Le novita’ di Diritto & Diritti del 06/09/2007
De Meo Cristina
In tal senso, preme affrontare il tema dello phishing.
Questo fenomeno consiste nell’acquisizione, per scopi illeciti, di dati personali di clienti di banche e di organizzazioni finanziarie attraverso l’invio di mails e nella creazione di pagine web [1] ideate per simulare comunicazioni ufficiali (spamming) della banca o di chi inconsapevolmente si trova nella stessa posizione.
Lo scopo è quello di raggiungere gli utenti Internet di tali enti per carpire loro informazioni personali riguardanti l’account, le passwords di accesso a servizi di home-banking oppure acquisire fraudolentemente informazioni riguardanti la carta di credito.
Tali dati vengono catturati dai phishers e successivamente riutilizzati per scopi criminali.
Tipicamente, le mails contengono false dichiarazioni finalizzate a creare l’impressione che ci sia una minaccia immediata o un rischio di disabilitazione per l’account [2] della persona cui sono destinate.
Le mails, sono in un particolare formato (HTML[3]) e contengono un collegamento nascosto ad un sito web contraffatto, spesso riportante il nome della banca coinvolta in alcuni casi abbiamo un mascheramento dell’URL[4] che rende invisibile per l’utente il reale link contenuto nelle mails.
In alcuni casi il collegamento inserito nel messaggio telematico fa riferimento ad un sito maligno capace di reindirizzare il contenuto delle risposte in real time inviate al sito della banca dell’utente, verso tale sito.
Una vera intromissione e manomissione del sistema della banca.
Altre tecniche di attacco, meno frequenti, consistono nella diffusione di worm che permettono di effettuare key-logging (registrazione dei caratteri digitati dal cliente sulla tastiera dell’apparecchio) oppure screen grabbing (istantanee della schermata su cui sono state digitate le informazioni sensibili)[5].
In sostanza, una miriade di condotte criminose per sfuggire alle quali le regole di difesa potrebbero consistere solo nel diffidare di qualunque mail che richieda dati personali, riconoscere le mails truffaldine per la loro assenza di personalizzazione e il loro contenuto generico (es. scadenza, smarrimento, problemi tecnici, ecc.) e l’uso di toni intimidatori.
Soprattutto è bene non rispondere ma comunicare il fatto alla propria banca.
Dott.ssa Cristina De Meo 15/07/2007
Perugia
——————————————————————————–
[1] World wide web (www): l’espressione spesso risulta nel solo termine web ovvero negli acronimi “www” o “w3” indica il sistema ipermediale di presentazione delle informazioni su Internet.
Per poter utilizzare il web occorre che il proprio sistema abbia una connessione di tipo SLIP/PPP, ed un programma di interfaccia (browser) come Nestcape ed altri. Con esse è possibile consultare le pagine web costituite da files in formato HTML. Il protocollo di comunicazione tra cliente e server è l’http, arricchito da un formato speciale di memorizzazione dei files.
[2]Accredito di accesso ad un particolare servizio telematico, consistente generalmente in un nominativo di riconoscimento (un ID USER, identificativo dell’utente) e di una password.
[3] Acronimo di Hyper Text Markup Language. Indica il linguaggio informatico di marcatura utilizzato per memorizzare e presentare i documenti in web in Internet.
[4] Acronimo di Uniform resource locator, localizzatore uniforme di risorse. Indica il mezzo per rappresentare le coordinate di un sito o di un’informazione presente su Internet. La U.R.L. si compone di tre parti essenziali, consecutive, di cui la prima indica il tipo di server cui ci si dirige; la seconda il nome dell’host; e la terza indica il file che si vuole ricevere.
[5] Cfr. http://www.bccdifano/notizie/phishing.it