Phising, ossia di quella tecnica, adottata da molti malintenzionati informatici, per carpire informazioni utili agli utenti di Internet.
Se, leggendo il titolo, avete pensato ad un errore di stampa significa che non mi conoscete ancora bene. Lo strafalcione non è casuale ed è ispirato da un particolare tipo di truffa informatica che, in lingua inglese, è chiamata “phishing”, con evidente assonanza con il participio presente del verbo to fish, in italiano pescare. La parola probabilmente deriva da “phreaking”, che è l'insieme di attività che permettono di usare il telefono senza pagare la chiamata, e allude all'uso di Internet (e quindi di una rete largamente basata su quella telefonica) per “pescare” password, numeri di carta di credito, codici di accesso e altre informazioni personali.
In cosa consiste questo tipo di truffa? Innanzitutto occorre dire che è basata sui principi dell'ingegneria sociale, e quindi il meccanismo d'azione parte da uno stimolo che tocca alcune molle sensibili della nostra psiche. Lo scopo di questa truffa è quello di “invitare” le vittime a fornire al truffatore informazioni personali e riservate, che possono essere usate per sottrarre denaro dal conto corrente bancario oppure per utilizzare fraudolentemente le carte di credito. Si tratta di un vero e proprio “furto di identità”, che può avere conseguenze anche gravi.
Come anticipato poche righe sopra, lenza e ami necessari per questo tipo di “pesca” sono forniti da Internet, perché la procedura d'attacco tipo fa uso di messaggi di posta elettronica e di siti web trappola.
Mi sembra già di sentire, nel sottofondo, un brusio di commenti: «Lo dicevo che usare la carta di credito su Internet è rischioso», «Ma chi può essere così fesso da dare i propri dati al primo venuto» e simili, ma vi invito a una riflessione: quante volte, al ristorante, avete dato la carta di credito al cameriere perché provvedesse al saldo del conto? E questa non è una procedura rischiosa? Per qualche minuto perdete ogni tipo di contatto con la vostra carta di credito e, in quel lasso di tempo, può succedere di tutto. Siete poi disposti a fidarvi ciecamente sia del cameriere che del cassiere?
Non mi sembra di udire risposte.
Anche l'uso di Bancomat e Pos non è detto che sia sempre così sicuro e che dire delle banche? A volte si fanno clonare decine di tessere magnetiche e i malcapitati utenti si trovano addebitati in conto corrente quattrini mai spesi.
Una mail della Visa? Per un confronto guardate il vero logo, aggiunto nel riquadro giallo a destra
Almeno, se usate la carta di credito su Internet, questa resta sempre saldamente nelle vostre mani; certo, nell'uso della moneta elettronica in rete occorre adottare delle precauzioni, ma, sapendo come fare, e, soprattutto, usando una robusta dose di sano buonsenso, i rischi sono piuttosto limitati. Chiudiamo questa divagazione, che approfondiremo un'altra volta, e torniamo alla nostra truffa.
Come detto, Il meccanismo di attacco è abbastanza standardizzato e si sviluppa secondo alcune fasi:
- 1.la vittima riceve un messaggio di posta elettronica, che simula, in modo più o meno perfetto, la grafica di un'entità ben conosciuta (banca, compagnia di carte di credito, Posta, Internet Server Provider, negozi o aste on line);
- 2.il messaggio parla, di solito, di problemi verificatisi a carico del destinatario (addebito di cifre fuori misura, tentativi di accesso non autorizzato, usi illegali) o del mittente (necessità di aggiornare il database aziendale, falle di sicurezza scoperte nella struttura);
- 3.per risolvere i problemi, oppure per rinnovare l'iscrizione o per verificare i dati presenti nel database, l'e-mail indica l'indirizzo di un sito nel quale la vittima dovrà andare a inserire i dati richiesti. A volte la richiesta è molto perentoria ed è accompagnata da velate minacce di ritorsioni legali;
- 4.naturalmente all'indirizzo indicato non c'è il sito ufficiale dell'istituzione indicata come mittente, ma una sua copia, più o meno simile, posta su un server controllato dai truffatori. Altrettanto naturalmente i dati richiesti per accedere a questo sito, tra i quali, spesso, figurano il numero di carta di credito, la scadenza e il codice CVC2 (tre cifre che si trovano sul retro della carta), oppure password o, ancora, altri dati riservati di questo tipo, vanno a finire negli archivi del “pescatore”;
- 5.parte la stoccata: il truffatore utilizzerà i dati così ottenuti per effettuare acquisti, per movimentare somme di denaro o, infine, come testa di ponte per attaccare altre vittime.
Vediamo un esempio concreto, corredato da immagini: qualche tempo fa ricevetti una e-mail, per la verità dal contenuto piuttosto sgrammaticato, nella quale un istituto bancario mi comunicava che le mie carte di credito e i miei bancomat sarebbero stati bloccati fino a che non avessi provveduto ad aggiornare i miei dati sul server.
Per agevolarmi nell'adempiere alla richiesta, sul messaggio di posta elettronica era presente un collegamento al sedicente sito della banca dove avrei dovuto inserire i miei dati per convalidarli.
