Oramai è cosa certa... uno dei mali maggiori di Internet è sempre più rappresentato dal furto di infomazioni.

Negli ultimi tempi si sta sempre più diffondendo il fenomeno del phishing con cui si invitano, illegalmente, gli utenti a fornire i propri dati personali e riservati.

Ma siamo certi di non aver mai subito un attacco del genere?
Forse sì e non ce ne siamo nemmeno accorti.

L'attacco è abbastanza semplice! Cerchiamo di capire cosa succede...

Il malintenzionato invia agli utenti dei messaggi di posta elettronica che sembrano provenire da banche, istituzioni finanziarie, emittenti di carte di credito, ecc..., con i quali si invita ad accedere alla propria home-page tramite l'utilizzo di un link integrato nel testo. Una volta cliccato sul link si apre una finestra contente un falso sito identico nella grafica a quello ufficiale.

Il bello che le e-mail sembrano proprio vere, convincenti nella forma e belle da vedere...

Ecco qualche esempio di phishing:

Belli vero? Io direi proprio di no!

Ma come ci si può difendere in questi casi?
Io consiglio sempre di cestinare questo tipo di messaggi e di non dar peso a queste richieste.

Basti pensare che le Banche, come le altre istituzioni di credito, difficilmente se non MAI chiedono dati "sensibili" come informazioni personali riservate, password o numeri di carta di credito tramite l’invio di e-mail o pagine web di avviso.

Se proprio si è nel dubbio ci si può sempre recare presso gli uffici di competenza e portare con se una bella stampa dell'e-mail ricevuta. E se proprio non si ha tempo si può ricorrere ai call-center delle società in questione.

Ma dov'è il trucco?
Se osserviamo attentamente l'indirizzo riportato nell'e-mail, che apparentemente sembra vero, non punta alla voce riportata ma verso un'altro indirizzo, cioè se ci si clicca sopra si viene dirottati verso una home-page falsa. Oppure, caso più semplice, l'indirizzo riportato è diverso da quello che usualmente utilizziamo per accedere alla home-page corretta. Quindi in linea di principo basta fare questo semplice controllo per non cadere nel tranello.

Ma il malintenzionato come fa a sapere che uno ha un conto presso la banca indicata nel messaggio?
In realtà, chi effettua l'attacco non sa se la sua vittima ha un account presso il servizio preso di mira: si limita semplicemente ad inviare lo stesso messaggio a un numero elevato di persone (cioè fa un bello spamming), nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di phishing.

Per difendersi esistono anche dei software specifici come le barre anti-phishing o le liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Ma a volte non possono funzionare... 

Quindi nel dubbio, CANCELLA!

Nessun commento

Solo gli utenti registrati possono scrivere commenti.