| |
Phishing (abboccamento)
L’espressione secondo alcuni deriva dalla storpiatura del
verbo inglese to fish che significa pescare. L’idea è quella
di pescare utenti in rete per farli cadere all’interno di
trappole tese da incalliti ed navigati truffatori. Come i
pescatori catturano inermi pesciolini così, nel mare magnum
di internet, vi sono soggetti che cercano di carpire dati ed
informazioni relative agli utenti che si imbattano nel
phishing.
Ma quali sono gli scopi del phisher? È presto detto: i
soldi. La letteratura recente ci descrive casi di phishing
che hanno una ben precisa vittima sacrificale delle loro
azioni: l’home banking, ovvero le carte di credito, i conti
correnti on-line, i codici relativi a depositi effettuati in
noti istituti di credito. Ma come è possibile riuscire a
rubare denaro attraverso il phishing? Il fenomeno è allo
stesso tempo criminale e sarcastico, ingegnoso e infantile.
Si cerca di estorcere danaro agli utenti della rete allo
stesso modo con il quale da bambini si cercava di rubare le
caramelle ai coetanei: prendendoli in giro.
La tecnica utilizzata per colpire gli utenti italiani
attraverso il phishing è stata, sinora, quella di inviare
un’e-mail apparentemente proveniente dal proprio istituto di
credito (in particolare Banca Intesa, Unicredit e Banca di
Credito Cooperativo i casi più frequentemente riscontrati)
con cui si informava l’utenza che, a causa di un
trasferimento del sito (o per altre ragioni tecniche non
meglio precisate) era necessario collegarsi al nuovo sito,
entrare nella sezione riservata al proprio conto e compilare
un apposito formulario.
Apparentemente non c’è nulla di strano. Solo che il sito
verso cui ci si indirizza non è il sito della nostra banca
ma è un altro sito utilizzato come esca per far abboccare
gli ignari pesciolini. In seguito i dati e le informazioni
carpite vengono utilizzate nei modi più svariati, ma una non
tempestiva segnalazione alla propria banca potrebbe condurre
verso amare sorprese nel successivo estratto conto.
Perché è subdolo e sarcastico il phishing? Perché sfrutta
l’ingenuità e l’ignoranza degli utenti. Il messaggio di
posta elettronica del phisher è generalmente scritto in un
italiano improbabile (il che lascia supporre che il fenomeno
non abbia ancora preso piede presso i criminali del Belpaese),
con gli accenti sbagliati, con verbi coniugati male, con
improbabili espressioni idiomatiche. Pertanto, un utente
accorto avrebbe buon gioco a notare la “enarmonia” fra un
e-mail scritta con i piedi e le comunicazioni usualmente
provenienti dagli istituti di credito, formulate sempre in
un italiano piuttosto forbito.
Sarebbe sufficiente una maggiore familiarità con la lingua
di Dante per accorgersi che una banca non si sognerebbe mai
di mandare una comunicazione così delicata ad un cliente,
invitandolo ad aprire il proprio conto on-line digitando
password e quant’altro, attraverso un’e-mail zeppa di orrori
ortografici.
Sotto il profilo tecnico è opportuno adottare ulteriori
accorgimenti, e seguire questi brevi suggerimenti per non
cadere in trappola.
Nel momento in cui giunge l’e-mail phishing occorre sapere
che lo scopo del truffatore è quello di indurci in errore
facendoci credere che il link presente nell’e-mail conduca
verso la nostra banca.
Per smascherare il trucco è sufficiente posizionare il mouse
sull’indirizzo della banca verso cui il messaggio ci invita
a recarci. Posizionandoci sull’indirizzo, senza cliccare,
potremmo osservare sulla barra di navigazione (presente su
ogni browser) il nome dell’indirizzo verso il quale ci
condurrà il link.
Leggendo attentamente quell’indirizzo ci accorgeremo come
non corrisponda affatto a quello della nostra banca e quindi
riusciremo a smascherare il phishing, evitando di cadere
nella sua rete.
Tuttavia occorre segnalare come dalle recenti notizie di
cronaca si evinca una certa evoluzione delle tecniche di
phishing: nel caso di Unicredit bank, c’era una sola “s” di
differenza fra il sito effettivo della banca e quello
clonato dal phisher. Inoltre il sito civetta era in tutto e
per tutto simile a quello originale.
Come comportarsi in questi casi? Una telefonatina non
guasterebbe di certo, in fondo si spendere qualche centesimo
per risparmiarne migliaia e migliaia.
Avv. Marcello Pirani -
legal@anti-phishing.it |
