Indice generale 1 La Posta Elettronica: concetti

Commenti

Transcript

Indice generale 1 La Posta Elettronica: concetti
Indice generale
La Posta Elettronica: concetti fondamentali.........................................................................................1
Riservatezza ed identificazione del mittente...................................................................................4
SPAM...............................................................................................................................................5
PHISHING.......................................................................................................................................7
1
La Posta Elettronica: concetti fondamentali
Il servizio di Posta Elettronica rappresenta probabilmente il fattore che ha maggiormente contribuito
alla diffusione dell'utilizzo di Internet, soprattutto da parte dell'utenza non particolarmente tecnica.
Alcune caratteristiche fondamentali di tale servizio sono le seguenti:
– La “casella” di posta elettronica, ossia lo spazio disco nel quale, fisicamente, vengono
memorizzati i messaggi che si ricevono, viene generalmente assegnata da un “provider”,
un'azienda che vende servizi Internet. Tale casella viene generalmente identificata mediante un
indirizzo espresso nella forma <utente>@<dominio>. L'email dell'autore di questo capitolo è,
ad esempio, [email protected], dove “nome” identifica la casella di posta e “dominio.it” il
dominio Internet dal quale è possibile risalire al server che gestisce fisicamente quella casella;
– Nei messaggi di posta elettronica è oggi possibile includere uno o più “allegati”, ossia
qualunque file disponibile in formato digitale, tipicamente memorizzato sul proprio PC
(immagini, PDF, file ZIP, etc.);
– Il servizio di posta elettronica non richiede la disponibilità immediata del destinatario: è
possibile spedire messaggi ad un utente che non è fisicamente davanti al PC nel momento in cui
il messaggio viene spedito. Il servizio, tecnicamente, si definisce “asincrono”;
– Esistono diverse modalità attraverso le quali è possibile inviare e ricevere messaggi di posta
elettronica. Nel corso degli ultimi anni si sono diffusi i cosiddetti servizi di WebMail, ossia siti
web appositamente progettati per offrire all'utente di interfacciarsi con i servizi di posta
elettronica. Oltre ai servizi di WebMail, la gestione della posta elettronica può essere effettuata
attraverso opportuni programmi da installare sul proprio PC: Outlook Express, Thunderbird,
Eudora, Mozilla Messenger, sono solo alcuni di essi
L'infrastruttura che consente il funzionamento del servizio di Posta Eletronica affonda le sue radici
su tecnologie progettate e sviluppate al termine degli anni '60.
In origine il servizio era molto diverso da quello che conosciamo oggi: l'invio e la lettura dei
messaggi necessitavano di complesse operazioni tecniche, appannaggio esclusivo della ristretta
cerchia di tecnici del tempo.
Nel corso degli anni il servizio è stato profondamente cambiato ma, anziché riprogettarlo dalle
radici, si è via via scelto di “adeguarlo” alle esigenze che man mano si presentavano. Ad oggi tale
servizio potrebbe essere visto come una sorta di “vestito di Arlecchino”, dove per ogni nuova
necessità si è scelto di “aggiungere una pezza” piuttosto che pensare ad un vestito nuovo ed il
numero di pezze presenti è tale da rendere quasi invisibile il vestito originale. È proprio questo
approccio che, se da un lato consente una interoperabilità totale fra tutti gli utenti di posta
elettronico (è oggi possibile inviare e ricevere e-mail da chi ha una casella creata trenta anni fa...),
dall'altro comporta una serie di problematiche, fra le quali spiccano recentemente lo “spam”, il
“phishing” e la diffusione di virus via e-mail, con le quali tutti gli utilizzatori di posta elettronica
sono costretti a convivere.
Il funzionamento del servizio di Posta Elettronica è incentrato su tre fasi fondamentali:
– Preparazione e Spedizione: è la fase nella quale il mittente scrive il messaggio sul proprio PC
e lo “affida” al sistema, all'infrastruttura di posta elettronica presente su Internet, affinché tale
messaggio venga gestito opportunamente;
2
Trasporto: è la fase in cui l'infrastruttura di posta elettronica riceve dal mittente il messaggio ed
attiva tutte le procedure necessarie per recapitarlo al server che gestisce la casella di posta del
destinatario e, quindi, è l'unico che può materialmente depositare il messaggio nella casella di
destinazione;
– Recupero e Gestione: è la fase in cui il destinatario preleva, fisicamente, il messaggio dalla
propria casella e si organizza per gestirlo opportunamente. Abbiamo detto “gestirlo” anziché
“leggerlo” perché in realtà il destinatario può tranquillamente cancellare in messaggio senza
leggerlo.
