Camper Club La Granda - Schede tecniche - Il phishing, ovvero come ti rubo la password

SCHEDE TECNICHE - VARIE
"Il phishing, ovvero come ti rubo la password"

di Lucio Viganò

La diffusione di internet, se da una parte ha prodotto un miglioramento della vita quotidiana e molte opportunità di sviluppare nuove relazioni umane, dall’altra ha determinato un parallelo sviluppo di truffe e frodi di vario genere, tanto da aver costretto il legislatore a prevedere una nuova tipologia di reato, sconosciuta sino a qualche anno fa: la frode informatica.
Una truffa ultimamente molto diffusa, particolarmente insidiosa perché colpisce l’utente medio di internet carpendone la buona fede o, se vogliamo, sfruttandone l’ingenuità e la disattenzione, è comunemente conosciuta con il nome di Phishing, che alcuni esperti di problemi sociali e di costume vorrebbero far derivare da una storpiatura dell’inglese “to fish”, in italiano pescare, appunto, proprio perché la tecnica utilizzata è del tutto simile a quella del pescatore, che lancia la propria esca aspettando che il pesce abbocchi; è evidente che nel nostro caso il pesce è l’utente sopra descritto.
Il phishing è impiegato per ottenere, mediante l'utilizzo di messaggi di posta elettronica fasulli, appositamente creati per apparire autentici, l'accesso ad informazioni personali e riservate dell’utente preso di mira. Grazie a questi messaggi, il malcapitato è ingannato e portato a rivelare i propri dati sensibili, ad esempio numero di conto corrente, nome utente e password, numero di carta di credito ecc.
Ma come avviene tutto ciò? Come abbiamo detto sopra, la posta elettronica è di gran lunga il veicolo preferito per perpetrare questo tipo di reato; chi possiede una o più caselle e-mail si rassegni, perché con ogni probabilità il nome della propria casella è già finito nelle mani di qualche malintenzionato, che prima o poi se ne servirà per lanciare la propria esca, se non l’ha già fatto. Come questo possa accadere, sarà l’argomento che tratterò prossi-mamente su queste pagine. Per ora torniamo al nostro utente virtuale, che per comodità chiamerò Mario Bianchi.
Un giorno il nostro signor Bianchi riceve nella propria casella di posta elet-tronica un messaggio apparentemente proveniente dalla propria banca, che lo invita a cliccare su un link riportato nel corpo dell’e-mail (si chiama link o collegamento un indirizzo internet come quelli che si digitano nell’apposito spazio quando si vuole aprire una pagina web; in questo caso l’indirizzo è gia compilato e basta cliccare su di esso perché la pagina cui si riferisce si apra automaticamente). La richiesta è motivata da esigenze di sicurezza, di pericolo di perdita dei propri dati o addirittura di tutela dalle truffe informatiche! L’invito può a volte avere un tono vagamente minaccioso, paventando al nostro signor Bianchi la perdita dell’accesso al proprio conto corrente nel caso non ottemperasse a quanto richiesto. Spesso la mail è scritta in un italiano stentato, con parecchi errori di ortografia e con un costrutto del tutto simile a quello che si ottiene con i programmi di traduzione automatica; questo fatto dovrebbe già di per sé ingenerare sospetto e diffidenza perché nessuno, soprattutto una banca, userebbe mai un tale linguaggio per rivolgersi ai propri clienti. Ma se la nostra vittima è particolarmente ingenua e clicca sul collegamento presente nel messaggio, aprirà automaticamente una pagina web in tutto e per tutto simile a quella della propria banca dove, in un apposito modulo presente sul sito, verrà invitato ad inserire i dati riservati appartenenti al proprio conto corrente.
Al termine di questa procedura, il furfante si troverà in possesso di tutti gli elementi necessari per accedere al conto corrente del povero signor Bianchi, o per utilizzarne a piacimento la carta di credito. Un giochetto da ragazzi, quindi. Nella migliore delle ipotesi, il truffatore si servirà dei dati carpiti per creare false identità, che utilizzerà per compiere altre truffe in rete, sempre a nome del nostro signor Bianchi.
Il problema è quindi molto serio, tanto che i principali istituti bancari sono stati costretti a contattare i propri correntisti, avvertendoli del pericolo e fornendo loro indicazioni su come evitare la trappola. Anche l’ABI, l’Associazione Bancaria Italiana, ha reso pubblico un decalogo di norme utili per evitare di incorrere nel tranello, con lo scopo di arginare il fenome-no e di limitarne i danni.
È tuttavia evidente che il principale accorgimento da adottare resta quello di usare la testa. Così come nessuno di noi fornirebbe i propri dati personali ad uno sconosciuto incontrato casualmente per strada, analogamente occorre diffidare delle richieste pervenute via internet, anche se apparentemente provenienti da siti o da indirizzi noti, soprattutto se le richieste riguardano i nostri rapporti con le banche o gli istituti che rilasciano le carte di credito. Nessuna banca, infatti, chiede i dati personali dei propri clienti via mail; in caso di necessità convoca il cliente presso la sede stessa dell’istituto, secondariamente, si deve accedere al sito della propria banca solo ed esclusivamente digitandone personalmente l’indirizzo nell’apposita barra del browser di navigazione, evitando accuratamente di rispondere a siti o a mail che ce ne propongano il collegamento automatico, in particolar modo se non richiesto specificatamente da noi; infine, da ultimo ma non per ulti-mo, installare e tenere quotidianamente aggiornato l’antivirus.
Con queste semplici ma efficaci precauzioni, potremo tranquillamente navigare in internet in tutta sicurezza, cogliendo il meglio che questa tecnologica ci offre per renderci la vita più comoda e, perché no, più piacevole, senza correre inutili rischi o peggio vederci prosciugato il nostro conto corrente.