COME DIFENDERSI

Un Falso Timore

Phishing (immagine dal sito massivelabs.com) Una preoccupazione frequente degli utenti è capire come ha fatto il phisher a sapere che hanno un conto presso la banca o qualunque altro servizio online indicato nel messaggio-esca (potrebbe essere anche un social-network o la posta elettronica).
La conseguenza principale di questa errata convinzione è quella di sentirsi in un certo qual modo "vulnerabili" in quanto si è convinti che qualcuno sappia in quale banca abbiamo il conto corrente o quali servizi online utilizziamo.
In realtà il phisher non sa se la sua vittima ha un account presso il servizio preso di mira, ma si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso quel determinato servizio.
Non è pertanto necessaria alcuna azione difensiva da parte dell'utente, se non il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di phishing.


Connessioni Sicure

Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona (a forma di lucchetto in tutti i browser) che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL).
La pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet.


Programmi Specifici

Esistono programmi software specifici che utilizzano "liste nere" (blacklist) in grado di avvisare l'utente quando visita un sito probabilmente non autentico.
Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si possono trovare i link sospetti in un'e-mail.


Filtri Anti-Spam e Anti-Phishing

Se l'utente non è titolare di un conto corrente online e riceve gli estratti conto periodici per posta ordinaria (non via e-mail), può impostare il filtro anti-spam sull'indirizzo dell'istituto di credito.
In questo modo, le e-mail contenenti un indirizzo della banca o un link alla banca stessa nel testo dell'e-mail, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle sospette.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-phishing che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft, ed alimentata dalle segnalazioni anonime degli utenti stessi.
Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del Web (in Italia, la Polizia Postale).


IL DECALOGO DELL'ABI

L'ABI ha stilato un utile decalogo per difendersi dal phishing, orientato particolarmente agli utenti che usufruiscono dei servizi di Home Banking, ma che può essere tranquillamente esteso a tutti gli utenti della rete.

  1. diffida di qualunque e-mail che richieda l'inserimento di dati riservati: la tua banca non richiederà tali informazioni via e-mail

  2. è possibile riconoscere le truffe via e-mail con qualche piccola attenzione. Generalmente queste e-mail non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici); fanno uso di toni intimidatori, ad esempio minacciando la sospensione dell'account in caso di mancata risposta; non riportano una data di scadenza per l'invio delle informazioni

  3. nel caso in cui ricevi un messaggio contenente richieste di questo tipo, non rispondere via e-mail, ma informa subito la tua banca tramite il call center o recandoti in filiale

  4. non cliccare su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurti ad un sito contraffatto, difficilmente distinguibile dall'originale. Anche se sulla barra degli indirizzi del browser viene visualizzato l'indirizzo corretto, non ti fidare: è possibile infatti per un hacker far visualizzare un indirizzo diverso da quello nel quale realmente ti trovi

  5. diffida inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali

  6. quando inserisci dati riservati in una pagina web, assicurati sempre che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l'indirizzo che compare nella barra degli indirizzi del browser comincia con https:// e non con http:// e nella parte in basso a destra della pagina è presente un lucchetto

  7. diffida se improvvisamente cambia la modalità con la quale ti viene chiesto di inserire i tuoi codici di accesso allo home banking: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contatta la tua banca tramite il call center o recandoti in filiale

  8. controlla regolarmente gli estratti conto del tuo conto corrente e delle carte di credito per assicurarti che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contatta la banca o l'emittente della carta

  9. le aziende produttrici dei browser rendono periodicamente disponibili online e scaricabili gratuitamente degli aggiornamenti (cosiddette patch) che incrementano la sicurezza di questi programmi. Sui siti di queste aziende è anche possibile verificare che il tuo browser sia aggiornato; in caso contrario, è consigliabile scaricare e installare le patch

  10. Internet è un po' come il mondo reale: come non daresti a uno sconosciuto il codice PIN del tuo bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i propri dati riservati senza essere sicuri dell'identità di chi li sta chiedendo. In caso di dubbio, rivolgiti sempre alla tua banca.

Sito ideato dall’Avvocato Andreani - Ordine degli Avvocati di Massa Carrara - Partita IVA: 00665830451
Pagina generata in 0.007 secondi