Ebbene, poiché amo il rischio e l'avventura, incurante dei messaggi di avviso (sempre più disperati) dei miei sistemi di protezione, ho cliccato sul collegamento indicato e mi sono ritrovato sul sito del truffatore: che dire, la mail era piuttosto scadente, sia da un punto di vista grafico che del contenuto, pieno di errori ed evidenti sgrammaticature, ma il sito trappola era di ben altro livello. Grafica ben curata, loghi e aspetto generale quasi perfetti. A prima vista poteva veramente sembrare una pagina di acquisizione dati dell'istituto bancario, ma il “pescatore” aveva fatto i conti senza l'oste. Grazie ad un programmino installato nel mio programma per navigare in Internet, infatti, sono riuscito a vedere che la pagina nella quale mi trovavo aveva un risk rating molto alto (10/10) e che il sito di uno dei più popolari istituti bancari italiani era, apparentemente, ospitato da un server iraniano.
.. in un sito trappola che, come si vede dalla barra di Netcraft, indicata dalla freccia rossa, è ospitato da un server iraniano. Da osservare lo strano aspetto dell'indirizzo della pagina web ...
Mi sembra inutile specificare che la banca era una vittima della truffa tanto quanto me, e che ne era completamente estranea ...
Andiamo avanti: sempre animato da sete di conoscenza, ho inserito dei dati, ovviamente fasulli, per vedere cosa sarebbe successo: terminato l'inserimento, ho cliccato sul tasto “Prosegui” e mi sono ritrovato sulla home page, questa volta autentica, della banca. Il sito trappola, una volta eseguito il suo lavoro, mi reindirizzava su quello ufficiale.
... il pulsante Prosegui mi ha fatto arrivare nel sito ufficiale della banca che, come si vede nella barra di Netcraft, è in Italia.
In questo caso è stato abbastanza facile scoprire la truffa: la mail sgrammaticata, alcuni piccoli indizi nel sito trappola, l'uso di uno strumento di segnalazione come la barra di Netcraft, un poco di esperienza ... ma in altri casi? C'è da segnalare che il phishing sta diventando sempre più evoluto, i messaggi sgrammaticati sono quasi un ricordo e la qualità grafica dei siti e delle mail trappola è veramente molto alta.
Un esempio di phishing molto ben congegnato, è dettagliatamente descritto nel sito di Paolo Attivissimo (http://attivissimo.blogspot.com/2006/07/false-mail-di-posteit-phishing.html): in questo caso si tratta di una e-mail apparentemente proveniente da Poste Italiane.
Il linguaggio è corretto, burocratico, con riferimenti a norme di legge e non c'è nessun collegamento a siti trappola: infatti si chiede di rispondere con un messaggio di posta elettronica contenente i dati di accesso ai servizi di Posteonline. L'intero messaggio è un piccolo capolavoro di ingegneria sociale, studiato fin nei minimi dettagli per costringere l'utente ad abbassare la guardia.
Poste Italiane è uno dei bersagli preferiti dei truffatori: l'arrivo di mail nelle quali si invitano gli utenti a usufruire dei nuovi servizi on line, previa registrazione dei dati della carta postepay in un sito trappola, o si annunciano premi fedeltà o simili e quasi giornaliero.
Vogliamo usufruire dei nuovi servizi on line di Poste Italiane?
Esempi come questi se ne possono fare a decine e credo che tutti noi abbiamo ricevuto almeno una e-mail contenente un tentativo di truffa di questo tipo: in certi casi l'abbiamo accolta con una scrollata di spalle, perché proveniva apparentemente da un'istituzione con la quale non abbiamo nessun tipo di rapporto, altre volte, invece, sembrava inviata dalla nostra banca o dal nostro fornitore di servizi Internet. Questi sono attacchi indiscriminati, mandati a milioni di indirizzi di posta elettronica, e quindi non dobbiamo stare ad arrovellarci sui modi con i quali i truffatori sono venuti a conoscenza che siamo clienti della Banca X, o che abbiamo partecipato a un'asta on line o acquistato beni sul sito di commercio elettronico Y.
Come ci possiamo difendere da queste truffe? Anche in questo caso occorre usare il buon senso: nessuna istituzione seria userebbe mai un sistema così rischioso di farsi inviare dei dati riservati; quindi, a priori, non fidiamoci MAI di messaggi di questo tipo e, a maggior ragione, non clicchiamo MAI sui link presenti in queste e-mail. Ricordiamo che tutte le transazioni più delicate, nelle quali è necessario usare dati riservati, sono eseguite su siti protetti, identificati da un lucchetto posto sulla barra di stato. Nell'indirizzo di questi siti appare, di solito, il protocollo https anziché il più comune http: ad esempio https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp è l'indirizzo della vera pagina di accesso ai servizi di BancoPostaonline.
Un altro utile accorgimento è quello di installare sul nostro browser la barra di Netcraft, scaricabile gratuitamente all'indirizzo http://toolbar.netcraft.com/ nelle versioni per Internet Explorer e Mozilla Firefox: questa piccola estensione ci racconta vita, morte e miracoli del sito nel quale ci troviamo e, soprattutto, ci mostra se è più o meno sicuro, anche se, in questo caso, è possibile avere dei falsi positivi, ossia segnalazioni di livelli di rischio elevati semplicemente perché il sito non ha una “storia”.