Dalla seconda metà degli anni Novanta Internet inizia ad affermarsi

Dalla seconda metà degli anni Novanta Internet inizia ad affermarsi come mezzo di comunicazione di massa. Alle soglie
del 2000 Internet registra 200 milioni di utenti in tutto il mondo. Gli ultimi dieci anni fotografano rapidi cambiamenti
all'interno del web. Se per tutti gli anni Novanta si parla di web 1.0, con siti statici, che consentono solo la navigazione tra
le pagine, l'utilizzo delle mail e dei motori di ricerca, con il nuovo secolo si arriva al web 2.0, che dà spazio a una
crescente interazione con l'utente. È il momento di blog, forum, piattaforme come YouTube e Flickr e social network
come Facebook e Twitter. Già dal 2006/2007 si parla, poi, di un'ulteriore fase dello sviluppo della Rete, ribattezzata web
3.0, espressione che abbraccia i concetti di web semantico, web 3D e la cosiddetta “realtà aumentata”. Oggi Internet ha
superato la soglia dei due miliardi di utenti, una cifra di tutto rispetto se paragonata a quella della popolazione mondiale
complessiva, circa sette miliardi. Quasi la metà degli internauti è under 25, con una percentuale di circa il 45%. La
maggior parte degli utenti è asiatica (in particolare Cina), a seguire Europa, Stati Uniti e Africa. Nel continente nero,
nonostante numerose campagne per la diffusione del Web, c'è ancora molto da fare perché Internet arrivi a una
diffusione capillare.
Con lo sviluppo della società è cambiato il modo di comunicare ma più si sviluppa la tecnologia e più aumentano i rischi di
trappole informatiche, in cui cadono soprattutto i giovani under 35, che costituscono più della metà degli utenti che
navigano ogni giorno su internet. Comunicare oggi è semplicissimo e servono pochi strumenti per poterlo fare:un pc ed
un modem7 router che si colleghi ad internet. Più è semplice comunicare però e più cresce ilrischio di essere truffati
soprattutto se non si ha una conoscenza dei mezzi per difendersi.
ATTENZIONE! Le truffe non sono realizzate solo da organizzazioni criminali, ma anche da singoli utenti ( i cosiddetti
“hacker”) in cerca di dati personali per arricchirsi alle spalle del “navigatore virtuale”.
I PERICOLI DELLA RETE…
Andiamo ora a vedere quali sono i pericoli più diffusi e le truffe che maggiormente colpiscono l'utente.
TRUFFA ALLA NIGERIANA La truffa nigeriana è un raggiro informatico tra i più diffusi al mondo, inventato per la
prima volta nel 1992 tramite posta ordinaria e nel 1994 per e-mail. Esistono molte varianti di questa truffa ma
l'obiettivo è sempre lo stesso. Gli 'investitori' solitamente vengono contattati con un'offerta di questo tipo: "In questo
paese povero ci sarebbe una persona molto ricca che avrebbe bisogno di spostare all'estero del denaro con la massima
discrezione, sarebbe possibile utilizzare il suo conto?". Nel momento in cui la vittima accetta di partecipare all'affare, il
truffatore per prima cosa invia alcuni documenti fasulli che portano impressi timbri e sigilli uf ciali del governoo, in
alternativa, manda alcune mail per informare il socio dei "progressi". Presto però inizia a parlare di ritardi, relativi a
necessità di corruzione o pratiche burocratiche che richiedono un grosso anticipo in denaro. Le scadenze vengono
prorogate e i costi aumentano, ma viene mantenuta viva la promessa dell'imminente trasferimento di denaro. La
pressione psicologica è mantenuta alta, per stimolare il truffato a concludere in fretta senza coinvolgere altre persone.
In alcuni casi le vittime sono invitate in Nigeria per incontrare funzionari governativi, spesso falsi. Alcune vittime una
volta giunte vengono addirittura prese in ostaggio no al pagamento di un riscatto o sono portate nel paese in modo
illecito senza visto di ingresso e poi ricattate per poterne uscire. Nei casi più estremi la vittima può essere anche uccisa.
