Fidarsi è bene, non cliccare è meglio!



Si parla tantissimo di truffe annesse ai servizi online come quelli delle Poste Italiane: nonostante la crescita delle conoscenze dell’utente medio di internet, il rischio quando si utilizza il browser rimane costante. Del resto i truffatori conoscono molto bene le potenzialità che offre la rete, per cui riescono a trovare sempre dei modi alternativi per far scattare un nuovo imbroglio telematico.

20090730logoposte_home

Gli acquisti su internet (di servizi, merce, ecc.) sono ormai all‘ordine del giorno per molti di noi: i problemi associati alla sicurezza di queste operazioni sono diventati molto stringenti, specie quando si effettuano operazioni con carta di credito. Del resto non sembra pensabile un passo indietro: piuttosto è necessaria l’adeguata conoscenza del mezzo per prendere le necessarie contromisure.

Se si riceve una mail dalla propria banca, istintivamente crollano una serie di “protezioni” che vi portano a credere a tutto quello che vedete scritto, se il truffatore è abbastanza bravo a scrivere codice HTML ed a falsificare gli header del protocollo di email. Faccio l’esempio di Poste.it data la quantità impressionante di “banking phishing/spamming” che ricevo ad essa collegata (solo di nome, come vedremo): mi pare utile fare un po’ di chiarezza e magari stimolare la discussione critica sull’argomento.

L’email è intrinsecamente insicura, anche se la recente introduzione della posta cosiddetta “certificata” sembrerebbe una cosa seria… ma ho ancora (personalmente) qualche dubbio sulla sua effettiva utilità ed utilizzabilità. Sta di fatto che una mail “normale” che ricevete possiede un’intestazione – comprensiva del mittente – che potrebbe essere facilmente falsificabile: per intenderci, potreste ricevere una mail da un indirizzo reale X che compare sulla vostra posta come il “fake” Y (a voi familiare).

Il 17 luglio 2009 ricevo la mail (sul mio account poste.it) di cui potete vedere il corpo qui (si tratta solo di un’immagine, senza link incriminato da cliccare: attenzione se ricevete una cosa simile… ignorate qualsiasi richiesta).

MondoBancoPosta premia il suo account con un bonus di fedeltà pari a 150,00.

Se ci si riflette un attimo, ci si accorge che nessuna banca, onesta e trasparente, avrebbe mai l’interesse a regalare soldi a qualcuno, dato che sui soldi stessi ci guadagna per definizione.

Idem per quanto riguarda la richiesta di “verifica dei dati” a seguito di un’allarmante mail che annuncia che qualcuno ha provato ad accedere al vostro account indebitamente! E’ un modo per scroccare i dati altrui, nulla più.

Nessuna banca che si rispetti, infatti, chiederebbe mai delle informazioni così riservate via mail!  In fondo, in caso di problemi sarebbe molto più efficace e professionale una telefonata, non trovate? Il succo del mio discorso vuole essere: ignorate qualsiasi richiesta in tal senso, e se proprio volete verificare che sia tutto ok fatelo pure, ma da una nuova finestra del browser – senza dunque cliccare i link che vi vengono proposti.

Per cui credo che una buona dose di scetticismo vada alimentata, da parte di tutti noi, almeno nei seguenti casi:

  1. SOLDI-GRATIS: vi viene notificato via mail un accredito bonus o premio fedeltà comunque imprevisto (vale il caro vecchio detto: “nessuno regala niente a nessuno”!);
  2. ALLARME-INFONDATO: ricevete una mail in cui la vostra banca, apparentemente, vi invita a “verificare i vostri dati” dato che – ad es. – sono stati registrati degli accessi ripetuti al vostro account. Quasi, insomma, a farvi capire che qualcuno vi sta cercando di violare l’account: voi istintivamente seguite il link, vi loggate (cioè gli regalate i vostri dati, username & password) e… puf, con la psicologia inversa vi hanno fregato.
  3. ABUSO-DI-TECNOLOGIA: vi viene notificata una richiesta in cui “pare” che il vostro account debba subire una migrazione di dati, per cui servono i vostri dati personali in modo da farlo più rapidamente (in fondo siete gli utenti della banca, non i suoi consulenti informatici :) ).

Dunque, almeno tre punti cardine del phishing da cui diffidare:

  1. richieste generiche o non personalizzate (“caro cliente” piuttosto che “cara Adele Rossi” o “caro Mario Verdi”); lo spam “per tradizione” spara nel mucchio…
  2. allarmismo orientato ad indurre la vittima a cliccare per una verifica che apparentemente è rapida, non costa nulla e fa “stare tranquilli”;
  3. gioco della psicologia inversa descritto in precedenza.

Per concludere, le contromisure che adottate dovrebbero essere accompagnate da un software di protezione adeguato (antivirus, come minimo). Se utilizzate Firefox (mi sento di consigliarlo anche per questo) potete vedere – in basso a sinistra – dove punta un link senza cliccarlo, semplicemente passandoci sopra con il puntatore del mouse: così vi accorgerete che i link che fanno cliccare nelle mail di phishing del tipo “clicca qui per verificare i tuoi dati” puntano a domini “strani” che, letti bene, sono diversi dal dominio internet della vostra banca…

Annunci sponsorizzati:
Condividi su Facebook Condividi su Twitter!
  • hai ragione! ne ho parlato pure io tempo fa su MondoInformatico: http://www.mondoinformatico.info/ancora-phishing-da-disgraziati-mascherati-da-poste-italiane_post-16248.html

  • e75da82

    per ogni login per sicurezza scrivete direttamente voi l’indirizzo nella barra del browser, non sbaglierete mai! ah.. mai memorizzare le password nei computer…

Pinterest