Attenti all'amo - Parte I

Questo intervento esula un po’ dai normali argomenti del blog, ma ritengo che sia molto importante.

L’argomento del post è il phishing. Per chi non avesse idea di cosa sto parlando ecco una definizione tratta da Wikipedia.

In ambito informatico si definisce phishing una tecnica di cracking, ed in particolare di ingegneria sociale, utilizzata per ottenere l’accesso ad informazioni personali e riservate con la finalità del furto di identità mediante l’utilizzo di messaggi di posta elettronica fasulli, oppurtunamente creati per apparire autentici. Grazie a questi messaggi, l’utente è ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc.

Phishing

Attraverso email studiate appositamente per risultare convincenti, utenti malintenzionati cercano di rubare numeri di carte di credito ed accessi bancari.

Spesso le email sono chiaramente riconoscibili, altre volte invece sono contraffatte a regola d’arte e, agli utenti meno esperti, resta difficile individuare una truffa.

Non più di 2 settimane fa ascoltavo al telegiornale la notizia di numerosi account di una nota agenzia bancaria italiana (non ricordo il nome) rubati in seguito ad attività di phishing ben organizzate.

Combinazione, siccome mi sto trasferendo, proprio in quel periodo mi stavo organizzando per passare dal conto corrente classico a quello online e subito flotte di familiari hanno approfittato della notizia per ribadirmi, ancora una volta, la “non sicurezza” di questi conti.

Io sono di un’opinione: uno strumento può essere affidabile al 99% ma se poi è l’utente a creare delle falle di sicurezza grandi come il buco dell’ozono, allora questo non è un problema del provider del servizio.

O meglio, non del tutto. Quello che, a mio avviso, spesso e volentieri manca è l’informazione. Bisogna, soprattutto nel campo internet, informare, informare, informare ed ancora informare.

Ma perchè questo pistolotto sul phishing così improvviso?

Semplice, in quest’ultima settimana ho ricevuto per la prima volta due tentativi di phishing su due caselle email che uso normalmente: una per le donazioni via paypal e l’altra è collegata agli articoli che scrivo per HTML.it.

Le riporto in seguito, sperando che possano servire come esempio.

Prima email

From: Bancoposta@poste.it

Reply-To: Bancoposta@poste.it

To: xxx@xxx

Date: Sep 14, 2005 10:20 PM

Subject: Misure di sicurezza di cliente di BancoPosta ID 42525

Caro xxx@xxx ,

Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.

Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.

Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:

https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp

Ringraziamenti per vostra pazienza.

BancoPostaon.


Non risponda prego a questo E-mail. Il E-mail trasmesso a questo indirizzo non può essere risposto a.

Questa email sembrerebbe voler segnalare tentativi illeciti di intrusione nel proprio account Bancoposta. Prima di farsi prendere dal panico e seguire il collegamento riportato ragioniamo. Ecco alcuni suggerimenti su come riconoscere se si tratta di un phishing.

Partiamo dal presupposto che gli istituti postali e bancari generalmente mai invitano i clienti a confermare i propri account in questo modo ma, di norma, proprio per ragioni di sicurezza inviano comunicazioni dirette o via posta.

Detto questo procediamo.

  1. Ho un account Bancoposta? Premesso che sì, io ho un account Bancoposta (anche se qui vanno a caso per tentativi) è questa l’email che ho usato per l’iscrizione?Assolutamente no, quindi non possono essere comunicazioni da Bancoposta.

  2. L’italiano è decisamente maccheronico con molti errori ortografici e questo è sufficiente per farci diffidare dell’email.

  3. Notare inoltre come la formula di apertura dell’email riporti l’indirizzo email del destinatario (da me censurato) e non il classico Nome e Cognome. Questo è un altro punto molto importante. Di norma tutte le comunicazioni ufficiali riportano sempre i dati degli utenti (o comunque il suo nominativo) proprio per scongiurare situazioni di questo tipo. Diffidate dalle email che usano come intestazione il vostro indirizzo.

In aggiunta, difficilmente una comunicazione ufficiale inizia con Caro. Questo termine è la diretta traduzione inglese di Dear che è la formula di apertura più usata anche in lettere formali (Dear Mr Brown). Fortunatamente non in italiano, dunque attenzione alle formule di apertura.

A questo punto anche l’utente medio, se attento, ha sufficienti parametri per stabilire che questa email è fasulla. Se ancora non ne fosse certo può contattare direttamente Poste Italiane e chiedere conferma.

Per i più tecnici (ma non solo), ecco alcuni accorgimenti aggiuntivi.

  1. Indirizzo email. Di norma tutti gli indirizzi internet (email comprese) dovrebbero essere minuscoli. Tutti i server non Microsoft Windows based sono case sensitive, cioè fanno distinzione tra caratteri maiuscoli e minuscoli.

E’ convenzione che gli indirizzi email siano minuscoli e si presuppone che Poste Italiane disponga di tecnici informatici che sappiano fare il loro lavoro. In questo caso notate invece come l’indirizzo (non il dominio) presenta la prima lettera maiuscola.

  1. Il link. Se passate il puntatore del mouse sopra al collegamento ipertestuale è probabile che, in basso a sinistra nella barra di stato, vi venga restituito il reale collegamento a cui punta l’indirizzo. Purtroppo non sempre è così, soprattutto se si usa Internet Explorer.

Nel mio caso, usando Mozilla Firefox da diversi anni, ecco il risultato dell’indirizzo.

Spesso l’indirizzo è mascherato usando javascript. Anche in questo caso niente panico: se usate Firefox e leggete l’email da una casella via web usando il browser, con l’estensione Web Developer potete disabilitare i codici javascript (oltre ad altre centinaia di azioni!).

Browser statusbar con phishing URL

In conclusione, direi che quest’email era abbastanza facile da riconoscere.

Siccome non pensavo di scrivere così tanto già solo per un’email, mi sa che è meglio spezzare i post. Più tardi preparo la seconda parte.