In ogni caso, il millantato trasferimento di denaro non avviene mai, ovviamente, dato che i soldi o l'oro non esistono. Di
tale truffa vi è un omaggio cinematogra co del 1962, dal lm Totò truffa '62.
TRUFFA DI VALENTIN: La truffa di Valentin è un raggiro informatico applicato per la prima volta nel novembre del
1999 da uno spammer russo residente a Kaluga che si presentava col nome Valentin Mikhaylin (poi cambiato in Valentin
Mikhailyn, Walentin Mihailin e simili). Tramite la tecnica dello spam vengono inviate migliaia di e-mail che presentano
una storia straziante: Valentin afferma di essere molto povero, di avere una madre (di nome Elena) malata e di non
riuscire a sopportare il terribile inverno russo, per cui chiede dei soldi da inviare ad un indirizzo privato o l'invio di CD
musicali per poterli scambiare con denaro.
PHARMING: E' una tecnica di cracking , utilizzata per ottenere l'accesso ad informazioni personali e riservate, con
varie nalità. Grazie a questa tecnica, l'utente è ingannato e portato a rivelare inconsapevolmente a sconosciuti i propri
dati sensibili, come numero di conto corrente, nome utente, password, numero di carta di credito etc.
VISHING: Il vishing è una forma di truffa simile al phishing, con lo scopo di carpire, con l'inganno, informazioni private.
La truffa sfrutta ed automatizza la persuasione tipica delle tecniche di Social Engineering ed è effettuata tramite servizi
di telefonia. In particolare, sfruttando la tecnologia VoIP per esempio, gli aggressori effettuano delle telefonate
simulando l'esistenza di un call center (di una banca ad esempio) e chiedendo alla vittima di fornire i propri dati ad un
operatore. Differentemente dal phishing classico (via posta elettronica), il vishing fa leva sulla maggiore ducia che
l'essere umano tende a riporre in una persona che sembra essere autorizzata a richiedere tali informazioni. Questa
minaccia, iniziata nel corso del 2006 e diffusasi tra il 2009-2010, è tipica soprattutto degli Stati Uniti d'America e del
Regno Unito. Ultimamente è sbarcata nel resto dell'Europa ed anche in Italia.
TRASHING: Il trashing detto anche dumpster diving è la pratica di risalire ad informazioni riservate attraverso il
setacciamento dei ri uti della vittima, come resoconti, bollette, corrispondenza. Ad esempio il truffatore può risalire ai
dati di un titolare di carta di credito mediante gli scontrini di acquisto o gli estratti conto emessi durante i prelievi al
Bancomat. Dal ritrovamento di scatole di medicinali nella pattumiera si può risalire o, quantomeno, intuire il tipo di
malattia da cui la vittima è affetta. Il trashing è una delle tecniche utilizzate dai hacker e cracker per reperire
informazioni da utilizzare negli attacchi informatici.
TABNABBING: Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più. Viene
presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L'utente
medio ha ormai l'abitudine di navigare su più tab (schede) all'interno del suo browser e la pagina in questione sfrutta
questa abitudine per cambiare d'aspetto nel momento in cui l'utente la lascia aperta per visitare una nuova tab. Il nuovo
aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste
username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail
come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella
deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora
effettuato l'accesso. Ovviamente l'inserimento dei dati in questa pagina verranno inoltrati all'account dell'attaccante e
l'utente verrà reindirizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità.
IN PARTICOLARE…
IL PHISHING: Il phishing è un tipo di truffa via Internet attraverso la quale un aggressore cerca di ingannare la vittima
convincendola a fornire informazioni personali sensibili. Si tratta di una attività illegale che sfrutta una tecnica di
ingegneria sociale: attraverso l'invio casuale di messaggi di posta elettronica che imitano la gra ca di siti bancari o
postali, un malintenzionato cerca di ottenere dalle vittime la password di accesso al conto corrente, le password che
autorizzano i pagamenti oppure il numero della carta di credito. La prima menzione registrata del termine phishing è sul
newsgroup il 2 gennaio 1996. Il termine phishing è una variante di shing (letteralmente "pescare" in lingua inglese),
probabilmente in uenzato da phreaking e allude all'uso di tecniche sempre più so sticate per "pescare" dati nanziari e
password di un utente.
