PHISING

TIPOLOGIA: Frode on line

DEFINIZIONE
Acquisizione, per scopi illegali, di dati personali di clienti di banche e organizzazioni finanziarie attraverso l’invio di e-mail che simulano le comunicazioni ufficiali della banca.

RISORSE MINACCIATE
Dati di accesso (user ID e password) dei clienti di Internet Banking, numeri di carta di credito, identità del cliente.

INFORMAZIONI TECNICHE
Il phishing consiste nell’uso di e-mail e nella creazione di pagine web ideate per simulare comunicazioni ufficiali da parte della banca. Lo scopo è quello di raggirare gli utenti Internet di tali enti per carpire loro informazioni personali riguardanti l’account, le password per accedere a servizi di home banking o acquisire fraudolentemente informazioni riguardanti la carta di credito.

Tali dati vengono catturati dai phishers e vengono successivamente riutilizzati per scopi criminali, come frodi finanziarie o furti di identità.

Tipicamente, le e-mail di phishing contengono false dichiarazioni finalizzate a creare l’impressione che ci sia una minaccia immediata o un rischio di disabilitazione per l’account della persona cui sono destinate.

Le e-mail sono in formato HTML e contengono un collegamento nascosto a un sito web contraffatto, spesso contenente il nome della banca coinvolta. In taluni casi è stato riscontrato un mascheramento dell’URL, che rende invisibile per l’utente il reale link contenuto nell’e-mail.

Inoltre, sfruttando delle falle del protocollo di comunicazione SMTP, sia il campo relativo al mittente che quello relativo al destinatario di eventuali risposte possono essere alterati.

Esistono casi in cui il collegamento inserito nell’e-mail fa riferimento ad un sito maligno che permette un reindirizzamento in real time verso tale sito delle informazioni che vengono inviate al sito della banca da parte dell’utente.

In tali casi è anche possibile che il sito maligno controlli le finestre pop-up del sito della banca, alterandole e carpendone il contenuto.

Altre tecniche di attacco, meno frequenti, consistono nella diffusione di worm che permettono di effettuare key-logging (registrazione dei caratteri digitati dal cliente) o screen grabbing (istantanee della schermata su cui sono state digitate le informazioni sensibili).

 
COME PROTEGGERSI DAL PHISING - DECALOGO PER I CLIENTI
Il phishing è una frode informatica ideata allo scopo di rubare i dati personali di un utente (es. chiavi di accesso al servizio di home banking, numero di carta di credito,…).

Il phishing viene attuato da truffatori che inviano false e-mail apparentemente provenienti da una banca o da una società emittente carte di credito, composte utilizzando il logo, il nome e il layout tipico dell’azienda imitata.

Queste e-mail invitano il destinatario a collegarsi tramite un link a un sito Internet del tutto simile a quello della banca e a inserirvi, generalmente attraverso una finestra pop-up che si apre dallo stesso link, le informazioni riservate.

Esempio di phishing:
Gentile utente, durante i regolari controlli sugli account non siamo stati in grado di verificare le sue informazioni. In accordo con le regole di xxxxxx abbiamo bisogno di confermare le sue reali informazioni. È sufficiente che lei completi il modulo che le forniremo. Se ciò non dovesse avvenire saremo costretti a sospendere il suo account.”

Ecco alcune semplici regole che possono aiutare gli utenti Internet a non cadere in questo tipo di truffe:

1. Diffidate di qualunque e-mail che vi richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio di home banking o altre informazioni personali. La nostra Banca non richiederà tali informazioni via e mail.

2. È possibile riconoscere le truffe via e-mail con qualche piccola attenzione; generalmente queste e-mail:
_ non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici);
_ fanno uso di toni “intimidatori”, ad esempio minacciando la sospensione dell’account in caso di mancata risposta da parte dell’utente;
_ non riportano una data di scadenza per l’invio delle informazioni.

3. Nel caso in cui riceviate un’e-mail contenente richieste di questo tipo, non rispondete all’e-mail stessa, ma informate subito la nostra Banca tramite il call center o recandovi in filiale.

4. Non cliccate su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurvi a un sito contraffatto, difficilmente distinguibile dall’originale. Anche se sulla barra degli indirizzi del browser viene visualizzato l’indirizzo corretto, non vi fidate: è possibile infatti per un hacker visualizzare nella barra degli indirizzi del vostro browser un indirizzo diverso da quello nel quale realmente vi trovate.

5. Diffidate inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali, quali in particolare @.

6. Quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l’indirizzo che compare nella barra degli indirizzi del browser comincia con “https://” e non con “http://” e nella parte in basso a destra della pagina è presente un lucchetto.

7. Diffidate se improvvisamente cambia la modalità con la quale vi viene chiesto di inserire i
vostri codici di accesso all’home banking: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contattate la nostra Banca o recandotevi in filiale.

8. Controllate regolarmente gli estratti conto del vostro conto corrente e delle carte di credito
per assicurarvi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contattate la nostra Banca e/o l’emittente della carta di credito.

9. Le aziende produttrici dei browser rendono periodicamente disponibili on-line e scaricabili gratuitamente degli aggiornamenti (cosiddette patch) che incrementano la sicurezza di questi programmi. Sui siti di queste aziende è anche possibile verificare che il vostro browser sia aggiornato; in caso contrario, è consigliabile scaricare e installare le patch.

10. Internet è un po’ come il mondo reale: come non dareste a uno sconosciuto il codice PIN del vostro bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i vostri dati riservati senza essere sicuri dell’identità di chi li sta chiedendo. In caso di dubbio, rivolgetevi alla nostra Banca !

[ riprodotto per gentile concessione di ABILAB ]

 

© 2019 Banca di Credito Cooperativo di Fano Soc. Coop. via Flaminia, 346 - 61032 Fano (PU) - tel. 0721.851201 fax 0721.850112
PEC: bcc_fano@legalmail.it.
C.F./P.Iva/R.I. 00131220410 - R.I. di Pesaro - R.E.A. n. 14454 - Patrimonio al 31/12/2017: euro 99.316.379
Iscritta all'Albo delle banche e aderente al Gruppo Bancario Cooperativo Iccrea iscritto all'Albo dei Gruppi Bancari con capogruppo Iccrea Banca S.p.A., che ne esercita la direzione e il coordinamento. Codice ABI 8519.1
Aderente al Fondo di Garanzia dei Depositanti del Credito Cooperativo ed al Fondo Nazionale di Garanzia - web by dagomedia