Chi siamo
About us
Il portale
Site map
Contatti
Collaboratori

Ricerca

cerca

Ricerca avanzata
Top 10

Password

Recupero password

PA e e/government

Legislazione on-line

L'innovazione nelle PMI

Formazione e lavoro

13/10/2008
Esserci e informare (punto-informatico.it)

09/10/2008
Una strategia di marketing per ovviare alla difficile situazione economica (www.i-dome.com)

» tutte le notizie

L'innovazione nelle PMI

Gli hackers

I virus

Il phishing

10/10/2008
VMware Day - le novità dal VMware World di Las Vegas - Brescia

14/10/2008
Internetworking 2008 - Roma

» altri eventi

Buonsenso in tutti i sensi
Con la campagna ""Buonsenso in tutti i sensi"" la Polizia Postale e il primo sito di commercio elettronico in Italia eBay.it spiegano le principali regole per fare acquisti sicuri su internet.

Osservatorio nazionale per la sicurezza informatica
Promuove ricerche, studi, convegni e seminari, per sensibilizzare cittadini ed imprese ad utilizzare la tecnologia in modo sicuro.

» tutti i link

HOME > L'innovazione nelle PMI > Sicurezza > Archivio 2007 > La truffa è on-line

ARCHIVIO
2005
2006
2007

SICUREZZA

La truffa è on-line

Come prevenirla e riconoscerla

di Antonio Biasi, "L'Economia della Marca Trevigiana", n.4 - 2007

Così come esistono nel mondo reale, la diffusione di internet e dei suoi diversi strumenti applicativi ha purtroppo innescato l’era delle nuove truffe informatiche. Il web risulta infatti un ambiente favorevole al loro sviluppo, così come lo è stato per il fenomeno dello spamming (posta spazzatura). Il Phishing, acronimo di password harvesting fishing è un tipo di truffa on-line ideata per rubare l’identità dell’ignaro utente ed i suoi dati finanziari. Da uno studio condotto ad esempio da una nota multinazionale informatica, gli attacchi di phishing sono aumentati del 226% nell’ultimo anno. L’espressione secondo alcuni deriva dalla storpiatura del verbo inglese to fish che significa pescare. L’idea è quella di pescare utenti in rete per farli cadere all’interno di trappole tese da incalliti e navigati truffatori. L’obiettivo finale sono quasi sempre i soldi. Infatti gli obiettivi prestabiliti di queste truffe on-line sono: l’home banking, ovvero le carte di credito, i conti correnti on-line, i codici relativi a depositi effettuati in noti istituti di credito, ma anche ultimamente carte ricaricabili dal web (come ad es. Postepay, ecc..). C’è inoltre la possibilità di acquistare oggetti on-line e poi dileguarsi nel nulla.

Ma come è possibile riuscire a rubare denaro attraverso il phishing? La tecnica utilizzata per colpire gli utenti italiani attraverso il phishing è stata fino ad oggi, quella di inviare un’e-mail apparentemente proveniente ad esempio dal proprio istituto di credito con cui si informa l’utente che, a causa di un trasferimento del sito o per tentativi di intrusione non autorizzati sul proprio conto on-line, oppure per la verifica della username di accesso o per il ritiro di eventuali premi (o per altre mille ragioni tecniche che di volta in volta vengono appositamente inventate) è necessario collegarsi al sito, il cui link è inviato in allegato alla mail spedita, entrare nella sezione riservata al proprio conto e compilare un apposito formulario. Apparentemente sembra tutto a posto, il logo dell’istituto di credito o ultimamente anche del Bancoposta sono perfettamente identici agli originali.

Il problema è che in effetti il sito verso cui ci si indirizza non è mai il sito della nostra banca, ma è un altro sito (perfettamente identico all’originale) utilizzato come esca per far abboccare gli ignari navigatori. In seguito i dati e le informazioni carpite vengono utilizzate nei modi più svariati, ma una non tempestiva segnalazione alla propria banca potrebbe condurre verso amare sorprese nel successivo estratto conto, con bonifici internazionali non autorizzati o acquisti a nostro nome di oggetti sul web, mai ricevuti e però da pagare. Purtroppo questi tentativi di catturare le nostre informazioni riservate sono in continuo aumento, l’ultima frontiera di questo fenomeno è quella che riguarda le richieste che non arrivano solo via e-mail, ma anche via sms con il relativo numero verde (fasullo) della finta banca mittente, collegato a segreterie telefoniche che hanno il solo obiettivo di registrare i nostri dati personali.

Sarebbe sufficiente ragionare un momento per evitare di cadere nella “trappola”, gli istituti di credito, il Bancoposta, altri importanti soggetti dell’e-commerce non richiedono mai e per nessun motivo codici segreti, né via mail, né via sms, né per telefono. Nel dubbio è sempre meglio fare noi una telefonata alla nostra banca e segnalare i casi sospetti alla polizia postale. Per illustrare il fenomeno è stato presentato nei giorni scorsi il Rapporto annuale sulla sicurezza delle reti informatiche, redatto dalla Polizia Postale. Phishing, naturalmente, ma anche truffe nell’ambito del e-commerce e della telefonia.

I dati pubblicati non sono certo confortanti: nel 2006 in Italia vi sono state 1.219 denunce nel settore della telefonia fissa e mobile, 1.725 nell'e-commerce (triplicate rispetto alle 566 del 2005), 242 in quello dell'hacking. Cominciamo con l’e-commerce: l'anno scorso sono avvenuti 63 arresti per truffe relative al commercio elettronico, 1.725 denunce in tale ambito, 6.245 operazioni di verifica e monitoraggio e 257 perquisizioni. I dati relativi alla telefonia mobile e fissa hanno fatto registrare un tono leggermente minore, ma non per questo meno preoccupante: 7 persone arrestate, 1.219 denunce, 780 monitoraggi e 139 perquisizioni. Nessun arresto, invece, per hacking (espressione utilizzata per comprendere in generale tutte le attività illecite perpetrate in rete): in tale settore 242 denunce, 3.189 i monitoraggi e 51 perquisizioni. Fra le attività descritte nel rapporto come “hacking”, maggiormente riscontrate sono state le intercettazioni di password, la decrittazione delle stesse, l'intercettazione del traffico Web e della posta elettronica, l'asportazione di documenti e progetti segreti, la sottrazione di account di navigazione e di login alla rete e dei numeri delle carte di credito o ricaricabili.

I suggerimenti per le aziende

A margine dell’elencazione dei dati vengono forniti dalla polizia postale anche alcuni utili suggerimenti alle imprese. Prestare sempre grande attenzione per gli account, password e servizi prevedendo un cambio frequente delle password ed una loro lunghezza specifica (come, peraltro, prescritto anche dal D.Lgs. n. 196/2003). Prestare attenzione anche al cosiddetto auditing, ovvero all'ascolto dei problemi del dipendente, la verifica giornaliera dei log, l'analisi delle attività anomale, il controllo dell'applicazione della “policy” di sicurezza informatica. Utilizzare preferibilmente tecniche di crittografica nella trasmissione di dati riservati, non tenere il PC on line inutilizzato, regolamentare l'accesso ai dati con norme precise e basate su livelli di gestione a seconda delle mansioni svolte nell’azienda.

Per ridurre notevolmente i rischi, il suggerimento è far sì che non tutti possano accedere a tutto, con particolare riferimento a tutti i dati aziendali. Molto importante è inoltre la cura dell’aggiornamento dei software e l’implementazione degli stessi con le relative patch, tramite la costante consultazione dei relativi bollettini sulla sicurezza. La polizia postale ha approntato anche un Decalogo per la posta elettronica.

Valgono anche in questo caso alcune regole di base, come ad esempio: non aprire o copiare un file allegato senza averlo verificato con un buon sistema di antivirus, non lasciare il PC collegato a un sistema di posta elettronica senza avere attivato un salvaschermo dotato di password, cambiare con frequenza le password della posta elettronica, cancellare i messaggi spostati nel cestino almeno una volta alla settimana, salvare i dati sensibili in cartelle protette da sistemi crittografici, non aprire mai e per nessuna ragione allegati inviati da sconosciuti o rispondere ai messaggi di richiesta di dati riservati.

Stampa questa pagina

Segnala l'articolo ad un amico