Si moltiplicano truffe e tentativi di estorsione online

Nei giorni scorsi, così come in passato, abbiamo segnalato tutte le principali minacce alla sicurezza ed all’integrità dei dati, alla propria privacy, al proprio portafoglio in circolazione in Rete. Desideriamo scattare oggi un’istantanea su due problematiche che richiedono una sempre maggiore attenzione.
Phishing. E’ il metodo utilizzato per rubare informazioni personali quali password, numeri di carte di credito, informazioni finanziarie e così via. Si tratta di vere e proprie truffe che utilizzano e-mail e siti web appositamente creati, per spingere l’utente ad inserire dati personali. L’uso di elementi grafici e formule testuali proprie di famosi servizi online (istituti di credito, portali di e-commerce, aziende di telecomunicazioni,…) possono rappresentare la chiave di volta per spingere i più creduloni ad inserire informazioni confidenziali.
I tentativi di frode online sono in continua crescita: il numero dei messaggi di posta elettronica e dei siti web espressamente creati con lo scopo di truffare gli utenti meno attenti, sta raggiungendo dimensioni davvero spaventose.
Il meccanismo è sempre lo stesso: malintenzionati remoti cominciano con l’inviare migliaia di e-mail ad account di posta elettronica di tutto il mondo. All’interno del corpo del messaggio, si spiega che un famoso istituto di credito, un’azienda di servizi online od un portale sul web, hanno la necessità di verificare i vostri dati personali. Si invita quindi l’utente a cliccare su un link (che porta ad un sito web) spingendolo ad inserire username, password o codici di accesso.
I “messaggi-esca” sono solitamente inviati in formato HTML: i truffatori possono così inserire nel messaggio loghi ed altri elementi grafici propri di famosi istituti con l’intento di “abbindolare” l’utente ma, soprattutto, mascherare il falso link.
Ultimamente sono propro le banche ad essere prese più di mira: una volta che l’utente clicca sul link indicato nell’e-mail truffaldina ed inserisce i dati per l’accesso, ad esempio, al proprio conto online, il malintenzionato può acquisire quei dati e dilapidarlo completamente.
Gli istututi di credito maggiormente oggetto di phishing sono quelli statunitensi: sono decine i tentativi di truffa messi in atto grazie all’invio di false e-mail e siti web appositamente sviluppati.
Ma non solo. Anche l’Italia sta divenendo sempre più spesso oggetto di attenzione: gli esempi più critici, registratisi più di recente, sono quelli che hanno coinvolto Poste Italiane e Banca Intesa.
Il caso di Banca Intesa è quello più nuovo: un messaggio in inglese tenta di indurre l’utente a cliccare su un falso link camuffato con l’URL del sito web ufficiale della banca italiana, richiedendo poi di introdurre i dati di accesso personali.
Sistema identico quello usato, a metà Marzo, per il tentativo di phishing nei confronti di Poste Italiane: “A seguito di verifiche nei nostri database clienti, si è reso necessario per l’utilizzo online la conferma dei Suoi dati. Le chiediamo perciò di confermarci i dati in nostro possesso entro 7 giorni dalla presente, accedendo al seguente form protetto”, recitava il testo della falsa e-mail.
Diffidate sempre di chi vi richiede, via e-mail, la conferma di dati personali. Istituti di credito, siti di e-commerce e così via non richiedono – tramite l’invio di messaggi di posta elettronica – questo tipo di informazioni.
Fate sempre riferimento ai siti web ufficiali e non cliccate mai sui link presenti nelle e-mail di questo tipo.
Per mettere a nudo tutti i tentativi di truffa, è bene disattivare la visualizzazione – all’interno del client di posta elettronica – dei messaggi in formato HTML preferendo sempre il testo puro. In questo modo è immediato accorgersi di come l’indirizzo venga camuffato.
Siti maligni. Sempre più spesso vengono recapitate, nella nostra casella di posta elettronica, e-mail fraudolente contenenti link a siti web davvero pericolosi. E’ possibile incappare in siti web maligni anche semplicemente “navigando” in Rete. Aggressori remoti rimpinguano questi siti dannosi con script e controlli attivi in grado di eseguire codice nocivo sul personal computer dell’utente. Tutto ciò semplicemente visitando con il browser una pagina creata allo scopo.
Per difendersi da questi attacchi è bene accertarsi di installare con regolarità tutte le patch rilasciate per il sistema operativo e per le applicazioni in uso.
In uno studio effettuato da Symantec e riferito al secondo semestre dello scorso anno, si legge come fossero addirittura più di 1.400 le nuove vulnerabilità di sicurezza (addirittura 54 per settimana!) scoperte nei vari software. Tra queste, più del 97% sono considerate rischiose o molto pericolose (la presenza di queste vulnerabilità può condurre ad attacchi remoti in grado di compromettere completamente il sistema preso di mira). In aggiunta a questo idilliaco scenario, il 70% di esse è stato definito come facilmente sfruttabile da remoto, cosa che estende in modo impressionante il numero dei possibili attacchi.
Un esempio? Websense Security Labs ha lanciato qualche giorno fa l’allarme circa un tentativo di estorsione perpetrato via web. Visitando un sito web maligno con Internet Explorer senza aver applicato tutte le patch di sicurezza Microsoft, ci si potrebbe ritrovare con tutti propri documenti resi assolutamente illeggibili. L’aggressore remoto, quindi, intenta una vera e propria estorsione nei confronti dell’utente: “o acquisti lo speciale software di decodifica o perderai tutto.” E’ questa la sostanza della minaccia.
Accedendo al sito web dell’aggressore senza aver applicato la patch MS05-023 (ved. questa pagina) per Internet Explorer, il browser effettuerà automaticamente il download di un trojan (“download-aag”) e provvederà ad eseguirlo sul sistema dell’ignaro utente. A questo punto, il trojan si connetterà ad un altro sito web maligno provvedendo a prelevare ed attivare un software “ad hoc” che codificherà tutti i documenti personali presenti sul disco fisso. Viene quindi mostrato un messaggio con le indicazioni per l’acquisto del software di decodifica (costo: 200 Dollari).
L’applicazione tempestiva di patch di sicurezza e l’effettuazione periodica di copie di backup permettono di evitare di incappare in simili problemi.