Cos'è il phishing

Il phishing (tratta dal sito gakuu.com)

In ambito informatico il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto falsi messaggi di posta elettronica o messaggi istantanei, ma anche contatti telefonici.
Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, etc.


Metodologie di Attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

  1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).

  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).

  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.

  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

In Italia il fenomeno ha coinvolto diversi istituti di credito che offrono il servizo di Home Banking e dal mese di Aprile 2007 anche le Poste Italiane e la banca San Paolo-Intesa.


Il caso delle Poste Italiane

Particolarmente preso di mira dal phishing nel mese di Aprile del 2007 è stato il sito delle Poste Italiane.
In questo caso il phisher invita il destinatario dell' e-mail a collegarsi sul (falso) sito delle Poste Italiane per la "verifica dei dati anagrafici forniti".
Nel tentativo di essere maggiormente convincente minaccia anche la possibilità di una "interruzione del servizio" usando termini come "reato penalmente perseguibile". (Guarda l'E-mail)

Un'altra e-mail, che da un punto di vista grafico e di contenuti può risultare a prima vista più accattivante e più credibile rispetto alla precedente, cerca di convincere a fornire informazioni per diventare "utente verificato" e poter usufruire di non meglio specificati "nuovi servizi"; il phisher in questo caso non usa toni minacciosi ma si rivolge all'utente cercando di fare leva su un suo possibile interesse per eventuali servizi aggiuntivi. (Guarda l'E-mail)


Il caso Sanpaolo-Intesa

Un altro caso veramente singolare è quello di una e-mail che circola da maggio del 2007 e che coinvolge il gruppo bancario SanPaolo-Intesa.
In questo caso il phisher avverte il destinatario che il suo conto presso la banca è stato sospeso perchè c'è il sospetto, udite udite, che l'utente sia stato vittima di un furto di identità! (Guarda l'E-mail)


Continua: Come difendersi dal Phishing

Sito ideato dall’Avvocato Andreani - Ordine degli Avvocati di Massa Carrara - Partita IVA: 00665830451
Pagina generata in 0.018 secondi