Si può osservare come queste tre fasi siano perfettamente analoghe alle procedure seguite
quotidianamente per l'utilizzo dei servizi di Poste Italiane. A pensarci bene, infatti, ogni volta che ci
poniamo l'obiettivo di spedire una cartolina, ci preoccupiamo di redigerla ed imbucarla in una
qualche cassetta postale (Preparazione e Spedizione). Entro qualche ora un postino provvederà a
recuperarla, portarla all'ufficio postale per l'avvio delle procedure di instradamento verso l'ufficio
postale di destinazione, il quale a sua volta procederà attraverso un altro postino a recapitarla nella
cassetta postale del nostro destinatario (Trasporto). Quest'ultimo, infine, quando lo riterrà
opportuno, provvederà ad aprire la cassetta e prelevarne il contenuto (Recupero e Gestione). Anche
in questo caso, non è detto che la cartolina venga letta in quanto potrebbe finire direttamente nel
cestino della spazzatura, magari appositamente predisposto proprio vicino alla cassetta postale per
consentire di liberarsi più facilmente della posta indesiderata (volantini pubblicitari, depliant di
supermercati o di negozi, etc.).
Le similitudini fra il servizio di Posta Elettronica ed il servizio di posta tradizionale ci offrono lo
spunto per alcune altre considerazioni particolarmente interessanti. Prima di discuterne, però, è
necessario descrivere le modalità di funzionamento della Posta Elettronica.
In figura fig.1 è visualizzata, a grandi linee, l'architettura che è alla base del servizio di Posta
Elettronica. Si distinguono:
– il mittente, rappresentato dal personaggio di sinistra, che attraverso il suo PC ed un apposito
programma di Posta Elettronica (nell'esempio, Thunderbird) redige il messaggio che intende
inviare al destinatario;
– il destinatario, rappresentato dal personaggio di destra, che sempre attraverso il proprio PC
leggerà il messaggio che avrà ricevuto;
– un “server di invio” (il primo, da sinistra), ossia il server che riceverà fisicamente il messaggio
dal PC del mittente ed avvierà la fase di trasporto affinchè il messaggio possa essere
correttamente recapitato a destinazione;
– un certo numero di server intermedi, ossia server che non interagiscono ne con il mittente, ne
con il destinatario, ma che prendono parte alla fase di trasporto consentendo al messaggio di
giungere al server di destinazione.
– un “server di ricezione” (l'ultimo a destra), ossia il server che gestisce un certo numero di
caselle di posta (rappresentate dai quadratini in figura), una delle quali è associata proprio al
destinatario del messaggio. I server intermedi provvederanno a consegnare il messaggio a tale
server che lo depositerà nella casella dell'utente. L'utente, successivamente, provvederà a
“scaricare” tali messaggi sul proprio PC.
–
3
Fig. 1
Tutti gli elementi qui presentati si riferiscono allo scenario nel quale mittente e destinatario
utilizzano, per la preparazione e per la lettura del messaggio, un programma ad-hoc.
Abbiamo già accennato al fatto che recentemente si registra una tendenza crescente ad utilizzare i
servizi di WebMail. Si tratta di applicazioni web che, anziché essere installate sul PC dell'utente,
risiedono sui server del provider e vengono utilizzate dall'utente attraverso un comune browser
internet, ossia un programma comunemente utilizzato per la navigazione sui siti internet. Di servizi
di WebMail ne esistono migliaia; il primo a raggiungere una diffusione di massa è stato HotMail
alla fine degli anni '90. Recentemente, per quanto riguarda i servizi rivolti alla comunità italiana,
tutti i principali provider (es.: Tiscali, Libero, Virgilio, Alice,Tin) forniscono alla propria utenza un
servizio di WebMail.
Rispetto agli elementi di cui al precedente elenco, i servizi di WebMail non alterano l'architettura di
posta elettronica. Tali servizi, come già segnalato, vengono utilizzati dagli utenti attraverso il
comune browser (ad es. Internet Explorer) di navigazione internet (cfr. figura al centro, in basso, in
figura 1 con il quale si accede al “Server di WebMail”. Sarà tale server ad interfacciarsi ad
opportuni server di invio e di ricezione per eseguire quelle operazioni che l'utente avrà richiesto
attraverso il proprio browser.
