Quasi tutti noi che abbiamo avuto a che fare con l'home banking, abbiamo sentito parlare almeno una volta di phishing. Se questo termine non vi dice niente o non si è mai avuta l'occasione di approfondirne il significato, per phishing si intende una tecnica attraverso la quale un soggetto malintenzionato (chiamato phisher), riesce a raccogliere dati personali di accesso, tramite tecniche di ingegneria sociale che negli anni si sono fatte sempre più raffinate.

Questo risultato è raggiunto infatti presentando una pagina di accesso al sito di quale si vogliano rubare i dati, del tutto simile alla pagina ufficiale.

I siti maggiormente presi di mira, negli anni, sono stati quelli di istituti bancari, ma sono abbastanza diffusi tentativi di phishing per siti istituzionali, provider internet che forniscono servizi email, servizi finanziari o qualunque altro sito possa fornire informazioni sensibili a livello economico o sull'identità dell'utente.

La tecnica più utilizzata è generalmente quella di inviare email relative al proprio conto corrente, nelle quali si invita il destinatario ad accedere immediatamente al proprio conto, per verificare i suoi dati oppure per convalidare vincite o premi che il proprio istituto ha deciso di regalare (Immagini 1 e 2). Naturalmente tutto quello proposto è fasullo ed è a solo scopo di truffa e di impadronirsi dei dati di accesso al sito proposto.

La classica email di phishing simula la necessità di convalidare il proprio account, oppure di riattivarlo perché disattivato a seguito di lavori di manutenzione o per presunte irregolarità rilevate. L'email può contenere un link da seguire, oppure una pagina html in allegato che simula quella originale. Lo scopo di questo tipo di email è chiaramente quello di convincere l'utente ad inserire i propri dati accesso, spaventandolo con l'eventualità che il proprio conto venga disattivato o facendogli credere che dovrà pagare una multa o che è stato effettuato qualche ordine a suo nome su siti di aste online.

Seguendo il link che compare nel testo della mail o aprendo la pagina che si trova in allegato, infatti, non si raggiunge il vero sito, ma uno clonato, del tutto simile all'originale, come possibile vedere dalle Immagini 3 e 4, che è stato progettato appositamente per ingannare il visitatore facendogli credere che stia accedendo al vero sito del suo fornitore di servizi per poter perpetrare la truffa. I dati di riempimento del modulo vengono infatti inviati al server del malfattore e ovviamente non a quello della banca.

Il modo migliore per difendersi da questo tipo di attacco è sapere che mai nessuna banca, istituto di credito, società finanziaria, sito di aste online, ecc. chiederà mai di inserire le proprie credenziali di accesso tramite email e che ogni connessione effettuata verso i loro siti deve essere effettuata su un protocollo sicuro, come https, che utilizza certificati SSL per criptare il traffico da e per il sito stesso. In quasi tutti i browser moderni, la presenza di un certificato valido è riconoscibile dal simbolo di connessione sicura (generalmente un lucchetto) accanto all'indirizzo del sito web che si sta visitando.

In Italia sono anche molto diffusi tentativi di phishing per quanto riguarda i conti correnti di BancoPosta (Immagine 6), spesso promettendo la riscossione di premi in denaro dai 50 ai 100 euro semplicemente facendo l'accesso al proprio conto oppure per verificare dei presunti pagamenti effettuati con la propria carta PostePay (Immagine 5).

L'industria criminale del malware e del phishing è sempre in evoluzione, anche perché gli utenti stanno diventando sempre più consapevoli dei rischi che corrono su internet e quindi vengono studiate tecniche sempre più raffinate per trarli in inganno, di conseguenza gli utenti devono essere sempre più consapevoli dei rischi che corrono e del modo in cui prevenirli.

Roberto Spagliccia
C.R.A.M. - TG Soft