Diritto e Fisco | Articoli

Phishing: prego, acceda urgentemente al suo conto online

16 Ottobre 2009 | Autore:
Phishing: prego, acceda urgentemente al suo conto online

Il phishing è una truffa via internet con la quale un soggetto cerca di ottenere i dati sensibili della vittima mediante falsi messaggi di posta elettronica.

Succede che ogni tanto, in Italia, le cose funzionino. E, in questi casi si tratta sempre di truffe.

E’ bastato promettere un televisore LCD, come premio fedeltà, per far cadere nella trappola ben 150 clienti di Poste Italiane. E’ accaduto lo scorso mese di marzo a Flumeri (AV), dove l’inaspettata vittoria, comunicata con e-mail, ha permesso ai truffatori di svuotare, in 24 ore, conti e carte Postepay per 200mila euro.

Gli agenti di polizia locale e postale stanno seguendo le tracce informatiche lasciate dai truffatori, risalendo agli spostamenti del denaro sottratto sino ai conti esteri, ma assicurano che arriveranno ai colpevoli.

È l’ennesimo reato targato progresso e simpaticamente battezzato ‘phishing’ o spionaggio della rete [1]. E di pesci che abboccano all’amo, a quanto pare, abbonda il mare. Una e-mail della banca di fiducia, una società che promette lavoro, un codice di sblocco del conto corrente, una notifica urgente da parte dell’ufficiale giudiziario, un avviso dell’agenzia delle entrate; ed ancora: una nuova suoneria per cellulare, un invito a giocare al casinò. Tutti espedienti per captare la credulità dell’ingenuo netizen.

Ecco i nuovi pescatori di conti bancari, ecco le nuove truffe. Ogni internauta è un soggetto a rischio. Conoscere il nemico permette, tuttavia, di batterlo o, quanto meno, di evitarlo. E, in questi casi, esso si presenta con una richiesta tanto candida quanto ovvia: i vostri codici di conto corrente bancario.

Il phishing, dunque, può definirsi come una attività truffaldina, finalizzata ad ottenere l’accesso a informazioni personali o riservate, per commettere furti di identità mediante l’utilizzo delle comunicazioni elettroniche.

Esso si realizza soprattutto a mezzo di messaggi di posta elettronica fasulli (più raramente anche a mezzo di contatti telefonici). Questi messaggi invitano l’internauta a rivelare dati personali (numero di conto corrente o della carta di credito, codici di identificazione, PIN bancario, ecc.). Le motivazioni sono tra le più svariate: un errore di sistema, la chiusura del conto, l’accettazione di un accredito a vostro favore, la perdita dei dati, l’autenticazione, e così discorrendo.

L’e-mail contiene poi il rimando ad un link che, a sua volta, conduce ad una pagina web del tutto identica a quella dell’istituto di credito del malcapitato, ma che in realtà ne è una perfetta clonazione. Una volta digitate le coordinate bancarie e la password di accesso, l’inganno è compiuto: al phisher non resta che recuperare i codici catturati attraverso la pagina fasulla, accedere ai relativi conti e disporre a piacimento delle altrui risorse.

Ecco un esempio di e-mail phisher:

Gentile Cliente,

Il codice segreto del suo conto on-line e stato inserito incorretto più di tre volte. Per proteggere suo conto abbiamo sospeso il acceso. Per recuperare il acceso prego di entrare e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.

Grazie ancora per aver scelto i servizi on-line di Banca di Roma.

Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali.

Ma come ha fatto il perpetratore a sapere che l’utente truffato disponeva di un conto proprio presso la banca o servizio online indicato nel messaggio-esca? In realtà, normalmente il phisher è ignaro di ciò e si limita ad inviare alle proprie vittime lo stesso messaggio-esca, facendo spamming, nella speranza che, almeno una di esse, abbia un account presso il servizio citato.

Scatta, a questo punto, la seconda fase: l’occultamento.