Di tutta l'architettura presentata, due aspetti richiedono una trattazione più approfondita:
1. la fase di consegna al “server di invio”: si tratta di una operazione piuttosto elementare,
anche dal punto di vista tecnico. Dal punto di vista del programma di posta elettronica in
esecuzione sul PC del mittente, per consegnare il messaggio al server di invio è necessaria
una unica informazione: il nome del server di invio. Si tratta di un nome “Internet”, ossia un
nome che identifica univocamente tutti i vari server collegati ad internet e che, pertanto, sarà
certamente associato anche al server di invio. “box.clubnet.tin.it”, “smtp.tiscali.it”,
“smtp.cineca.com” sono alcuni esempi di nomi di server di invio, così come
“www.google.com”, “www.unich.it”, “www.italia.gov.it” sono esempi di nomi di server
web, ossia di server i cui contenuti sono consultabili con un browser.
Il nome del server di invio, detto anche “Server SMTP”, viene comunicato all'utente dal
proprio provider e, se non lo si conosce, va richiesto a quest'ultimo.
Per quanto riguarda il nome e l'indirizzo e-mail del mittente, queste due informazioni
vengono generalmente richieste dal programma di posta elettronica ma unicamente per
agevolare la scrittura dei messaggi. Serviranno, in particolare, per indicare automaticamente
il nome e l'indirizzo e-mail del mittente in tutti i messaggi di posta spediti;
4
2. la fase di prelievo dal “server di ricezione”: analogamente alla consegna, un'informazione
fondamentale per il prelievo dal server di ricezione è il nome del server di ricezione (detto
anche “Server POP3”). Tuttavia, a differenza del caso precedenze, questa informazione non
è sufficiente. Il server di ricezione, infatti, riceve la posta indirizzata a più utenti e sui suoi
dischi saranno presenti più caselle di posta. Per il prelievo della propria posta, pertanto, è
necessario fornire indicazioni circa la casella dalla quale si vuole prelevare i messaggi.
Analogamente alla chiave di una comune cassetta postale, al server di ricezione andranno
fornite una “username” (per identificare univocamente la casella) ed una “password” (per
impedire l'accesso alla casella da parte dell'utenza non autorizzata)
Tornando alle analogie fra Posta Elettronica e Posta Ordinaria, alla luce dei concetti appena
introdotti, in tabella Tab.1 è possibile osservare come entrambi i servizi basino il proprio
funzionamento sugli stessi principi.
Posta Elettronica
Posta Ordinaria
–
–
–
Preparazione e spedizione: il mittente prepara, con il suo PC, il –
messaggio da spedire e o si consegna al server SMTP del proprio
provider;
Trasporto: il server SMTP si organizza per consegnare il
–
messaggio a destinazione, eventualmente tramite server (SMTP)
intermedi;
Recupero e gestione: il destinatario, con il suo client, scarica dal
server POP3, previa indicazione del proprio “username” e della
–
propria password, la posta presente nella sua casella (mailbox)
Preparazione e spedizione: il mittente scrive la lettera e la
imbuca in una cassetta postale (tipicamente, quella sotto casa o
presso il locale ufficio postale);
Trasporto: il postino “svuota” la cassetta ed avvia le procedure di
smistamento (che possono coinvolgere anche uffici postali
intermedi). Alla fine la lettera arriva nella buca delle lettere del
destinatario;
Recupero e gestione: l'utente apre la buca (con la chiave) e
preleva il contenuto.
Tab 1
È interessante osservare come
nessuno dei due sistemi garantisce che i messaggi vengano
effettivamente letti!
Così come è perfettamente possibile aprire la propria buca delle lettere, prelevarne il contenuto e
buttarlo nella spazzatura senza leggerlo oppure dimenticarselo in mezzo alle altre lettere, allo stesso
modo è perfettamente possibile prelevare un messaggio di posta elettronica dal proprio server POP3
e cestinarlo oppure scordarselo in mezzo agli altri messaggi ricevuti.
Invero molti web mail offrono altri servizi per sapere se ad esempio l'email è stata ricevuta e se è
stata aperta.
