Home > Rubriche > Music Industry > Prego, acceda urgentemente al suo conto online!

Prego, acceda urgentemente al suo conto online!

Succede che ogni tanto, in Italia, le cose funzionino. E, in questi casi, si tratta sempre di truffe!

È bastato promettere la vincita di un televisore LCD come premio fedeltà per far cadere nella trappola ben 150 clienti di Poste Italiane. È accaduto lo scorso marzo a Flumeri (AV), dove l’inaspettata vittoria, comunicata con un’e-mail, ha permesso ai truffatori di svuotare, in 24 ore, i conti e carte Postepay di ben 150 clienti di Poste Italiane. Un colpo da un totale di 200mila euro.
Gli agenti di polizia locale e postale stanno seguendo le tracce informatiche lasciate dai truffatori, risalendo agli spostamenti del denaro sottratto sino ai conti esteri, ma assicurano che arriveranno ai colpevoli. Intanto il consiglio che danno è quello di non rispondere ad e-mail sospette.

È l’ennesimo neo-reato targato progresso e simpaticamente battezzato phishing o spionaggio della rete. E di pesci che abboccano all’amo, a quanto pare, abbonda il mare. Una e-mail della banca di fiducia, una società che promette lavoro, un codice di sblocco del conto corrente postale, un notifica urgente da parte dell’ufficiale giudiziario, un avviso dell’agenzia delle entrate; ed ancora: una nuova suoneria per cellulare, un invito a giocare al casinò: tutti espedienti per captare la credulità dell’ingenuo netizen.

Ecco i nuovi pescatori di conti bancari, ecco le nuove truffe. Ogni internauta è un soggetto potenzialmente a rischio. Conoscere il nemico permette tuttavia di batterlo o, quanto meno, di evitarlo. Ma, per fare ciò, è necessario innanzitutto conoscerlo. E, in questi casi, esso si presenta con una richiesta tanto candida quanto ovvia: i vostri codici di conto corrente bancario!

Il Phishing, dunque, può definirsi come una attività truffaldina, finalizzata ad ottenere l’accesso a informazioni personali o riservate per commettere furti di identità mediante l’utilizzo delle comunicazioni elettroniche.

Esso si realizza soprattutto a mezzo di messaggi di posta elettronica fasulli o messaggi istantanei (più raramente anche a mezzo di contatti telefonici). Questi messaggi invitano l’internauta a rivelare dati personali, come numero di conto corrente o della carta di credito, codici di identificazione, PIN bancario, ecc. Le motivazioni sono tra le più svariate: un errore di sistema, la chiusura del conto, l’accettazione di un accredito a vostro favore, la perdita dei dati, l’autenticazione, ecc.

L’email contiene poi il rimando ad un link che, a sua volta, conduce ad una pagina web del tutto identica a quella del vostro istituto di credito, ma che in realtà è il frutto della clonazione del sito ufficiale. Una volta digitate le coordinate bancarie e la password di accesso, l’inganno è compiuto: al phisher non resta che recuperare i codici catturati attraverso la pagina fasulla, accedere ai relativi conti e disporre a piacimento delle altrui risorse finanziarie.

Ecco un esempio di email phisher:

Gentile Cliente,
Il codice segreto del suo conto on-line e stato inserito incorretto più di tre volte. Per proteggere suo conto abbiamo sospeso il acceso. Per recuperare il acceso prego di entrare e completare la pagina di attivazione.
Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.
Grazie ancora per aver scelto i servizi on-line di Banca di Roma.
Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali
.
[PAGEBREAK] Spesso gli utenti che subiscono queste truffe si chiedono come abbia fatto il perpetratore a sapere che essi dispongono di un conto presso la banca o servizio online indicato nel messaggio-esca. In realtà, normalmente il phisher è ignaro di ciò e si limita ad inviare alle proprie vittime lo stesso messaggio-esca, facendo spamming, nella speranza che, almeno una di esse, abbia effettivamente un account presso il servizio citato.

Scatta, a questo punto, la seconda fase: l’occultamento.
Il phisher ha necessità di rendere irrintracciabile il denaro trafugato. A tal scopo, egli invia a nuovi soggetti una serie di e-mail contenenti offerte di lavoro dai guadagni vantaggiosi, in cambio di un minimo impegno: agli ignari complici egli chiede il transito sul proprio conto corrente di somme di denaro (quelle che un attimo prima erano state rubate), affinché essi ne curino lo smistamento su ulteriori conti indicati dal malfattore. In cambio di ciò, il ‘lavoratore’ può trattenere una percentuale tra l’8 e il 10%, macchiandosi tuttavia inconsapevolmente del reato di riciclaggio di denaro sporco.

Nel nostro ordinamento non esiste una norma specifica che colpisce la complessiva e macchinosa condotta del phishing, ma non è difficile far rientrare tutti i descritti comportamenti in una serie di reati lunga quanto la lista della spesa (falsificazione di comunicazione telematica, truffa, trattamento illecito di dati, accesso abusivo in un sistema informatico o telematico, frode informatica).

La e-mail mendace è il mezzo principale e più convincente per realizzare il raggiro: il suo punto di forza è la grafica, indistinguibile da quella del sito ufficiale che si intende riprodurre. L’aspetto estetico è un elemento d’impatto, la prima (e in alcuni casi l’unica) caratteristica su cui si posa la valutazione del navigatore: e di questo il phisher è ben consapevole. Il punto debole è invece il messaggio scritto: innanzitutto esso è il più delle volte standard e la sua traduzione, poiché realizzata tramite programmi automatici, è spesso incongrua o incomprensibile. Oltre alle anomalie sintattiche, sussiste una fragilità dei contenuti che si palesa nella stranezza e nella singolarità delle motivazioni addotte per arrivare al fine del phisher.

Ma è anche importante sapere che il primo controllo per difendersi da siti-esca è il controllo dell’attendibilità del suo contenuto: ciò si rinviene dall’icona a forma di lucchetto che si trova sulla barra dell’indirizzo (cosidetto https) e che garantisce che si è stabilita una connessione sicura. Difatti la connessione sicura richiede una serie di certificati amministrativi che identificano univocamente un sito internet.

Esistono programmi specifici come la barra anti-spillaggio di Netcraft e anche liste nere (blacklist) che consentono di avvisare l’utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express, con il quale si possono trovare i link sospetti in un’email (vedi sezione Collegamenti esterni).

Il portale Anti-phising Italia fornisce dati allarmanti:
Sono stati 225 i tentativi di phishing nel primo trimestre del 2007 con una media di 2 casi al giorno e un aumento del 1,7 per cento rispetto all’anno 2006. I dati sono in crescita ulteriore. Poste Italiane, con l’87% dei casi, è stato il primo ed incontrastato obiettivo dei phisher, con una frequenza di circa 2 attacchi al giorno. Una possibile spiegazione di tale tendenza è data dall’alta diffusione dei conti BancoPosta e carte prepagate PostePay, utilizzate anche per gli acquisti e transazioni in Rete. A tali elementi vanno aggiunti i costi delle transazioni economiche che, come noto, per le Poste sono notevolmente inferiori rispetto alla banche (1 euro per ogni transazione, contro un costo variabile dai 6 ai 12 euro per un bonifico bancario).

Ci piace concludere con le parole del principe De Curtis che, nel film “Totòtruffa“, sospirava: “Lo so, dovrei lavorare invece di cercare dei fessi da imbrogliare, ma non posso, perché nella vita ci sono più fessi che datori di lavoro“.

Scroll To Top