CAPITOLO VI CONSIGLI ALLA CLIENTELA PER DIFENDERSI DAL PHISHING

Transcript

1 Consigli alla clientela per difendersi dal phishing 241 CAPITOLO VI CONSIGLI ALLA CLIENTELA PER DIFENDERSI DAL PHISHING Sommario: 1. Premessa. 2. Consigli utili. 3. Ulteriori semplici consigli tecnici per proteggere la nostra riservatezza. 4. Scansioni on line per rilevare la presenza di spyware. 5. Istallazione di una toolbar antiphishing. 1. Premessa Alcuni istituti di credito stanno aggiornando i propri siti web al fine di supportare ed informare i clienti su quanto possibile per prevenire e contrastare il phishing. Il fenomeno, come già chiarito in molti passaggi di questo volume, puo` avere almeno due aree di intervento e quindi conseguentemente di prevenzione. Da un lato ci sono le persone che forniscono i dati relativi alle password del conto corrente, cadendo nel phishing classico. Altri casi, in crescita con particolare riguardo alle carte di credito, sono relativi al cosiddetto crimeware, ovvero malware che effettua azioni illegali imprevedibili dall utente. Il Dipartimento di Sicurezza Nazionale americano, l SRI International Identity Theft Council, e l Anti-Phishing Working Group, hanno rilasciato un report riguardante le nuove frontiere del cybercrime, dovecisonodefinizionispecifiche per diversi livelli di azioni criminali che possono essere eseguite sul terreno digitale (1). Il report, conosciuto come The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, mette in evidenza le differenze tra gli attacchi e sottolinea alcune tendenze del phishing edeimalware ascopo di frode. Il documento specifica che il Crimeware e` una sottoclasse di una categoria piu` generale di malware, che si riferisce generalmente al (1) Il report è brevemente commentato su 9/, mentrelaversioneoriginalee` disponibile sul sito ufficiale dell Antiphishing Working Group all indirizzo

2 242 Phishing e furto d identita` digitale software non richiesto che viene eseguito sul computer dell utente con l intento di eseguire azioni malevoli. Secondo il report, ci sono quattro metodi principali attraverso i quali il Crimeware puo` essere distribuito: tecniche di social engineering per convincere l utente ad aprire una malevola; attacchi content injection come il cross-site scripting; sfruttamento di vulnerabilità di sicurezza; inserimento di crimeware all interno di software scaricabile dalla rete. Una volta installato, il crimeware puo` essere usato per rubare informazioni di aziende e persone, effettuare attacchi Denial of Service, inviare spam, edeseguirealtreazioniaggiuntiveatteadottenerebenefici finanziari per l attaccante. 2. Consigli utili La sicurezza totale non esiste: informatevi, tenetevi aggiornati, prevenite. ABI Lab e il CASPUR (2), in collaborazione con i due Master Universitari in Sicurezza dei sistemi e delle reti informatiche e Gestione della sicurezza informatica del Dipartimento di Informatica dell Università La Sapienza di Roma, hanno realizzato un percorso formativo - rivolto al cittadino per un utilizzo sicuro dell home banking, nell ambito di un piu` ampio corso on line sulla sicurezza informatica, disponibile gratuitamente all indirizzo percorsi_guidati/pg_038.html. Piu` in generale, ecco alcuni suggerimenti utili alla clientela, che dovranno essere opportunamente inseriti sul sito internet di home banking da parte dell istituto di credito (3): (2) Nato il 5 giugno 1992, si tratta di un Consorzio interuniversitario con la seguente denominazione: Consorzio interuniversitario per le Applicazioni di Supercalcolo per Universita` e Ricerca - CASPUR, finanziato dal MIUR e dalle Università consorziate e senza scopo di lucro. (3) Poste Italiane ha predisposto un testo su comprensivo anche di un filmato con audio reperibile all indirizzo Tra gli altri, anche Banca Sella ha dedicato una apposita sezione alla problematica del phishing, disponibile qui In tutti i casi gli istituti hanno deciso opportunamente di rendere questa parte accessibile a tutti i navigatori e non solo ai clienti.