Riservatezza ed identificazione del mittente
Il servizio di Posta Elettronica è caratterizzato da due aspetti fondamentali, tra l'altro perfettamente
condivisi con il servizio di Posta Ordinaria:
– Riservatezza della comunicazione: nel tragitto fra mittente e destinatario, il messaggio può
essere “intercettato” e letto da occhi indiscreti; così come il postino può leggere il testo di
qualunque cartolina (e non solo), allo stesso modo il gestore di uno qualunque dei server
coinvolti (SMTP o POP3) può leggere tutta la corrispondenza in transito da quel server.
Se da un lato questo aspetto deve portare l'utente a prestare la dovuta attenzione quando scambia
messaggi email con i propri interlocutori, dall'altro il problema non va estremizzato e confinato
esclusivamente al mondo “elettronico”: se in tutte le buste e in tutti i pacchi che
quotidianamente si ricevono o si spediscono c'è ben evidenziata la dicitura: “lato apribile per
ispezione postale” vorrà pur dire qualcosa;
– Identificazione del mittente: è evidente che il servizio di Posta Ordinaria non offra alcuna
garanzia rispetto al mittente riportato sulla busta delle lettera o sulle cartoline che si ricevono.
L'identificazione del mittente, nel mondo della corrispondenza fisica, viene spesso basata sullo
stile della scrittura o sulla firma riportata in calce ai documenti. Tuttavia entrambi questi aspetti
sono facilmente “aggirabili”, da parte di un malintenzionato, a fronte di investimenti in
5
tecnologia di qualche decina di euro. Allo stesso modo è perfettamente possibile “alterare”
l'identità del mittente dei comuni messaggi e-mail. Abbiamo già accennato al fatto che, per
l'invio al server di invio, il nome e l'indirizzo e-mail del mittente non siano necessari. È
evidente, quindi, che tali informazioni possono essere alterate senza alcun tipo di difficoltà
tecnica.
Rispetto ai problemi citati, va segnalato che le azioni di intercettazione e quelle di falsificazione
(siano esse applicate al mondo della Posta Ordinaria, sia a quello della Posta Elettronica) producono
delle implicazioni giuridiche che possono facilmente sconfinare in ambito penale. Non è certo
questa la sede più appropriata per analizzare in dettaglio la relazione fra la semplicità tecnica di tali
azioni e le loro conseguenze sul piano del diritto civile e penale. L'unica cosa che si vuole rimarcare
è l'invito a prestare anche per la Posta Elettronica tutte quelle cautele che normalmente si applicano
nella gestione della Porta Ordinaria: la Posta Elettronica non aumenta né diminuisce i vari rischi, se
non per un fattore di “moltiplicazione” dovuto al numero di messaggi e-mail inviati/ricevuti che,
con il passare degli anni, sarà destinato a surclassare il numero dei messaggi ordinari
Tornando all'analisi tecnica dei due problemi citati (riservatezza della comunicazione ed
identificazione del mittente), le tecnologie applicative oggi disponibili consentono agevolmente di
risolverle. In particolare, relativamente al solo servizio di Posta Elettronica:
– Garanzia di riservatezza: attraverso un opportuno utilizzo di crittografia è possibile far si che
il messaggio risulti illeggibile a tutti, tranne che al legittimo destinatario. Va osservato come la
crittografia impedisca l'intercettazione del messaggio durante il suo trasporto, dal PC del
mittente al PC del destinatario. Ciononostante il messaggio resta intercettabile direttamente sui
PC di entrambi: un virus o un qualunque software costruito ad-hoc ed installato sul PC del
mittente o del destinatario può sicuramente intercettare il messaggio prima che questo venga
criptato (sul PC del mittente) o subito dopo che è stato decriptato (dal PC del destinatario);
– Garanzia dell'identità del mittente: nel corso degli ultimi anni, specialmente nell'ambito della
diffusione dei cosiddetti servizi di eGovernment, si è sempre più parlato della cosiddetta “Firma
Digitale”. Tutte le Pubbliche Amministrazioni, tutti i Dottori Commercialisti, tutti i Notai, oggi,
inviano e ricevono quotidianamente un numero consistente di messaggi “elettronici” e, per
questi, si è certi, assolutamente certi, dell'identità del mittente. Tale certezza viene ottenuta
proprio dalle tecnologia di “Firma Digitale” che, tra l'altro, dal punto di vista tecnico, poggiano
le basi proprio su quelle tecniche di crittografia utilizzate per garantire la riservatezza nella fase
di trasporto.
