Il phishing è una frode informatica realizzata con l'invio di e-mail contraffatte, finalizzata all'acquisizione per scopi illegali di dati riservati.
La parola phishing deriva dall’unione delle parole inglesi " password ", " harvesting " e " fishing ". La frode viene realizzata attraverso l'invio di e-mail contraffatte con la grafica ed i loghi ufficiali di aziende ed istituzioni, che invitano il destinatario a fornire informazioni, motivando tale richiesta con ragioni di natura tecnica. Diciamo che il phishing è una volgare imitazione di una complicata ma efficacissima tecnica di hacking chiamata Ingegneria sociale. Questa tecnica si fonda sul principio che dietro ogni password , sistema di sicurezza , è sempre presente un uomo, ed è molto più semplice “bucare” la sicurezza di un cervello umano che quella di un computer.
Il significato di ingegneria sociale è l’uso delle proprie capacità espressive e di persuasione per ingannare gli altri, ottenendo informazioni importanti con o senza utilizzare strumenti tecnologici. L’hacher nello studio di un attacco di ingegneria sociale , ha ben chiaro quale sia il suo obiettivo . A tal proposito cerca di sviluppare da prima un rapporto di fiducia con la vittima, spacciandosi per un collega ,per un superiore o per un fornitore di servizi.
La Tecnica del phishing, ha come caratteristica l’uso dell’email .Alla vittima infatti vengono inoltrate e-mail che sembrano provenire dal proprio provider, dalla propria banca o da un qualche sito a cui si è iscritti. Come detto prima, il malintenzionato (phisher) cerca di ottenere la fiducia della vittima, con loghi e grafica simile a quella dell’azienda che usa per l’attacco; cerca di stabilire la fiducia umanizzando la sua posizione , chiedendo scusa per l’incomodo o dicendo che si vogliono apportare miglioramenti ai sistemi, richiedendo poi dati personali , quali password, numeri di carte di credito e codici.
Per rendere la truffa ancora più credibile , il phisher realizza un sito con nome di dominio e grafica praticamente uguali a quelli dell’azienda per la quale vuole spacciarsi , sempre per indurre inconsciamente un senso di fiducia in merito al mittente. Il sito ovviamente richiederà l’inserimento dei dati la cui richiesta è stata anticipata nella mail.
Il phisher utilizzer à questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Come Proteggersi da attacchi di Phishing
Non rispondere mai alle mailQuando si riceve una mail che richiede informazioni riservate e dati personali, potenzialmente si tratta di una truffa. Per esserne certi, contattate telefonicamente l’azienda che ha inviato quella mail e chiedete informazioni in merito.
Nessuna azienda è autorizzata a richiedere questi dati in email.
Visitare i siti digitando l’url nella barra degli indirizziPer essere certi di non inserire i propri dati di login su un sito contraffatto, digitate l’indirizzo del sito manualmente, evitando quindi di cliccare sui link proposti nella mail.
Verificare la sicurezza e l’utilizzo di crittografia nel sito webUn’ ulteriore garanzia è il certificato di protezione del sito web. In Internet Explorer potete farlo controllando che sulla barra di stato sia presente l'icona del lucchetto giallo, Questo simbolo indica che il sito Web utilizza la crittografia per proteggere qualsiasi informazione personale riservata immessa. Facendo doppio clic sull'icona del lucchetto è possibile visualizzare il certificato di protezione del sito. Il nome che segue la voce “Rilasciato a” dovrebbe corrispondere al sito in cui pensate di trovarvi. Se il nome è diverso, il sito potrebbe essere contraffatto.
Osservare periodicamente lo stato dei propri conti e carte di creditoControllando periodicamente lo stato dei vostri conti e carte di credito è possibile evitare maggiori danni nel caso in cui la truffa verso di voi abbia avuto esito positivo.
Nessun commento:
Posta un commento