I pericoli della rete
Su Internet proliferano sempre di più negozi online che permettono di acquistare i prodotti più svariati e di riceverli a casa in pochi giorni pagando con carta di credito.
Quasi tutte le banche, inoltre, permettono al giorno d’oggi di consultare il proprio conto corrente online e di fare transizioni di denaro con pochi clic. Contemporaneamente si è moltiplicato a dismisura il numero dei truffatori online, che cercano di entrare nei siti Internet delle banche per rubare i nostri dati e i nostri soldi o di creare negozi fantasma.
Una semplice e “innocua” e-mail
Per rubare i nostri soldi, i truffatori devono prima sottrarci la coppia user-name e password che usiamo per identificarci nel sito Internet della nostra banca.
Dopo averli ottenuti, entrano nel sito Internet della banca con i nostri dati e trasferiscono i nostri soldi su altri conti correnti, per lo più esteri.
Per sottrarci i nostri dati, i truffatori ci inviano delle e-mail truffaldine, come quella visibile in figura 1, dette e-mail di phishing, spacciandosi per la nostra banca.
In queste e-mail cercano di convincerci a cliccare sul link del sito indicato nell’e-mail. Per farlo, possono dirci che esistono dei problemi sul nostro conto e che sarà cancellato se non clicchiamo sul link indicato. Altre e-mail truffaldine sono più subdole, in quanto affermano di voler premiare la nostra fedeltà, regalandoci dei soldi. Per riceverli sul nostro conto, al solito, bisogna fare clic sul sito indicato.
Figura 1: una e-mail di phishing che si spaccia per Poste Italiane
Per convincerci che il messaggio è autentico, le e-mail di phishing hanno la stessa impostazione grafica di quelle originali della nostra banca e falsificano il mittente dell’e-mail inserendo il nome della banca.
In Mozilla Thunderbird, Microsoft Outlook o il programma di posta elettronica che usate, segnalate le e-mail di phishing come pubblicità indesiderata (spam), in modo che siano bloccate in futuro.
Un gemello cattivo
Se clicchiamo sul link indicato nell’e-mail, si apre un sito Web, simile a quello visibile in figura 2, che assomiglia graficamente a quello reale della nostra banca. L’unica differenza è che se inseriamo i dati per accedere al nostro conto corrente per risolvere ipotetici problemi di sicurezza o intascare il presunto premio di fedeltà, la password arriverà al truffatore.
Figura 2: una sito truffaldino che si spaccia per Poste Italiane
Dietro c’è il trucco
Le e-mail di phishing sono facilmente riconoscibili in quanto vengono inviate, come accade per lo spam, a migliaia di indirizzi e-mail raccolti per la Rete. Per questo motivo, non è raro ricevere e-mail di banche di cui non si è nemmeno clienti. Le e-mail di phishing sono impersonali e prive di riferimenti individuali, come quella visibile in figura 3: sono assenti il nostro nome o cognome, a differenza delle maggior parte delle e-mail ufficiali.
Figura 3: l’utente viene salutato solo come “Gentile cliente”
La maggior parte di esse, ma non tutte, sono inoltre scritte in un italiano maccheronico e con frequenti errori di grammatica. Per truffare il malcapitato, le e-mail dei truffatori citano un sito Internet simile o apparentemente uguale a quello originale. In questo senso, per confondere e ingannare l’utente, possono fare ricorso alle falle dei browser e dei programmi di posta elettronica. Nella barra di stato, come visibile in figura 4, viene così mostrato l’indirizzo del sito Web della nostra banca, ma cliccando su di esso viene aperto il sito del truffatore.
Figura 4: sfruttando una semplice falla i truffatori possono far mostrare nella barra di stato l’indirizzo di Poste Italiane
Dato che le falle scoperte nei browser e nei programmi di posta elettronica vengono corrette molto rapidamente, un’altra tecnica usata dai truffatori è quella di registrare un sito Internet simile a quello originale. Questo è ciò che è successo a UniCredit Banca, quando dei truffatori hanno registrato il sito Internet www.unicreditsbanca.com. La differenza, non evidente a tutti a prima vista, è una s di più fra i termini unicredit e banca. Il sito vero è, infatti, www.unicreditbanca.com. I truffatori hanno inviato e-mail truffaldine a migliaia di persone motivando problemi di sicurezza e invitando ad aprire il sito Internet truffaldino.
Il problema delle truffe online, o phishing, è strettamente legato alla diffusione dei worm: per evitare di farsi rintracciare, i truffatori incaricano dell’invio delle e-mail truffaldine i computer infettati dai loro virus.
|