È interessante osservare come questi due ultimi aspetti creino la prima, vera, distinzione fra i servizi
di Posta Elettronica e quelli di Posta Ordinaria. Per quest'ultima, infatti, la “garanzia di
riservatezza” può essere ottenuta racchiudendo il proprio messaggio (cartolina, lettera, pacco)
all'interno di una cassaforte e spedendo la cassaforte stessa. Per quanto riguarda l'identità del
mittente, invece, perfino una raccomandata con ricevuta di ritorno non può garantire che il mittente
sia esattamente chi dice di essere.
SPAM
Con il termine “SPAM” ci si riferisce alla attività di diffusione di messaggi di posta elettronica il cui
contenuto è esclusivamente di tipo pubblicitario e che non siano stati in alcun modo sollecitati,
richiesti, dal destinatario.
A grandi linee, il fenomeno dello SPAM riprende quello del “volantinaggio” applicato alla
corrispondenza ordinaria: così come ci vengono recapitati i volantini cartacei che pubblicizzano
supermercati, palestre o negozi di vario genere (voltantini che noi non abbiamo mai richiesto), allo
stesso modo qualcuno spedisce messaggi pubblicitari analoghi ma, anziché fisicamente, attraverso
la posta elettronica. Tuttavia, fra queste due situazioni, esistono differenze profonde che
analizzeremo nei prossimi paragrafi.
Tecnicamente, i messaggi di SPAM sono conosciuti con il nome “UCE - Unsolicited Commercial
6
Email” (Email commerciali non-sollecitate) oppure “Junk Mail” (Posta spazzatura). A tali nomi è
stato successivamente associato il termine SPAM che, storicamente, rappresentava la marca di una
famosa carne in scatola (SPAM – Spiced Ham) che negli Stati Uniti veniva fornita ai soldati
dell'esercito americano impegnati nelle missioni estere e che, per questo motivo, si guadagnò una
fama piuttosto negativa.
Le attività di promozione di prodotti e servizi che oggi vedono nello SPAM il principale
protagonista, affondano le proprie radici in settori diversi dall'Information-Technology. La prima
forma di questo genere di promozione trova origine negli Stati Uniti, dove sfruttando il fatto che le
telefonate urbane erano completamente gratuite, si diede origine a delle vastissime campagne di
invio di FAX e di telefonate fatte con messaggi preregistrati il cui obiettivo era quello di
promuovere un certo prodotto o un certo servizio.
Tuttavia, essendo tali azioni circoscritte ad una determinata zona geografica o, comunque, ad una
certa nazione, fu piuttosto semplice bloccarle: attraverso l'emanazione di una apposita legge, il
problema fu risolto non dal punto di vista tecnico, ma da quello giuridico.
Nel caso dello SPAM questo approccio non è attuabile: la natura dello SPAM è assolutamente
transnazionale ed oggi è perfettamente normale che un utente europeo o statunitense invii qualche
milione di messaggi e-mail utilizzando computer e server dislocati in paesi asiatici con i quali non
esistono relazioni diplomatiche.
Uno degli elementi caratterizzanti dello SPAM è che il costo delle relative campagne è
particolarmente basso per chi le promuove, e, viceversa, particolarmente alto per la comunità di
utenti e provider che le subisce. In altri termini, la gran parte dei costi di una campagna di SPAM
grava sulle spalle di chi riceve, e non di chi trasmette. Chi riceve, infatti, paga per la gestione di
quei messaggi che, nonostante non siano stati richiesti da nessuno, vanno “gestiti” dalle proprie
apparecchiature che a tutti gli effetti vengono abusate e vanno messi a disposizione degli utenti
finali i quali li scaricheranno sui propri PC e li leggeranno spendendo minuti preziosi della propria
attività lavorativa.
Se si considera che in Europa, attualmente, oltre il 50% dei messaggi e-mail in circolazione è
relativo a messaggi di SPAM, si capisce facilmente come la quantità di tempo che la comunità perde
per leggere/cancellare tali messaggi è veramente significativa.