3 Consigli alla clientela per difendersi dal phishing Se hai fornito i tuoi codici personali, cambia al piu` presto la password di accesso ai servizi on line e informa immediatamente l istituto di credito telefonando al call center nelle modalità comunicate dall istituto stesso. 2. Diffida delle che chiedono l inserimento di dati riservati (il nomeutenteelapassword, il codice per le operazioni dispositive, i codici delle carte di pagamento, altre informazioni personali). 3. Verifica con attenzione le del tuo istituto bancario. Generalmente, infatti, la Banca fornisce un canale di comunicazione preciso, mentre i phisher scrivono a caso su ogni casella di posta elettronica con la c.d. tecnica di spamming. 4. Nel caso in cui una contenga richieste sospette, non rispondere alla stessa ma informa immediatamente l istituto di credito, chiamando ad esempio il call center. Nessuno chiede dati riservati tipo numero di carta di credito e password, con nessun metodo e specialmente via Non cliccare sui link presenti nelle sospette, ma accedi al sito digitando sempre l indirizzo del sito istituzionale ( viene visualizzato l indirizzo corretto, non bisogna fidarsi: un esperto informatico puo` essere in grado di far visualizzare, nella barra degli indirizzi del browser, un indirizzo diverso da quello in cui realmente ci si trova. 6. Fai attenzione agli elementi sospetti nelle ricevute. In questo modo e` possibile individuare la maggior parte delle fraudolente. Le fraudolente presentano, di solito, le seguenti caratteristiche: non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali, per motivi non sempre ben specificati (ad esempio: scadenza, smarrimento, problemi tecnici, etc.); anche in presenza di una personalizzazione, l non fa quasi mai riferimento al nome e cognome del destinatario ma a un indirizzo di posta elettronica (ad esempio: bianchi.m@poste.it); fanno uso di toni intimidatori (ad esempio: minacciando la sospensione dell account in caso di mancata risposta da parte dell utente); non riportano una data di scadenza per l invio delle informazioni; contengono errori di ortografia e sono spesso scritte in una forma poco corretta; chiedono di non rispondere al mittente ma di cliccare sull indirizzo fornito. 7. Custodisci con cura i dati riservati e modifica la password di accesso ai servizi on line almeno una volta al mese o al piu` presto se ritieni

4 244 Phishing e furto d identita` digitale che qualcuno ne sia venuto in possesso. La modifica della password di regola puo` essere effettuata dalla Home Page personalizzata, disponibile accedendo ai servizi on line. Ricorda che è opportuno utilizzare una password con le seguenti caratteristiche: lunghezza minima: 8 caratteri; che contenga almeno una lettera maiuscola, una lettera minuscola, un numero; che non corrisponda a parole di uso comune, nomi propri, date di nascita. Non utilizzare la stessa password che utilizzi per accedere ad altri siti web. Modifica periodicamente le password ed evita di affidare a Windows la memorizzazione automatica delle stesse (posta elettronica, accesso remoto, etc.). Tutte le password gestite direttamente dal sistema operativo Windows sono altamente insicure. E` consigliabile digitare la password ogni volta che questi servizi vengono utilizzati. 8. Quando inserisci dati riservati in una pagina web, assicurati che si tratti di una pagina protetta (4). 9. Diffida di improvvisi cambiamenti nella modalità con cui viene chiesto di inserire i codici di accesso alla tua banca: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contatta immediatamente il call center. 10. Controlla regolarmente gli estratti conto del tuo conto e delle carte di credito per assicurarti che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contatta la tua banca e/o l emittente della carta di credito. Ove previsto dal sistema di home banking, richiedi che di ogni bonifico on line ti sia data immediata comunicazione via SMS (5) (oppure via ). 11. Aggiorna costantemente il software dedicato alla sicurezza (antivirus, antispyware, etc.)ed eventualmente anche il sistema operativo e i programmi per navigare in Internet. Le aziende produttrici dei software (4) Le pagine protette sono riconoscibili in quanto l indirizzo che compare nella barra degli indirizzi del browser comincia con e non con Inoltre, le pagine protette contengono un lucchetto nella parte in basso a destra del browser. Cliccando due volte sul lucchetto e` possibile verificare l esistenza di un certificato che garantisce l autenticita` del sito. E` importante controllare a chi (e da chi) e` stato rilasciato il certificato. (5) In ogni caso, come successivamente meglio indicato, bisogna far attenzione anche agli SMS in quanto è possibile, agevolmente, falsificare anche questo tipo di messaggio (c.d. smsishing).

5 Consigli alla clientela per difendersi dal phishing 245 rendono periodicamente disponibili on line (e scaricabili gratuitamente) aggiornamenti (cosiddette patch) che incrementano la sicurezza del sistema operativo e del browser. Sui siti di queste aziende e` anche possibile verificare che il proprio browser sia aggiornato; in caso contrario, è consigliabile scaricare e installare le patch. 12. L utilizzo di una toolbar antiphishing puo` aiutare a riconoscere i siti potenzialmente pericolosi. Queste toolbar segnalano il livello di rischio del sito che si sta visitando e, in caso di phishing, sono in grado di bloccare la navigazione (l utente può, in ogni caso, scegliere di continuare a navigare ). Alcune toolbar sono disponibili sul Web (ad esempio: la toolbar di Netcraft o quella di Microsoft) e possono essere installate gratuitamente sul proprio computer. 13. Evitate assolutamente comportamenti a rischio durante la navigazione in Internet; Internetèprobabilmente la piu` potente risorsa multimediale a disposizione dell umanità, ma l approccio ad esso deve essere governato da conoscenza, moderazione e prudenza di fondo. Sono comportamenti a rischio: la navigazione su siti di hacking, cracking, etc,senzaapposite protezioni; scaricare software da siti poco attendibili o non ufficiali; aprire messaggi di posta elettronica eeseguirefiles allegati ai messaggi senza preventiva scansione antivirus (anzi, prima si dovrebbe effettuare l aggiornamento e poi si dovrebbe aprire il programma di posta elettronica); installare programmi scaricati da siti non ufficiali o comunque di natura incerta; dar credito a un messaggio pubblicitario dalle caratteristiche sospette (spesso di natura erotica o che promette facili guadagni) che reindirizza ad un sito web per saperne di piu` ; tenete sempre attivata l opzione del browser richiedi conferma per l installazione e il download di oggetti sulla vostra macchina. Disattivate sul browser l esecuzione automatica degli script Java e ActiveX; mentre navigate prima di selezionare un link, posizionateci sopra il cursore del mouse e osservatene il percorso sulla apposita barra del browser: seèun file eseguibile probabilmente e` un trucco per scaricarvi un dialer o peggio; evitare di inviare posta elettronica in formato HTML che, seppure consente una forma piu` elegante e/o simpatica, è uno dei metodi piu` subdoli per veicolare contenuti virus, worm e frodi (senza necessita` di allegati). 14. Un ulteriore forma di frode informatica, connessa al fenomeno del phishing, riguarda conoffertadilavoroe/o di collaborazione

6 246 Phishing e furto d identita` digitale da parte di false società gestite da truffatori (6). I truffatori reclutano persone per svolgere attivita` di trasferimento fondi all estero, con la promessa di un guadagno facile e sicuro. Dopo aver sottratto somme di denaro da un conto, il truffatore dispone un bonifico a favore di una delle persone reclutate la quale, dopo essere stata informata del bonifico, riceve istruzioni per prelevare le somme dal proprio conto e trasferirle poi verso societa` internazionali. Consigliamo quindi, a tutti coloro che hanno fornito dati personali e coordinate bancarie, di monitorare i propri conti per verificare l accredito di denaro da fonti sconosciute.in caso di accrediti di questo tipo, è opportuno procedere con una denuncia presso le forze dell ordine insieme al blocco del proprio conto corrente. I conti potrebbero essere utilizzati per far transitare (illudendo cosı` l utente sulla veridicita` del lavoro proposto) somme di denaro ottenute illegalmente dai truffatori in precedenti truffe informatiche trasformando di fatto, sino a prova contraria, il truffato in truffatore. 3. Ulteriori semplici consigli tecnici per proteggere la nostra riservatezza Come gia` accennato, particolare cura dovrà essere rivolta nell evitare la registrazione automatica delle password nel computer. La funzionalità di memorizzazione e completamento automatico della password è una facile comodita` per gli utenti pigri ma può essere pericolosa si per accessi locali al proprio PC che per eventuali virus che rovistano tra questi dati alla ricerca di dati riservati. Al fine di eliminare queste informazioni, dobbiamo seguire le seguenti procedure (7): a) aprite il browser Internet Explorer; b) dalla barra menu cliccare su strumenti; c) poi cliccate su opzioni Internet e quindi sulla scheda contenuto ; d) premendo il pulsante completamento automatico, appare la nuova maschera impostazioni completamento automatico ; (6) Cfr. capitolo III e l elenco di queste fantomatiche società riportato in Appendice a questo volume. (7) Qui si esporrà quanto necessario con Internet Explorer 6, ma con qualche correzione quanto scritto puo` essere di indirizzo anche per altri programmi di navigazione. Per un approfondimento semplice ed efficace su questi argomenti si rimanda al testo di L. Graziano, Spia e non farti spiare, 2005.

