Italia

Phishing: a Ras Bank nessuna segnalazione, dopo l’allarme Websense. Nel mirino degli hacker altre tre banche

All’indomani dell’allarme phishing lanciato su Internet dal sito Websense Security Labs, Ras Bank ha emesso una nota di rassicurazione. La Banca fa sapere: “Finora non abbiamo ricevuto alcuna segnalazione da parte dei nostri clienti”. Dopo l'allarme lanciato all'inizio dell'estate scorsa da quattro banche tra cui BancaIntesa e Unicredit, oggi sono altri quattro istituti ad essere finiti nel mirino degli hacker. La società specializzata in sicurezza Internet ieri ha emesso un alert dopo aver ricevuto denunce di tentativi di raggiro ai danni dei clienti di Credem, Banca Carige, Credito Valtellinese e Ras Bank. La tecnica usata è quella classica del phishing (in inglese pescare) consiste in una trappola web appositamente studiata per sottrarre dati personali e codici segreti, una sorta di furto ultramoderno, che prende di mira i clienti bancari.

Un messaggio di posta elettronica

Si riceve un messaggio di posta elettronica, che riproduce spesso il nome e il logo della banca e che, promettendo a volte anche dei premi fedeltà, indirizza a una pagina Internet clone, che riproduce in tutto e per tutto il sito Internet della banca. Al malcapitato cliente viene quindi chiesto di immettere nella pagine fasulla i dati sensibili relativi al suo conto corrente che vengono rubati dai truffatori. Solitamente viene richiesto di confermare password, numero di carta di credito o codici per bonifici online. Ma dietro l'esca, di quella che appare come l'intestazione della banca, si nasconde in realtà un hacker che, come un 'pescatore', raccoglie immediatamente i dati dei clienti. A proposito dell'ultima frode spiega Websense, le persone colpite vengono indirizzati a una falsa pagina di login dove vengono spinti a fornire i dati personali relativi ai loro account. “Tutti e quattro gli URL indirizzano allo stesso web server, che, dopo che gli utenti hanno fornito i loro dettagli di login, reindirizza ai siti reali delle rispettive banche", spiega la società.

La vittima del raggiro

Un circolo che contribuisce a ingannare totalmente la vittima del raggiro, che spesso non si accorge di aver “abboccato”. I siti pirata, spiega Websense, sono tutti ospitati su server statunitensi e, al momento, risultano disattivati. Il caso di Credem, Carige, Ras e Credito Valtellinese è solo l'ultimo di una lista che va sempre più allungandosi. Oltre alle altre 4 banche prese di mira la scorsa estate, anche Poste Italiane è stata l'inconsapevole protagonista di casi di phishing. Conoscere il fenomeno è di massima la miglior difesa: è infatti anomalo che le banche richiedano via eMail dati riservati. Se si riceve un messaggio simile, quindi, meglio telefonare e chiedere direttamente alla propria banca di cosa si tratta. Il phishing si è confermato come una delle principali minacce anche nel 2005: secondo l'Anti-Phishing Working Group, truffe e frodi di questa natura, legate al furto di identità digitale, tra novembre 2004 e novembre 2005 sono cresciute del 52%, riguardando mediamente un messaggio su 304 rispetto a uno ogni 943 del 2004. Giusto alcune settimane fa, la Polizia postale italiana ha stilato un decalogo da osservare attentamente per evitare brutte sorprese e intrusioni illecite nei nostri Pc a opera dei sempre più astuti hacker e spammer. Alessandro Carini, responsabile della sezione ‘truffe ed e-commerce’ della Polizia postale e delle comunicazioni, ha dato dei consigli ai frequentatori del forum che il 113 on line ha dedicato al phishing.

La password con cautela e secondo procedure precise

Innanzitutto bisogna gestire la password con cautela e secondo procedure precise; non aprire le eMail di sconosciuti, specie quando si presentano con titoli che tendono ad agire sulla curiosità: espressioni come "la tua fattura", "saluti dalla tua amica/o", etc, possono essere specchietti per le allodole per far eseguire codice malizioso sul nostro pc. Importante usare software antivirus e firewall originali e aggiornati, avvalendosi in fase di installazione di persone tecnicamente informate. Non mantenere il computer collegato a Internet se non è strettamente necessario: anche se si dispone di collegamento flat, che non fa lievitare i costi della bolletta è bene tenere presente che il computer collegato ad Internet può essere oggetto di scansione da parte di hacker alla ricerca di vulnerabilità. Scaricare dalla rete solo file sicuri: basta una foto in formato jpeg adeguatamente modificata per rischiare di importare un keylogger, un software cioè che registra ogni digitazione sulla tastiera e la invia a un indirizzo prestabilito. Nelle transazioni commerciali, verificare sempre l'identità del proprio interlocutore, attraverso ad esempio la richiesta di dati aggiuntivi quali il numero di telefono fisso da contattare per verificare le informazioni fornite. Se la nostra banca online prevede un sistema di cifratura basato sul tipo "ssl" (secure socket layer), controlliamo che sia attivo: in questo caso appaiono un messaggio di avviso del browser e, successivamente, in basso a destra della finestra principale, il simbolo di un piccolo lucchetto. Attenzione anche ai pop-up, ovvero alle finestre che si aprono quando si accede al sito: la richiesta di immettere dati personali potrebbe essere un trabocchetto.

Per aggiornamenti in tempo reale sull’ultima minaccia segnalata da Websense e immagini relative alle modalità di questo attacco, clicca qui.

(06 aprile 2006)

© 2002-2012 Key4biz