Phishing - Banca Popolare Vesuviana

Phishing
Con questo termine viene identificata l'attività fraudolenta svolta da cracker per catturare codici di
accesso ad utenti del web. Il termine deriva dalla contrazione del termine inglese fishing che sta per
pescare: analogamente questi criminali tentano la pesca di UserId e Password a scapito di ignari
utenti. Internet oramai è sempre più in simbiosi col mondo reale. Così come circolando in città è
possibile incappare in malfattori pronti a sottrarci indebitamente il nostro portafogli o la nostra auto,
allo stesso modo, sulla rete può capitare d'incappare in qualche brutta sorpresa. Un modo per
difendersi c'è: un minimo di attenzione e qualche buon antifurto (nel nostro caso antivirus e simili, a
patto che siano periodicamente aggiornati) possono metterci molto più al riparo di quanto non possa
accadere circolando per le nostre strade.
Le metodologie utilizzate dai cracker per arrivare al loro scopo sono diverse: quella più usuale é una
mail apparentemente inviata dalla banca con la quale si chiede di comunicare, cliccando su un link
presente all'interno della stessa, la User Id e la password di accesso all'internet banking o codici pin
di carte di credito. Le motivazioni possono essere le più disparate, e vanno da una raccolta punti in
corso, ad una verifica dei codici di accesso a seguito di un errore occorso sui sistemi informativi, ad
una revoca di tutte le operazioni fin li fruibili a partire da una determinata data. Seguendo le
indicazioni riportate in queste mail ci si ritroverà su un sito molto simile a quello reale, nel quale le
informazioni inserite andranno nelle mani di malfattori che provvederanno quanto prima ad usufruire
delle disponibilità economiche del malcapitato.
Nulla di più falso: nessun Istituto Bancario chiederà o comunicherà dati così sensibili tramite mail
che tra l'altro non sono noti neanche ai nostri operatori. A riprova di ciò i casi di nostri correntisti che
hanno erroneamente digitato la loro password per più di 5 volte sul servizio di internet banking
risultata poi bloccata; l'unica cosa che è possibile fare è chiedere lo sblocco della stessa tramite
l'apposito modulo, a patto che l'utente ne sia veramente a conoscenza; qualora ciò non dovesse
risultare sufficiente è possibile richiedere la rigenerazione di nuovi pin la cui password è contenuta
all'interno di una busta che è possibile ricevere soltanto presentandosi presso le nostre filiali.
Dicevamo della somiglianza dei siti fraudolenti con quelli reali. Il trucco spesso consiste nel dirottare
un utente su un sito il cui indirizzo ricordi quello della Banca oggetto dell'attacco. Ad esempio nel
nostro caso si potrebbe essere dirottati su di un sito del tipo www.bpopves.it in realtà inesistente ma
che può facilmente trarre in inganno.
Ultimamente poi alcune truffe sono state realizzate sfruttando il file host dei diversi sistemi
operativi.
In realtà delle differenze ci sono; analizziamo la seguente immagine che si riferisce all'indirizzo
della pagina iniziale dell'internet banking del nostro Istituto
Fig. A
1.
Prima di tutto la tipologia del protocollo di trasferimento che è necessariamente https.
Leggendo ad esempio l'indirizzo completo relativo alla nostra Home Page noterete invece che
è un http.
Fig.
B
Http è l'acronimo di HyperText Transfer Protocol ed è il trasferimento standard utilizzato in
internet. Nel momento in cui andate ad inserire user id e password per l'internet banking vi
troverete in una pagina il cui indirizzo è il seguente: https://www.csebanking.it/Main.jsp. Lo
stesso
dicasi ad
esempio
per
il
sito
di
Carta
Si
(https://servizibanche.cartasi.it/portal45/mypage/mypage.asp?UserID=2&). Si tratta di un
Https, vale a dire un collegamento sicuro in quanto criptato (a chiave asimmetrica
con tipologia SSL -Secure Sockets Layer).
2.
Altra cosa fondamentale: il lucchetto che identifica l'esistenza di un certificato digitale.
Noterete infatti che durante questo tipo di collegamento appare un lucchetto anche se con le
dovute varianti tra browser. Chi naviga con Mozilla FireFox (Fig. A) lo vedrà apparire in
fondo all'indirizzo web (tra l'altro lo sfondo dello stesso diventa di colore giallo); per chi
utilizza Internet Explorer lo troverà sulla barra di stato, ossia la delimitazione inferiore della
finestra
così
come
nella
figura
seguente:
Fig.
C
Opera ha un comportamento quasi uguale a FireFox con l'unica differenza che lo sfondo è
giallo
per
il
solo
lucchetto
anzichè
l'intero
indirizzo:
Fig. D
3.
L'ultimo controllo da effettuare è sul certificato associato alla comunicazione. Quello che
permette la comunicazione con il nostro Internet Banking è rilasciato da VeriSign Trust
Network a Cse Centro Servizi Elettronici scrl. I dati relativi sono consultabili eseguendo
un Click (doppio per Internet Explorer) sul lucchetto («dettagli»).
Un software, benché non sicuro al 100%, ma che consigliamo al fine di ottene una navigazione
comunque più sicura è netcraft: possiede infatti un indicatore di rischio del sito che si sta visitando.
Se la barra di Risk Rating è tutta rossa e lampeggiante vuol dire che il sito su cui stiamo navigando è
sicuramente un sito trappola. Viceversa, la barra tutta verde, indica un sito che non dovrebbe essere
pericoloso: il condizionale è d'obbligo. Trattandosi di un programma che funziona in base alle
segnalazioni fornite dagli utenti della rete, potrebbe anche essere un sito non ancora segnalato.
Disponibile per Internet Explorer, a patto di utilizzare Windows Xp o Me, e per tutte le altre
piattaforme, quindi anche Windows '95, Windows '98, Linux e Mac OS X, utilizzando come browser
Mozilla Firefox.
Per quanto riguarda le carte di credito sul sito di CartaSi è possibile attivare il servizio di Sms gratuiti
con i quali si è avvisati sul proprio telefonino di ogni transazione effettuata
Questa miniguida è stata realizzata con lo scopo di prevenire eventuali azioni criminali nei confronti
della nostra clientela benchè al momento non se ne segnalino affatto.
Suggerimenti, delucidazioni o segnalazioni di mail sospette possono essere inviate all'indirizzo
mail [email protected].
San Giuseppe Vesuviano, 18/04/2006
Ufficio Organizzazione
Banca Popolare Vesuviana Soc. Coop.