MEDOTOLOGIE DI ATTACCO
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
1. l'utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella
gra ca e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un
Con cracking si intende la modi ca di un software per rimuovere la protezione dalla copia, oppure per ottenere accesso ad un'area altrimenti riservata[1]. La
distribuzione di software così reso privo di protezione (detto warez) è generalmente un'azione illegale a causa della violazione di un copyright. Il crack viene
spesso ottenuto tramite il reverse engineering, tecnica che permette di capire la logica del software analizzando il suo funzionamento e le risposte a
determinati input.
sito di aste online a cui è iscritto);
2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi veri catesi con il proprio conto
corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la
sua posizione con l'ente o la società di cui il messaggio simula la gra ca e l'impostazione (Fake login);
4. il link fornito, tuttavia, non porta in realtà al sito web uf ciale ma a una copia ttizia apparentemente simile al sito
uf ciale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali
particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste
informazioni vengono memorizzate dal server gestito dal phisher e quindi niscono nelle mani del malintenzionato;
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori
attacchi.
Talora l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore nanziario o nancial
manager), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che
vanno poi ri-trasferite all'estero tramite sistemi di money trasfert (Western Union o Money Gram), trattenendo una
percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il
quale il titolare del conto online bene ciario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco.
Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste
comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi,
perché così diviene più dif cile risalire alla identità del criminale informatico e ricostruire compiutamente il
meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti
bancari si allungano, poiché spesso serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di
ogni Paese interessato.
COME PROTEGGERSI DAL PHISHING!
E' importante essere prudenti nel fornire dati riservati ed è necessario
essere sicuri dell'identità di chi li sta chiedendo.
Il phishing è attuato da truffatori che inviano false e-mail apparentemente
provenienti da una banca o da un'altra azienda della quale utilizzano il
logo, il nome e l'impostazione gra ca. L'utente, cliccando sul link presente
nell'e-mail, si collega a un sito Internet del tutto simile a quello originale
ma in realtà inserisce i dati personali in un altro sito.
Suggerimenti utili:
1. Se hai fornito i tuoi codici personali, cambia al più presto la password di accesso ai servizi online e informa
immediatamente il tuo servizio che di norma, unitamente ai codici di accesso, ti deve aver fornito anche un numero verde
al quale segnalare le violazioni.
2. Dif da delle e-mail che chiedono l'inserimento di dati riservati (il nome utente e la password, il codice per le
operazioni dispositive, i codici delle carte di pagamento, altre informazioni personali).
3. Veri ca sempre con la massima attenzione le e-mail che ricevi ad un indirizzo di posta elettronica diverso dalla
casella attivata per il tuo servizio
4. Nel caso in cui un'e-mail contenga richieste "sospette", non rispondere all'e-mail
5. Non cliccare sui link presenti nelle e-mail "sospette": dif da di tutti i messaggi che ricevi dove il mittente si rivolge a
te senza usare il tuo nome e cognome, usando male la lingua italiana, con tono intimidatorio e che non riportano date di
scadenza: inoltre questi messaggi non chiedono di rispondere al mittente ma solamente di cliccare su un link.
6. Fai attenzione agli elementi sospetti nelle e-mail ricevute. Controlla per bene il link che ti viene proposto per
veri care se coincide o meno con quello della tua Banca; il truffatore usa infatti un dominio simile (es: www.posten.it in
luogo di www.poste.it)
7. Custodisci con cura i dati riservati e modi ca la password di accesso ai servizi online almeno una volta al mese o al più
presto se ritieni che qualcuno ne sia venuto in possesso. Modi ca spesso le password assegnate.
8. Quando inserisci dati riservati in una pagina web, assicurati che si tratti di una pagina protetta: nella barra di
navigazione internet dovresti vedere in basso a destra un lucchetto e l'indirizzo dovrebbe iniziare con https://
9. Dif da di improvvisi cambiamenti nella modalità con cui viene chiesto di inserire i codici di accesso. Contatta subito il
tuo servizio se noti anomalie e pagine diverse dal solito.