Il phisher ha necessità di rendere irrintracciabile il denaro trafugato. A tal scopo, egli invia ad altri soggetti alcune e-mail contenenti offerte di lavoro dai guadagni vantaggiosi, in cambio di un minimo impegno. Agli ignari complici egli chiede di far transitare sul loro conto corrente il denaro che un attimo prima era stato rubato con phishing, affinché ne curino lo smistamento su ulteriori conti indicati dal malfattore. In cambio di ciò, il lavoratore può trattenere una percentuale tra l’8 e il 10%, macchiandosi tuttavia inconsapevolmente del reato di riciclaggio di denaro sporco (art 648 bis c.p.).

Nel nostro ordinamento non esiste una norma specifica che colpisce la complessiva e macchinosa condotta del phishing, ma non è difficile far rientrare i descritti comportamenti in una serie di reati lunga quanto la lista della spesa [2].

La e-mail mendace è il mezzo principale e più convincente per realizzare il raggiro: il suo punto di forza è la grafica, indistinguibile da quella del sito ufficiale che intende riprodurre. L’aspetto estetico è un elemento d’impatto, la prima (e in alcuni casi l’unica) caratteristica su cui si posa la valutazione del navigatore. Il punto debole è, invece, il messaggio scritto: innanzitutto esso è standard e la sua traduzione, poiché realizzata tramite programmi automatici, è spesso incongrua o incomprensibile. Oltre alle anomalie sintattiche, la fragilità dei contenuti si palesa nella singolarità delle motivazioni addotte dal phisher.

E’ altresì importante sapere che il primo controllo per difendersi da siti-esca è la verifica dell’attendibilità del sito stesso. Le connessioni serie devono rispettare alcune autorizzazioni amministrative: rispetto che viene certificato dalla presenza di un’icona a forma di lucchetto sulla barra dell’indirizzo (cosiddetto https). Tale simbolo garantisce che la connessione è sicura.

Esistono poi programmi specifici: come la barra anti-spillaggio di Netcraft e alcune liste nere (blacklist), che consentono di avvisare l’utente quando è davanti ad un sito non autentico. Gli utenti di Microsoft Outlook possono proteggersi anche attraverso il programma gratuito Delphish.

Il portale Anti-phising Italia (www.anti-phishing.it) ci fornisce dati allarmanti.

Sono stati 225 i tentativi di phishing nel primo trimestre del 2007, con una media di 2 casi al giorno e un aumento del 1,7 % rispetto al 2006.

Poste Italiane, con l’87 % dei casi, è stato il primo ed incontrastato obiettivo dei phisher, con una frequenza di circa 2 attacchi al giorno: forse per via dell’alta diffusione dei conti BancoPosta e delle carte prepagate PostePay, a cui si aggiungono i costi notevolmente inferiori rispetto alla altre banche.

Ci piace concludere con le parole del principe De Curtis che, nel film “Totòtruffa”, sospirava: “Lo so, dovrei lavorare invece di cercare dei fessi da imbrogliare, ma non posso, perché nella vita ci sono più fessi che datori di lavoro”.


note

[1] La prima menzione del termine ‘phishing’ risale al newsgroup di Usenet: alt.online-service.america-online del 2 gennaio 1996, anche se alcune fonti (non accreditate) affermano che detto termine possa essere apparso precedentemente nell’edizione stampata della rivista per hacker “2600” del febbraio 1994. Il termine phishing è una variante di fishing (letteralmente “pescare“), probabilmente influenzato da phreaking, e allude all’uso di tecniche sempre più sofisticate per “catturare con l’inganno” dati finanziari e password.

[2] Falsificazione di comunicazione telematica (art.617 sexies c.p.), truffa (art. 640 c.p.), trattamento illecito di dati (art. 167 D.lg. 196/2003),  accesso abusivo in un sistema informatico o telematico (art.615 ter c.p.), frode informatica (art. 640 ter c.p.)


Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube