In questo breve articolo introduttivo vogliamo spiegare in poche parole cosa si intende comunemente per “Phishing”.
Il “phishing” consiste (in genere) in una email che sembra provenire apparentemente da un soggetto legittimato, nel tentativo di raccogliere le informazioni personali e soprattutto quelle bancarie del destinatario. In genere i messaggi sembrano arrivare da siti web od organizzazioni molto conosciute e popolari, in modo da ingenerare l’affidamento da parte del destinatario. Nel corso della storia di questo metodo di “truffa” sono stati riportati casi in cui l’utento si è trovato dinanzi veri e propri siti clone di Paypal, di Ebay, di AOL, di Yahoo, e per quanto riguarda l’Italia, il sito delle PosteItaliane per la sezione relativa alla Postepay. In realtà se si guarda bene l’indirizzo internet, si noterà una certa somiglianza con l’indirizzo “reale” del sito clonato, almeno nella prima parte (il sottodominio), mentre la parte relativa al dominio è in genere completamente differente, e spesso ospitata su server di paesi per cui non vige l’obbligo di collaborazione internazionale, o per cui non sono riconosciuti i “reati informatici”.
Il “phishing” prende il nome dallo slang americato che deriva per l’appunto dall’attività di pesca; il truffatore/hacker butta l’esca nel mare immenso di internet, sperando che alcuni delle migliaia di email inviate, si rivelino produttive, ed i malcapitati “abbocchino”.
I “phisher” in genere utilizzano tecniche sofisticate di “ingegneria sociale” e di mail-spoofing (per ingegneria sociale intendiamo sofisticati metodi di raggiro che tengono conto delle normali paure od apprensioni di un utente medio di internet, spesso inquadrato nel proprio contesto sociale e nazionale); uno dei primi casi di phishing è stato messo in atto da un ragazzino 17enne che attraverso un email ben congegnata, in cui erano presenti tutti i loghi ed i colori societari di AOL (America OnLine, uno dei primi internet service provider statunitensi), nonchè alcuni link informativi correttamente reindirizzati al sito “reale” di AOL, paventava un’errore nella fatturazione; solo dal linl relativo all’errore della fatturazione si veniva reindirizzati ad un sito-civetta, clone in tutto e per tutto di quella specifica sezione di AOL, in cui spesso i malcapitati inserivano le loro username e password ed anche, il numero della propria carta di credito.
Da allora però, è passato del tempo; le tecniche si affinano sempre di più, ma contemporeamente aumenta la consapevolezza e l’educazione informatica degli utenti della rete (oltre che la diffidenza). Inoltre in rete esistono moltissimi portali a cui è possibile segnalare questa tipologia di email fraudolente, oltre che ovviamente è sempre possibile sporgere denuncia alla Polizia Postale.
In particolare se volete approfondire il tema, (e per voi l’inglese non è un problema) vi segnaliamo i seguenti siti:
Phishing – Wikipedia, the free encyclopedia
Le informazioni sul phishing da wikipedia. Abbiamo inserito il link sia alla risorsa italiana che a quella inglese, ancora oggi la più completa.
en.wikipedia.org/wiki/Phishing – http://it.wikipedia.org/wiki/Phishing
Anti-Phishing Working Group
Una delle organizzazioni dedite al controllo del fenomeno ed alla catalogazione sia delle email e dei tentativi di phishing, che di tutte le più plausibili soluzioni
www.antiphishing.org/
OnGuard Online – Phishing
La sezione sul phishing gestita dall0 US Federal Trade Commission. Con utili consigli su come riconoscere, difendersi e denunciare i tentativi di Phishing
onguardonline.gov/phishing.html
Avoid Getting ‘Hooked’ By Phishers
La sezione dedicata ai consigli contro il phishing di un sito riferimento in materia di frodi online.
www.fraud.org/tips/internet/phishing.htm