7 Consigli alla clientela per difendersi dal phishing 247 e) cliccate quindi su cancella moduli e cancella password, confermando successivamente l eliminazione. Da questo momento in poi sara` nuovamente necessario digitare le password per accedere alle aree riservate. Laddove si volesse anche disattivare tale funzione di completamento automatico, oltre che cancellare i dati come indicato, tale rinuncia dovrà essere spuntata nella predetta maschera impostazioni completamento automatico di cui alla lettera d). 4. Scansioni on line per rilevare la presenza di spyware Oltrelescansioniantivirus on line, disponibili gratuitamente su moltisitiufficialidinotesoftware house, ci preme segnalare anche l esistenza di un meno noto servizio (in italiano e gratuito) di controllo on line della presenza di software denominato spyware. Uno spyware (8) è un tipo di software che raccoglie informazioni riguardanti l attività online di un utente (siti visitati, acquisti eseguiti in rete, etc.) senza il suo consenso, trasmettendole tramite internet ad un organizzazione che le utilizzera` per trarne profitto, solitamente attraverso l invio di pubblicita` mirata. I programmi per la raccolta di dati che vengono installati con il consenso dell utente (anche se spesso negando il consenso non viene installato il programma) non sono propriamente spyware, sempre che sia ben chiaro all utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga (purtroppo cio` avviene molto raramente). In un senso piu` ampio, il termine spyware e` spesso usato per definire un ampia gamma di malware (software maligni) dalle funzioni piu` diverse, quali l invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attivita` illegali quali la redirezione su falsi siti di e-commerce (tipica ipotesi di phishing) o l installazione di dialer truffaldini per numeri a tariffazione speciale. Per verificare quindi la presenza di eventuali spyware sul proprio computer, una apposita scansione on line è disponile al seguente indirizzo: INTRO-Spy_Audit (8) Per maggiori dettagli si rimanda al glossario dei termini informatici nonché alla nota di Wikipedia sul punto (

8 248 Phishing e furto d identita` digitale Questa la schermata che comparira` : Cliccando su Start Spy Audit comparira` questo messaggio:

9 Consigli alla clientela per difendersi dal phishing 249 Si dovrà cliccare su esegui e il software si scaricherà sul PC (la velocità dipendera` dal tipo di connessione, comunque solitamente si tratta di pochi minuti). Successivamente apparirà questo messaggio di protezione: Se intendiamo andare avanti, dovremo cliccare di esegui. Successivamente partità la predetta scansione (ecco di seguito una schermata durante la scansione di spy audit):

10 250 Phishing e furto d identita` digitale Alla fine della scansione un report in italiano sarà visibile su una pagina web: E` necessario precisare che il software non modifica né corregge alcun files, quindi laddove emergessero cookie (9)/spyware et similia dovrà essere utilizzato un programma di rimozione delle minacce. Tali programmi sono numerosi e tra questi di citano Spybot, SpywareBlaster o Microsoft Windows Antispyware. 5. Istallazione di una toolbar antiphishing La toolbar (letteralmente: barra degli strumenti ) è una barra orizzontale o verticale, o un box, che raccoglie, sotto forma di icone, i collegamenti alle funzioni piu` usate di un software. La toolbar antiphishing piu` nota è quella di Netcraft. È disponibile gratuitamente sia per Internet Explorer che Firefox ed è in grado di rilevare e segnalare all utente l acceso a siti clone tipici dei casi di phishing. La barra mostra una serie di informazioni sul sito visitato ed anche il paese di localizzazione del sito. Un sito di una banca italiana, infatti, sarà certamente allocato in Italia e non in Cina o in Taiwan. (9) I cookie (letteralmente biscottini ) sono piccoli file ditestocheisitiweb utilizzano per immagazzinare alcune informazioni nel computer dell utente. I cookie sono inviati dal sito web e memorizzati sul computer. Sono quindi re-inviati al sito web al momento delle visite successive. Le informazioni all interno dei cookie sono spesso codificate e non comprensibili.

11 Consigli alla clientela per difendersi dal phishing 251 La Toolbar di Netcraft è disponibile all indirizzo Vi invitiamo a diffidare, per il download delprogramma,dialtri siti internet, che potrebbero contenere false toolbar con virus all interno. Dopo aver installato la barra, quando si navigherà sul sito ufficiale dell istituto di credito, sarà facilmente intuibile se si e` in presenza, omenodiunsitoclone.infatti,adesempionelcasodiwww.poste.it, comparira` questa schermata:

12 252 Phishing e furto d identita` digitale Le frecce indicano un livello di rischio basso sulla sinistra e, sulla destra,labandieraitalianaelasocieta` Postecom Spa (societa` di Poste Italiane che gestisce il sito web dell omonimo Gruppo).