella stessa acqua in cui nuotano virus e messaggi di spam: errori dei software, abbondanza di truffatori, inesperienza e una buona dose di ingenuità da parte degli utenti.
Gli ultimi due fattori sono del tutto personali ma possono essere corretti attraverso un approccio il pi possibile consapevole alle nuove tecnologie.
Capita troppo spesso che gli utenti aprano allegati infetti o cedano i propri dati personali senza rendersi conto del tentativo di truffa in atto.
Di questo tipo di frode, che tecnicamente è conosciuta come phishing, ad esempio, sono stati recentemente vittima i clienti di Unicredit, mentre a suo tempo lo sono stati quelli di Banca Intesa.
Che cosa è lo SCAM
I messaggi di posta identificabili come SCAM hanno in comune questa caratteristica di base: sembrano provenire da una certa persona oppure ente o azienda mentre provengono in realtà da altra fonte (lo scammer), e non hanno altro obiettivo che derubare la vittima del proprio denaro o della propria identità
La cosa avviene secondo meccanismi ben precisi che rendono possibile individuare specifiche forme di scamming cui attribuire nomi particolari:
PHISHING
Phishing deriva da fishing, ossia "pescare" e il riferimento al pesce che abbocca ad un'esca è evidente.
Uno scam di tipo phishing di solito assume le sembianze di un messaggio che indica l'esistenza di un certo problema con il vostro conto corrente bancario, carta di credito, ecc. e che richiede un certo numero di informazioni, tipo identificativo utente e password, allo scopo di ripristinare un servizio accidentalmente sospeso o attivarne uno di tipo nuovo (tipici pretesti).
Solitamente il messaggio contiene un collegamento a qualche pagina web pages che sembra appartenere al mittente, ente o privato, personificato. Ogni sorta di trucco viene utilizzata per far credere al navigatore che si trovi dove in realtà non si trova. Le pagine web contengono una pagina di login dove introdurre username e password e poi una pagina con un form per la raccolta delle informazioni personali. Qualcosa di cui solitamente la vittima non si accorge è che la pagina di login accetta qualsiasi cosa come username e password (la cosa è perfettamente logica dato che si tratta di una raccolta di informazioni e non una verifica delle stesse).
Se il destinatario è tanto ingenuo da riempire il modulo coi propri dati personali, essi finiranno nella banca dati del truffatore che ha inviato la finta e-mail, dandogli la possibilità di svuotare il conto corrente bancario della vittima oppure effettuare acquisti tramite la sua carta di credito.
Se si considera il fatto che le "phishing e-mail" vengono diffuse con un metodo simile a quello dello spam, si può anche dedurne che tra migliaia di e-mail inviate a casaccio ne bastano poche messe a segno per riuscire a racimolare illegalmente ingenti somme.
Questa infida frode negli ultimi mesi è stata anche facilitata da un errore nella gestione degli indirizzi Web di Internet Explorer. Fino ad inizio febbraio il browser di Microsoft visualizzava, sia sulla barra di stato in basso sia sulla barra degli indirizzi, dopo aver cliccato sul link, un indirizzo Internet (URL) falso. Cliccando ad esempio un link tipo www.ebay.com, si finiva su una pagina che riportava esattamente l'indirizzo cliccato ma che in realtà era una pagina artefatta per ingannare.
Data la naturale propensione degli utenti Windows a leggere gli advisory sulla sicurezza e ad aggiornare di conseguenza il loro software, si può prevedere che questo baco renderà possibile per alcuni anni attuare la stessa truffa.(ndr)
Nel caso di questo tipo particolare di messaggi diventa oltremodo difficile determinare da dove la e-mail realmente provenga, ma siccome il messaggio contiene un collegamento ipertestuale, esaminando il codice HTML si può vedere esattamente dove esso conduce.
Un consiglio di carattere generale: Non utilizzate mai un link presente in un message e-mail per connettervi al vostro account presso qualche istituto bancario o finanziario. Accedete direttamente al sito dell'istituto stesso.
Nel caso in cui vi sia realmente un problema relativo al vostro account, dovreste essere in grado di risolverlo in tal modo. Potete in ogni caso effettuare una ulteriore prova introducendo nella form di login introducendo username e password fasulli.
Se il website vi permette di accedere lo stesso, allora il sito è uno specchietto per le allodole.
Non effettuate comunque questa verifica ripetutamente nella stessa occasione, dato che la maggior parte dei siti (legittimi) disabilitano un account quando rilevino troppi tentativi di login falliti.
Se il messaggio proviene da un istituto presso cui non possedete alcun account, cancellatelo semplicemente o, ancora meglio, inviatelo al relativo abuse@sitename dove sitename è il sito o dominio impersonificato e lasciate che se la vedano loro.
Gli attacchi di tipo phishing utilizzano sia il "social engineering" che sotterfugi tecnici per truffare le loro vittime. Entrambe queste tecniche possono raggiungere notevoli livelli di sofisticazione (vedi esempi).
|
