Quando il lupo si traveste da nonna di Cappuccetto Rosso...<br>ovvero come difendersi dai tentativi di truffa via e-mail. Associazione Consumatori - Alleanza Consumatori Salerno

domenica 1 aprile 2007

Quando il lupo si traveste da nonna di Cappuccetto Rosso...
ovvero come difendersi dai tentativi di truffa via e-mail.

Sarà capitato a quasi tutti i possessori di una casella postale elettronica di ricevere e-mail “sospette” che sembravano provenire da banche o note aziende operanti on-line.
I sospetti, spesso, si sono rivelati subito fondati, anche perché le e-mail provenivano o da banche presso le quali non si aveva alcun conto oppure da aziende presso le quali non si aveva alcun account.
Ma non sempre è così semplice smascherare il lupo…
Prende, nel gergo informatico, il nome di phishing proprio questa tecnica fraudolenta che sfrutta l’invio di messaggi di posta elettronica fasulli, che sembrano provenire da aziende note (ad esempio PayPal, eBay, Poste Italiane e Banche), nel tentativo di ottenere l'accesso ad informazioni personali o riservate degli utenti. Si sfrutta la cd. “ingegneria sociale” con la finalità di realizzareun vero e proprio furto di identità mediante l'utilizzo delle comunicazioni elettroniche.
Coloro che inviano e-mail ingannevoli sperano, quindi, di ingannare l’utente per far sì che questo riveli i propri dati personali, come ad esempio il numero della carta di credito o le password dei conti, per commettere un furto di identità.

Come si viene attaccati…
Il malintenzionato (phisher) spedisce ad un soggetto un’e-mail che simula, soprattutto dal punto di vista dell’aspetto grafico ma a volte anche nel contenuto, il messaggio di una istituzione o di una azienda o impresa nota al destinatario. L'e-mail invita solitamente il destinatario a seguire un link, presente nel messaggio stesso. Il link fornito, però, non è indirizzato al sito web ufficiale, ma ad ad un sito-fotocopia simile al sito ufficiale, che si trova su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

… e come si ci può difendere.
La migliore difesa è sempre quella di esaminare con cura il messaggio ricevuto e di non cliccare mai sui link se non si è assolutamente sicuri della genuinità del messaggio ricevuto. Ecco alcuni aspetti da prendere in considerazione per non cadere in inganno:
  • l'e-mail potrebbe contenere saluti molto generici, che non riportano nome e cognome (o nickname) dell’utente o del titolare dell’account (es. “Gentile utente Nome Azienza”);
  • l’e-mail potrebbe contenere avvisi di particolari situazioni o problemi che riguardano l’account (es. è in pericolo la sicurezza dell’account; qualcuno ha provato ad entrare o è entrato nell’account; è necessario un aggiornamento; si è verificato una addebito sospetto; l’account è in scadenza; è necessario regolarizzare posizione con l'ente o la società);
  • i link presenti nell’e-mail sono contraffatti e, pur potendo sembrare a prima vista validi (potrebbero includere il nome dell’istituzione o dell’azienda), rimandano ad indirizzi completamente diversi. In questi casi è sempre consigliabile controllare la destinazione di un link prima di cliccare. E’ una operazione facile e che può salvare da brutte sorprese: posizionate il puntatore del mouse sul link e osservate l'URL che compare nella barra di stato del browser o dell'email. Se il link sembra sospetto, non cliccare.
  • il linguaggio utilizzato nel messaggio, molto spesso, presenta errori di ortografia o di grammatica;
  • il phisher utilizza i dati sottratti all’utente con l’inganno per acquistare beni o trasferire somme di denaro. E’ buona abitudine controllare periodicamente i dettagli del proprio account e verifica se sul conto si siano verificate attività sospette.


Qualche altro consiglio prima di salutarci:

  • moltissime aziende, enti ed istituti avvisano espressamente gli utenti e gli iscritti, sia sui propri siti che nelle proprie e-mail, che non verrà mai in alcun modo loro richiesto di fornire informazioni personali in messaggi e-mail (es. numero della carta di credito; numero del conto bancario; numero della patente di guida; indirizzi email; password; nome completo);
  • in caso di dubbio, non rispondere mai direttamente all’e-mail ricevuta, ma rivolgersi direttamente all’azienda per chiedere informazioni, segnalando anche il messaggio che si ritiene contraffatto. Se poi, invece, si crede che l’e-mail di richiesta informazione sia autentica, è bene comunque diffidare del link presente in questa e collegarsi al sito dell’azienda, banca o ente che l’ha inviata digitando l’ indirizzo internet, già conosciuto, direttamente nel browser.

Da parte nostra ci sarà sempre il massimo impegno nel tenervi aggiornati sulle truffe via web e su come difendersi, ma ogni Vs. ulteriore segnalazione sarà di sicuro utile sia a noi che agli altri utenti.

P.S.: visitando anche il sito della Polizia di Stato si può si possono acquisire ulteriori informazioni ed aggiornamenti relativamente ai pericoli derivanti dall’utilizzo di internet, come il phishing e altre truffe di vario tipo.
Sempre sul sito della Polizia di Stato sono segnalati i tentativi più recenti di phishing:
- phishig ai danni di Poste Italiane

- phishig ai danni di Banca Intesa

- phishing ai danni di eBay


Articoli correlati per categorie



Nessun commento: