Come difendersi dalle truffe Phishing dei dati sensibili

Phishing termine inglese che significa “pescare”. Una minaccia che nello scorso degli ultimi anni e sempre in continua evoluzione e cerca nuovi metodi e nuovi inganni per raggirare delle vittime ignare della truffa e svuotare o il conto in banca o carta di credito.

 

Con l’avvento dei servizi bancari che ti permettono di effettuare prelievi o pagamenti on-line senza smuoverci da casa ed effettuare tutto in poco tempo, sono nate queste truffe capaci di accedere e prelevare i dati sensibili dell’utente  (password, codici pin, IBAN ecc) in modo da poterli successivamente utilizzare per svuotare il conto in banca delle vittime phishing.

 

Come avviene il “raggiro”?

Il raggiro e semplice, realizzando pagine e siti identici a quelli delle banche poste ecc. Questi siti o singole pagine comunemente chiamate “clone” sono perfettamente uguali alle originali solo che i dati inseriti (password di accesso, codici e dati sensibili vari) invece di essere inseriti nel database della banca, posta o altro, vengono inseriti nei database dei truffatori.

 
  

Come verificare che l’indirizzo della banca è corretto?

Supponiamo che la nostra “Banca AB” abbia un sito raggiungibile al seguente indirizzo http://www.banca-ab.it. Generalmente il protocollo sicuro e protetto per il trasferimento dei dati è sempre HTTPS (in quanto utilizza il protocollo SSL) quindi l’indirizzo della nostra banca diventa https://www.banca-ab.it quando si accede alle aree protette.
 
L’indirizzo è quindi corretto e possiamo essere certi che è il sito reale ed ufficiale della nostra banca.
 
La truffa non avviene solo per utenti che hanno un conto bancario infatti anche la tecnica del Phishing è utilizzata per rubare account di social network vari come:
 - Facebook
 - Netlog
 - Onedate
 - Twitter
   
Oppure semplicemente account di posta elettronica come:
  - Hotmail
 - Yahoo
 - Gmail
 - Virgilio
 
E molti altri ancora…
 

Che interessi ci sono a rubare un account?

Le motivazioni sono molteplici:
- Inviare messaggi pubblicitari ai contatti e-mail della vittima
- Inviare messaggi con il sito phishing per ingannare altri contatti ed aumentare così lo SPAM in rete, un processo con “reazione a catena”.
- Rubare la vostra identità ed inviare messaggi con malware vari in allegato e creare come nel caso del famoso worm Conflicker o Kido una vera e propria botnet mondiale!
 

È possibile riconoscere un sito Phishing?

Vediamo il confronto tra le seguenti pagine:
 
 
 
 
 
 
Apparentemente sembrano uguali ma..
 
 
 
l'indirizzo è completamente diverso!!!
 
 
 
In pratica veniamo dirottati in una pagina uguale ma fasulla che registra i dati che utilizzi per accedere al tuo account.
 

Come posso fare per capire qual’è quello originale?

1) A fianco dell’indirizzo generalmente compare un’icona
2) L’indirizzo solitamente è formato da un dominio che riporta il nome del sito es: Il link http://it-it.facebook.com/help/new_user_guide.php mostra evidentemente il dominio di facebook ed è sicuramente un link sicuro e ufficiale. In caso contrario, non inserire ancun dato (password, dati sensibili o altro) ed uscire dalla pagina.
3) Se utilizzate Mozilla avrete un anti-phishing già integrato e vi segnalerà quando un sito e pericoloso o meno. Quindi è consigliabile sempre aggiornare il vostro browser.
 
Queste sono solo alcune regole da seguire ma che ovviamente possono non bastare per fonire la massima protezione. Un’ulteriore sicurezza è data da alcuni software generalmente FREE che permettono di navigare in sicurezza senza il rischio di cadere nella trappola dei siti Phishing.
 
I migliori attualmente in commercio sono:
·        McAfee SiteAdvisor
·        Comodo Verification Engine
 
Per chi invece vuole tutto in uno gratis può utilizzare AVG che ha la funzione di Anti-Phishing integrata con una comoda Tool bar.
Esistono anche versioni non gratuite che offrono tutto in uno come:
  1. Panda
  2. Kaspersky
  3. F-Secure
  4. G-Data
È evidente quindi che questi software sono si indispensabili per la sicurezza in rete però e anche vero che prima di fornire i dati personali a qualche sito, è indispensabile controllare sempre che il link sia quello giusto e che il login avvenga con successo. Se si ha il sospetto che i propri dati di accesso siano stati rubati, è consigliabile cambiare immediatamente la password di accesso o contattare l’amministratore del sito, la banca, servizio ecc.