10. Controlla regolarmente gli estratti conto del tuo conto e carte di credito.
11. In luogo della carta di credito puoi utilizzare quelle ricaricabili, come Postepay; nel caso vengano violate puoi
rischiare solo la cifra impiegata nella ricarica.
12. Aggiorna costantemente il software dedicato alla sicurezza (antivirus, antispyware, ecc.) come spiegato in queste
sezioni.
13. L'utilizzo di una toolbar antiphishing può aiutare a riconoscere i siti potenzialmente pericolosi. Queste toolbar
segnalano il livello di rischio del sito che si sta visitando e, in caso di phishing, sono in grado di bloccare la navigazione
(l'utente può, in ogni caso, scegliere di continuare a "navigare"). Alcune toolbar sono disponibili sul web (es.: Microsoft,
Netcraft, ecc.) e possono essere installate gratuitamente sul proprio computer
IL FENOMENO PHISING DAL PUNTO DI VISTA GIURIDICO…
Non esiste una de nizione del fenomeno “phishing” nel nostro ordinamento, ma non esiste neanche una de nizione della
parola “phishing” in alcun dizionario della lingua inglese, trattandosi di una storpiatura del verbo “to sh”, pescare. Una
pesca alla quale abboccano, purtroppo, gli utenti più sprovveduti.
Ma il fatto che non vi sia una norma giuridica espressamente dedicata al phishing non signi ca che questa pratica sia
lecita, tutt'altro.
·
A cosa attiene l'illiceità di questa pratica?
Per rispondere a questa domanda è opportuno ricordare che la nalità del phisher è quella di ottenere dagli utenti dati
personali (come codici d'accesso, pin, password, userID, etc.) per poi sottrarre loro denaro depositato in conti correnti
accessibili on-line.
Pertanto vi sono due momenti fondamentali da tener presente nel valutare
l'illiceità del phisher: uno attiene ai raggiri informatici necessari per carpire i dati
personali degli utenti; l'altro attiene alle manovre nanziarie e bancarie che il
phisher deve porre in essere per trasferire il denaro sottratto agli utenti
all'interno di posti sicuri. Questa seconda fase è forse ancora più delicata della
prima, perché una volta acquisita la disponibilità di un conto corrente on-line, il
phisher dovrebbe cercare in ogni modo di nascondere le tracce, spesso in maniera
illecita, delle movimentazioni che ha effettuato con il denaro altrui.
· Possiamo correttamente parlare di truffa ai danni dell'utente e di implicazioni
di natura penale?
Certamente! L'art. 640 c.p., al primo comma recita infatti «chiunque, con arti zi o raggiri, inducendo taluno in errore,
procura a sé o ad altri un ingiusto pro tto con altrui danno è punito con la reclusione da sei mesi a tre anni e con la multa
da cinquantuno euro a milletrentadue euro». Gli elementi descritti dalla norma incriminatrice sono tutti ampiamente
ravvisabili nella condotta del phisher. Partendo dalle e-mail maliziose contenenti un collegamento ipertestuale
ingannatorio (gli arti zi ed i raggiri) che conduce verso un sito in tutto e per tutto identico a quello del proprio istituto di
credito (l'induzione in errore), no ad arrivare alla sottrazione dei codici d'accesso ai propri conti on-line e quindi la
materiale sottrazione del denaro ivi custodito (ingiusto pro tto ed altrui danno). Spesso gli attacchi di phishing
integrano anche l'ipotesi di truffa aggravata prevista al n. 2) del comma 2 dell'art. 640 c.p., ipotesi che si veri ca
allorquando il fatto sia stato commesso «ingenerando nella persona offesa il timore di un pericolo immaginario». Il più
delle volte capita, infatti, che il phisher nel proprio messaggio inviato al suo destinatario, lo inviti a recarsi
repentinamente presso il sito della propria banca, paventando proprio rischi di truffe o altri accessi non consentiti ai
propri dati.
Tuttavia, oltre alla truffa, possono essere ravvisabili anche gli estremi di altri reati informatici e contro la privacy come la
frode informatica (art. 640 ter c.p.), l'accesso abusivo ad un sistema informatico (art. 615 ter c.p.) o l'illecito
trattamento di dati personali (art. 167 D.Lgs. n. 196/2003).