Il furto in banca si fa in rete

Massimo Carboni

da Milano

Immaginate di ricevere una e-mail proveniente, almeno in apparenza, dalla vostra banca on-line, che presenta un link e vi invita a cliccarlo per accedere ad una pagina web dell’istituto. Sembra tutto regolare, l’e-mail non induce sospetti perché sembra in tutto e per tutto provenire proprio dal vostro istituto di credito, inoltre il link riporta ad una pagina assolutamente identica a quella della vostra banca in cui si invita l’utente ignaro ad inserire i propri dati di accesso, tipo account e password, con la scusa di una verifica o qualche altra scusa convenzionale, anche questa apparentemente credibile. A questo punto inserendo i codici segreti vi ritrovate, dopo qualche tempo, il conto corrente alleggerito.
Se fosse andata così, sareste stati vittime inconsapevoli di un «phisher», ovvero un truffatore che cerca di carpire i dati personali degli utenti inviando mail del tutto simili a quelle di banche, organizzazioni finanziarie o entità di commercio on-line e che rimandano a pagine web assolutamente identiche a quelle delle organizzazioni ufficiali. In realtà non molti cadono in truffe di questo tipo e la richiesta di dati personali via mail rappresenta da sola un campanello di allarme che molti avvertono e riconoscono. Tuttavia le vittime di questa truffa sono in aumento.
Fra dicembre 2004 e gennaio 2005 i tentativi di frode sono stati 12mila e 900, mentre i siti dai quali sono partite le incursioni hanno toccato la quota record di 2.560 unità: un progresso di ben 47 punti percentuali, sempre fra fine 2004 e inizio 2005.
La crescita è comprensibile: si tratta di un meccanismo che può portare guadagni considerevoli soprattutto se applicato su vasta scala. Basta ricreare un sito «clone» in cui indirizzare l’utente, curato con tutti i dettagli, le font e l’iconografia del sito ufficiale e inviare, attraverso un qualsiasi client di posta, migliaia di mail in tutta la rete. Basta che una piccola percentuale di utenti «abbocchi» e la truffa diventa subito redditizia. Si gioca quindi sui grandi numeri, certi, come spesso accade, che almeno un utente su mille possa cadere incautamente vittima dell’inganno. I siti «cloni» sono ospitati prevalentemente da nazioni extraeuropee.
La lista vede in testa gli Stati Uniti con il 37% dei casi, la Cina con il 28%, la Corea con l’11%, il Brasile con il 3,97%, la Germania (2,95%), il Giappone (2,46%), il Canada (2,28%) e le altre nazioni con percentuali inferiori al 2%. Purtroppo questi fenomeni di truffa sono difficilmente circoscrivibili, finito uno se ne affaccia all’orizzonte un altro, logica conseguenza dell’aumento delle transazioni monetarie e delle operazioni bancarie on-line. Quindi non stupisce se dopo il phishing un altro sistema di truffa on-line sta balzando agli onori della cronaca.
Si tratta del pharming, un attacco che avviene infettando un server Dns che indirizza i navigatori a un sito fraudolento malgrado loro abbiano digitato la Url corretta nel loro browser. Un attacco difficilmente rilevabile dal momento che il navigatore non segnala nessuna anomalia lasciando credere all’utente di navigare in un sito legittimo. A rendere più pericoloso questo tipo di attacco è il fatto che ad essere colpito non è un singolo navigatore, ignaro destinatario di una e-mail con un link fraudolento, bensì un elevato numero di vittime attaccate nello stesso istante in cui accedono a un falso dominio. Esistono alcune società specializzate proprio in software realizzati per combattere questo genere di truffa, come Websense (www.websensesecuritylabs.com/alerts/), che propone Websense Web Security Suite un prodotto che risulta complementare agli altri software di difesa come antivirus e anti spam, in grado di identificare in modo sicuro le mail che cercano di portare attacchi di tipo phishing.
Comunque, al di là di tutte le forme di difesa via software, la difesa migliore è quella affidata al buon senso, sono infatti molte le organizzazioni e le banche che invitano gli utenti a non rispondere mai a richieste di invio di dati sensibili in qualsiasi modo avvengano.
Nella vita la prudenza non è mai troppa. Una regola d’oro anche per navigare in rete.