LA NOTIZIA STRISCIA... A COLLEGNO: PHISHING

Il phishing è una truffa on-line nata per sottrarre con l'inganno numeri di carte di credito, password, informazioni personali o di carattere finanziario. Attuata quasi sempre tramite posta elettronica si basa sull'invio da parte del truffatore (phisher) di e-mail che sembrano provenire da siti web autentici i quali richiedono all'ingenuo utente l'inserimento dei propri dati personali.

Le tecniche più comuni utilizzate dal phisher sono quelle di:

colpire il malcapitato utente utilizzando testi, immagini ed in molti casi veri e propri cloni dei siti originali in modo da convincere l'utente dell'effettiva autenticità del messaggio;
mascherare il falso URL, verso il quale l'ignaro utente verrà indirizzato, con il vero indirizzo del sito clonato. (Il phisher, prevalentemente, o sfrutta le vulnerabilità dei vari browser o registra nomi a dominio simili a quelli originali);

Il phisher come fa a sapere che l'utente ha un conto presso la banca o servizio online indicato nel messaggio-esca?

In realtà, normalmente il phisher non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione ma si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.

Esistono programmi specifici, come la barra anti-phishing e le liste nere (blacklist) che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Quando si hanno dei dubbi la cosa migliore e lasciar perdere e cancellare l'e-mail.

www.guardiadifinanza.it

RISARCIMENTO DEL DANNO

Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell' account internet dei clienti, o della clonazione dei loro bancomat o carte di credito.

Un recente provvedimento del Gup di Milano, del 10 ottobre 2009, ha stabilito che solo l'esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all'ente la qualifica di danneggiato dal reato.

I singoli contratti per l'apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate.

Spesso, l'istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.

L'istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking rifiuta di risarcire le somme se il cliente ha smarrito la PASSWORD di accesso insieme al token. Ciò configura negligenza da parte del cliente e l'eventualità del dolo e truffa all'istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, i quali, d'accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto.

La Raccomandazione europea n. 489 del 1997 stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell'uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.

DIFESA

Banche, istituzioni o internet provider non fanno mai richiesta dei dati personali a mezzo di una e-mail. In caso di richiesta di dati personali, numeri di conto, password o carta di credito,è buona norma, prima di cancellare, è buona abitudine inoltrarne una copia alle autorita competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.
Per eventuali comunicazioni, i soggetti sopra citati possono utilizzare un account istituzionale accessibile solo dal loro sito, ma non la e-mail personale del cittadino.
La persona che si accorge di pagamenti effettuati da terzi con la sua carta di credito, deve contattare il numero verde della banca per chiedere il blocco della carta, registrarsi al sito della banca con una nuova password.
In presenza di accrediti da parte di sconosciuti, il correntista deve non prelevare la somma e chiedere alla banca lo storno.
Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'email che contiene il tentativo di spillaggio.
Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a posteriori ed è necessaria un'azione preventiva.
Un primo controllo per difendersi dai siti di spillaggio, è quello di visualizzare l'icona, a forma di lucchetto in tutti i browswer, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL/TLS). Tale connessione garantisce la riservatezza dei dati, mentre la loro integrità e l'autenticazione della controparte avvengono solo in presenza della firma digitale, che è opzionale e non segnalata.
Infatti, una connessione SSL potrebbe essere stabilita con certificati non veritieri, tramite una coppia di chiave pubblica e privata valide, note a chi vuole fare phishing, ma che non sono quelle effettive del sito. Ad esempio, il certificato riporta che il sito it.wikipedia.org utilizza una chiave pubblica, che in realtà è quella del phisher. Il browser piuttosto che l'utente interessato dovrebbero collegarsi al sito di una certification autority per controllare: la banca dati mostra le chiavi pubbliche e un'identificativo del possessore, come l'indirizzo IP o l'indirizzo del sito.
Alcuni siti hanno una barra antiphishing specifica che controlla l'autenticità di ogni pagina scaricata dal sito, ad esempio tramite la firma digitale.
La pagina di LOGIN di un sito è facilmente imitabile. Nei browser esiste una opzione per visualizzare il codice HTML delle pagine Internet, che si può copiare e incollare altrove, per ottenere un sito identico. La e-mail truffaldina conterrà un link che punta non al sito originario, ma alla sua imitazione. I dati inseriti nei campi liberi della form sono memorizzati in un database o in un file di testo collegato al sito.
Un'altra tecnica di spillaggio consiste nell'inserimento di applicativi di KEYLOGGING. In questo caso, i link possono rimandare al sito originale, non necessariamente a un'imitazione, e lo spillaggio dei dati avviene al momento del loro inserimento da tastiera. Queste righe di codice possono essere eseguite con l'apertura di alcuni link, ovvero con la lettura della stessa e-mail, se il programma di posta o l'Internet Service Provider non adottano protezioni sufficienti.
Esistono, inoltre, programmi specifici come la barra anti-spillaggio di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'email (vedi sezione Collegamenti esterni). Questi programmi e i più comuni browser non si avvalgono di whitelist contenenti gli indirizzi logici e IP delle pagine di autenticazione di tutti gli istituti di credito, che sarebbe un filtro anti-spillaggio sicuramente utile.
Se l'utente non è titolare di un conto corrente online e riceve gli estratti conto periodici per posta ordinaria (non via email), può impostare il filtro anti-spam, inserendo l'indirizzo dell'istituto di credito. In questo modo, le email contenenti un indirizzo del mittente o un link nel testo alla banca, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle sospette.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.
Analoga protezione è presente in Mozilla Firefox (a partire dalla versione 2), che propone all'utente di scegliere tra la verifica dei siti sulla base di una blacklist e l'utilizzo del servizio anti-spillaggio offerto da Google.
Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).
L'oscuramento di un sito di spillaggio non è un'operazione semplice, se questo è ospitato come sottodominio di un altro indirizzo web. In quel caso, è necessario l'oscuramento del dominio ospitante, poiché la "falsa" pagina di autenticazione non è presente nell'elenco ICANN, ma in locale sul server. Il sito oscurato può essere comunque velocemente associato ad un altro indirizzo web.
È possibile associare ad una pagina di un "sito esca" un indirizzo simile, ma non identico a quello del sito "copiato". Due pagine web, infatti, non possono avere lo stesso indirizzo IP né lo stesso indirizzo logico, che è associato ad un solo indirizzo IP.
All'utente medio resta comunque difficile distinguere un sito di phishing da quello dell'istituto di credito preso di mira. La barra degli indirizzi può contenere un indirizzo del tipo "Nome della Banca.autethicationPage.php@indirizzo del dominio ospitante", l'indirizzo del dominio ospitante nel corrispondente indirizzo IP, il simbolo "@" nella codifica ASCII, o nell'equivalente binario o esadecimale, rendendo l'indirizzo della risorsa di "phishing" simile e poco più lungo di quello che è stato falsificato.

Le The Angels vi ricordano che il phishing non ha nulla a che fare con i pesci...