“Phishing” è il metodo utilizzato, da parte di malintenzionati, per rubare informazioni personali quali password, numeri di carte di credito, informazioni finanziarie e così via. Si tratta di vere e proprie truffe che utilizzano e-mail e siti web appositamente creati, per spingere l’utente ad inserire dati personali. L’uso di elementi grafici e formule testuali proprie di famosi servizi online (istituti di credito, portali di e-commerce, aziende di telecomunicazioni,…) possono rappresentare la chiave di volta per spingere i più creduloni ad inserire informazioni confidenziali.
I tentativi di frode online sono in continua crescita: il numero dei messaggi di posta elettronica e dei siti web espressamente creati con lo scopo di truffare gli utenti meno attenti, sta raggiungendo dimensioni davvero spaventose.
Il meccanismo è sempre lo stesso: malintenzionati remoti cominciano con l’inviare migliaia di e-mail ad account di posta elettronica di tutto il mondo. All’interno del corpo del messaggio, si spiega che un famoso istituto di credito, un’azienda di servizi online od un portale sul web, hanno la necessità di verificare i vostri dati personali. Si invita quindi l’utente a cliccare su un link (che porta ad un sito web) spingendolo ad inserire username, password o codici di accesso.
I “messaggi-esca” sono solitamente inviati in formato HTML: i truffatori possono così inserire nel messaggio loghi ed altri elementi grafici propri di famosi istituti con l’intento di “abbindolare” l’utente ma, soprattutto, mascherare il falso link.
Gli istituti di credito “nostrani” sono sempre più presi di mira: recentemente gli account di posta elettronica degli utenti italiani sono stati “bombardati” con false e-mail provenienti da Banca Intesa. Un messaggio in inglese tentava di indurre l’utente a cliccare su un falso link camuffato con l’URL del sito web ufficiale della banca italiana, richiedendo poi di introdurre i dati di accesso personali.
Oggi abbiamo ricevuto un tentativo di truffa che coinvolge UniCredit Banca, fusasi di recente con il gruppo HVB tedesco: evidentemente anche i truffatori si tengono informati.
L’e-mail è in inglese e contiene il testo che segue: Dear UniCredit Banca Member, This email was sent by the UniCredit Banca server to verify your e-mail address. You must complete this process by clicking on the link below and entering in the small window your UniCredit Banca online access details. This is done for your protection – because some of our members no longer have access to their email addresses and we must verify it. To verify your e-mail address click on the link below. Viene quindi proposto un link che sembra puntare all’URL www.unicreditbanca.it
. In realtà, poiché l’e-mail è formattata in HTML, l’utente più attento si accorgerà immediatamente come il link reale sia un altro. Nel caso di specie, il malintenzionato effettua un doppio redirect (appoggiandosi a Google) verso il sito col quale invita poi ad inserire i dati di accesso al proprio account bancario. Analizzando l’intestazione dell’e-mail, il messaggio sembra provenire da un host situato nello stato del New Jersey, USA.
Diffidate sempre di chi vi richiede, via e-mail, la conferma di dati personali. Istituti di credito, siti di e-commerce e così via non richiedono – tramite l’invio di messaggi di posta elettronica – questo tipo di informazioni.
Fate sempre riferimento ai siti web ufficiali e non cliccate mai sui link presenti nelle e-mail di questo tipo.
Per mettere a nudo tutti i tentativi di truffa, è bene disattivare la visualizzazione – all’interno del client di posta elettronica – dei messaggi in formato HTML preferendo sempre il testo puro. In questo modo è immediato accorgersi di come l’indirizzo venga camuffato.
Aggiornamento:
Ci preme ricordare che, ovviamente, i server degli istituti di credito citati non sono stati in alcun modo violati: gli elenchi di indirizzi e-mail ai quali i truffatori inviano i messaggi vengono reperiti in Rete (ad esempio, tra quelli pubblicati in chiaro su siti web, newsgroup od altre sorgenti simili).