domenica 1 aprile 2007

Poste Italiane e Phishing


In questi giorni c'è un violento attacco di phishing indirizzate alle caselle di posta elettronica di migliaia di persone, da parte di malintenzionati che mandano email a nome di Poste Italiane.




Cos'è il Phishing?


Il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
Fonte: wikipedia.org

La tecnica di attacco si basa su 5 fasi standard:

  1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).
  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

  6. Fonte: wikipedia.org


In questi giorni sono molte le segnalazioni di attacchi informatici con email che falsamente si fanno passare per comunicazioni di Poste Italiane, chiedendo di connettersi all'indirizzo internet segnalato nell'email con una scusa ("attivazione di un nuovo servizio" o per "ragioni di sicurezza") per far si che l'utente riveli dati personali (nr. di carta di credito, di postepay, del C/C online e relative password di accesso).

Normalmente il phisher non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.
Alcuni browser come Mozilla Firefox riconoscono e segnalano, bloccando la pagina, un sito fasullo, rendendo ancor più sicura la navigazione. Mozilla è gratuito e OpenSource, provalo.
Maggiori informazioni si possono trovare presso il sito AntiPhishing Italia .
E' inoltre possibile vedere il filmato informativo realizzato da Poste Italiane ad Hoc.

Consigli pratici per il consumatore:
  1. NON aprire nessun link o collegamento presente nella email, e soprattutto NON fornire nessun dato personale come nr. di carta di credito, di conto corrente o password;
  2. Stampare l'email ricevuta con le intestazioni complete;
  3. Segnalare l'email come SPAM nel proprio programma di posta elettronica (è possibile farlo anche per le caselle di posta online);
  4. Cancellare l'email;
  5. Sporgere denuncia presso lo Sportello della Polizia di Stato Online seguendo le indicazioni del sito;
  6. Inoltrare una copia della denuncia per conoscenza ad ACU all'indirizzo associazione@acu.it;

Nessun commento: