Combattere il phishing si può! Ecco alcuni suggerimenti - I/II

Il phishing, una forma sempre più diffusa di furto informatico, inducendo molti utenti con l'inganno a rivelare i propri dati sensibili, come il numero di conto corrente o quello della carta di credito, utilizzando di solito un messaggio e-mail e un sito web fasulli. Come ormai, tristemente, noto il phishing consiste nell'invio in massa di messaggi e-mail, opportunamente creati per apparire autentici, che fingono di provenire da un istituto finanziario o da un operatore di commercio elettronico noto al destinatario, per esempio la Citibank, PayPal, e-Bay o America Online. Queste e-mail contengono messaggi diversi, ma di solito adottano la stessa formula: il destinatario viene invitato a cliccare sul link contenuto all'interno del messaggio, che lo reindirizza su un sito web, appositamente creato per emulare il sito legittimo, e che risulta spesso identico a quello autentico.

Gli autori di questi attacchi sono consapevoli che la grande maggioranza dei destinatari non ha rapporti con l'organizzazione nominata nel messaggio e-mail, ma questo ha ben poca importanza. Infatti sanno bene che è sufficiente che una piccola percentuale dei destinatari sia titolare di un conto presso l’organizzazione presa di mira per far sì che l'operazione sia valsa la pena. I phisher riescono ad ingannare fino al 5% dei destinatari secondo l'Anti-Phishing Working Group (APWG - un organismo di settore, di cui Sophos è membro, con l’obiettivo di combattere il furto d’identità e le frodi on line che derivano dal crescente fenomeno del phishing).

Un crimine internazionale
Dopo che la vittima ha inserito i propri dati nel sito web fasullo, i phisher possono utilizzarli a proprio piacimento. L'obiettivo è solitamente quello di ripulire il conto della vittima, ma le truffe on-line possono avere molti altri scopi. A seconda del tipo di conto che è stato compromesso, i phisher possono utilizzarlo per commettere ulteriori truffe o per avere accesso non autorizzato alle reti. I phisher che operano in campo internazionale potrebbero avere difficoltà nel far uscire il denaro rubato da un Paese senza lasciare traccia, quindi potrebbero inviare ulteriori messaggi spam per reclutare dei “corrieri”, ovvero degli utenti cui viene promessa una ricompensa pecuniaria in cambio della possibilità di far transitare il denaro sul loro conto. Sophos ha segnalato un caso di truffa on-line nel quale persone inconsapevoli venivano indotte ad aiutare i phisher a spostare fondi prospettando loro una facile opportunità di guadagno.

Perché le aziende sono vulnerabili?
Sebbene i phisher prendano principalmente di mira i consumatori, un attacco di phishing può anche danneggiare la reputazione e la credibilità di un’azienda, minandone l’immagine e causando costi notevoli. Le piccole imprese sono più esposte al pericolo delle frodi on-line, in modo particolare nei casi in cui i conti aziendali vengono controllati da una o due persone con scarse conoscenze tecniche. Le grandi imprese cadono più difficilmente vittima delle truffe on-line, ma è comunque opportuno che proteggano i propri dipendenti dai tentativi di frode che arrivano per e-mail nelle caselle di posta tramite la rete aziendale.

Come prevenire il phishing
Esistono diversi modi di ridurre al minimo le probabilità che un attacco di phishing abbia esito positivo nell'infrastruttura IT di un'impresa o su un personal computer. È essenziale svolgere dei controlli accurati ed essere cauti nel trattamento dei conti on-line, nonché evitare di rispondere ai messaggi e-mail che richiedono informazioni confidenziali.
Le società solitamente non chiedono ai propri clienti per e-mail le password o i dati del conto bancario. Anche se si pensa che il messaggi sia legittimo, non si deve rispondere in alcun caso, bensì contattare la società per telefono o visitarne il sito web.

Oltre alla grafica del messaggio e-mail, i phisher utilizzano tecniche sofisticate di ingegneria sociale per indurre il destinatario ad abbassare la guardia. I messaggi includono spesso un invito urgente all'azione, sostenendo che persone non autorizzate abbiano avuto accesso al conto dell'utente oppure che il destinatario abbia vinto un premio. Alcuni messaggi sono mascherati addirittura da avviso sul phishing.