martedì 4 dicembre 2007
di Gianstefano Monni
È di qualche giorno fa l'ennesimo episodio di cronaca in cui un gruppo di delinquenti, tra cui alcuni giovanissimi, ha approfittato della buonafede di qualche sventurato inconsapevole che ha rivelato i codici di accesso al proprio conto. L'inchiesta, chiamata “Giovani marmotte”, ha messo in luce ancora una volta quanto sia importante avere un minimo di consapevolezza quando si usano strumenti delicati come quelli di e-banking.
La truffa messa a segno dalle “giovani marmotte” è nota come phishing: il termine è una variante di fishing (letteralmente “pescare” in inglese), e allude all'uso di tecniche per la “pesca” di dati finanziari e codici riservati di un utente. La truffa è divisa in due parti: prima si convince lo sventurato che la propria banca gli ha scritto, poi si fa in modo che vada su un sito web e acceda al proprio conto, o meglio creda di accedere al proprio conto.
Prima parte. «Saluti da Milano, ho grossi problemi, fammi un bonifico. Ciao, Pino». Immaginiamo di ricevere una cartolina in cui il nostro amico Pino, assieme ai saluti, ci chiede di fare un bonifico su un determinato numero di conto. È altamente improbabile che qualcuno ci caschi: come minimo prima chiamiamo Pino e gli chiediamo se è stato davvero lui a scriverci: sappiamo che il mittente di una cartolina non necessariamente è chi dice di essere.
Stranamente, questo doverosa prudenza non la applichiama quando invece di una cartolina da un amico spiantato ci arriva un'e-mail dalla banca. Il rischio è esattamente lo stesso: nelle e-mail il mittente non è MAI verificato, chiunque ci può scrivere a nome di chiunque altro. Come per spedire una cartolina, non è necessario dimostrare la propria identità: quando si invia una mail si può dichiarare di essere chiunque, da George Bush a Bin Laden, passando per ciascuno dei 5 miliardi di abitanti che popolano il pianeta. Non c'è autenticazione, né controllo.
Quindi, possiamo tranquillamente ritenere tutte, proprio tutte, le e-mail ricevute da qualsiasi banca a qualsiasi titolo come spazzatura. E cestinarle.
Seconda parte: sembra il bancomat ma è una scatola di cartone dipinta. Ora bisogna convincere l'ingenuo ad accedere ad un sito web. Questa è la parte più facile: una volta che l'utente è convinto che la propria banca gli ha scritto, allora meccanicamente apre la pagina web indicata nell'e-mail. L'indirizzo è simile - per molti utenti spesso indistinguibile - all'indirizzo del conto online. Simile ma non identico: il sito web finto è l'equivalente informatico di una scatola di cartone dipinta da bancomat, in cui si mette la carta e quello la clona.
Di fatto, l'utente convinto di accedere al proprio conto online, in realtà si identifica sul sito-pirata con username e password di accesso al proprio conto, che saranno comodamente disponibili per coloro i quali hanno gettato l'esca. Il gioco è fatto.
Il phishing non è altro che una frode basata su tecniche di ingegneria sociale, in particolare sulla consapevolezza che molti utenti di sistemi di e-banking non hanno una sufficiente conoscenza dei meccanismi che usano e che molti, verso le banche e verso le e-mail, ripongono totale fiducia. Per difendersi da questo tipo di attacco occorre usare il buon senso, e sapere due o tre cose.
L'uso dei conti online può essere comodo, ma come qualunque altro strumento necessita di un po' di consapevolezza e attenzione. Solo così le giovani marmotte di turno saranno costrette a tornare tra i boschi e dedicarsi ad attività più salutari.
© 2007 Nesos Editoriale Indipendente srl - Cagliari