Non solo ma il surplus di dati circolanti, fra l'altro a bassissimo costo, occupa spazio nei canali e
crea problemi di espansione e di velocità di trasmissione
La battaglia contro lo SPAM è una battaglia difficile. Alcuni utenti provano ad inviare al mittente
delle false risposte di casella inesistente; altri provano a bloccare i messaggi in funzione del server
di provenienza oppure del mittente stesso o del dominio Internet di partenza. Tali approcci, però,
sono pressoché inutili in quanto gli SPAMmer più evoluti utilizzano tecniche tali da rendere casuale
l'indicazione del mittente e da distribuire l'invio dei messaggi non su un singolo server (che
potrebbe essere agevolmente filtrato) ma attraverso una pluralità di server.
È chiaro, comunque, che la lotta allo SPAM consiste in una attività di filtraggio dei messaggi in
ingresso; attività che per essere “comoda” deve necessariamente essere effettuata da programmi
automatici che sollevino l'utente dalle attività di consultazione e cancellazione manuale dei
messaggi indesiderati. Queste attività, però, espongono l'utente al rischio di perdere dei messaggi
buoni che, per qualche motivo, vengono erroneamente riconosciuti come SPAM.
Di fatto, la battaglia contro lo SPAM può essere ricondotta alla definizione di una sorta di “soglia di
sopportazione”: più si è disposti a sopportare lo SPAM e meno si sentirà l'esigenza di “filtrare” i
messaggi in ingresso e, in ultima analisi, più basso sarà il rischio di perdere messaggi corretti.
Viceversa, meno si è disposti a sopportare lo SPAM, più sarà necessario filtrare i messaggi in
ingresso e, quindi, maggiore sarà la possibilità di vedersi filtrati i messaggi corretti.
Una tecnica piuttosto diffusa per limitare il numero di messaggi di SPAM è quella di evitare di
riportare il proprio indirizzo e-mail su pagine web e/o in messaggi di posta elettronica che in un
qualche modo hanno una visibilità “pubblica”. Gli spammer, infatti, generano il database di
indirizzi e-mail a cui inviare i messaggi di SPAM andando a cercare su internet tutti gli indirizzi che
7
compaiono nelle pagine web o nei documenti che sono liberamente disponibili su internet.
Va segnalato, comunque, che tutti gli sforzi tesi a prevenire la diffusione impropria del proprio
indirizzo e-mail diventano vani a causa dell'azione, sempre più frequente, di veri e propri virus
informatici scritti appositamente per recuperare indirizzi e-mail a cui inviare SPAM. È sempre più
frequente, infatti, la diffusione di virus che nel momento in cui infettano un computer provvedono
ad analizzare il contenuto della rubrica degli indirizzi del programma di posta elettronica
prelevando l'elenco di tutti gli indirizzi presenti per poi comunicarli ad un server centrale che
provvederà ad inserire tali indirizzi nella lista dai destinatari cui inviare futuri messaggi di SPAM.
Aldilà di questi aspetti, è comunque consigliabile utilizzare servizi di posta elettronica che
forniscono un servizio “antiSPAM” direttamente sul server del provider oppure, in alternativa o
anche in concomitanza, utilizzare un programma di posta elettronica che offre un qualche strumento
di “gestione” dello SPAM. A tal riguardo si invita il lettore a considerare l'ottimo Thunderbird, un
programma di posta elettronica Open Source, liberamente scaricabile da Internet, disponibile anche
per sistemi Windows ed in lingua Italiana nonché dotato di un comodo ed efficace filtro antiSpam.
In figura Fig.2 è riportato un messaggio di SPAM che ci invita a cliccare sul link presente nel
messaggio per accedere ad un catalogo di software. Nella parte alta, subito sotto la barra dei bottoni,
è possibile osservare la segnalazione di Thunderbird che ci segnala come questo messaggio sembri
essere SPAM. Oltre a tale segnalazione Thunderbird può anche procedere alla cancellazione
automatica di tali messaggi oppure al loro spostamento in qualche cartella ad-hoc.
Fig.2
PHISHING
Il Phishing rappresenta la forma più aggressiva di SPAM e, a tutti gli effetti, costituisce un vero e
proprio tentativo di frode informatica. Attraverso dei messaggi di Posta Elettronica costruiti ad arte,
il truffatore falsifica il mittente ed il contenuto dei messaggio per cercare di appropriarsi dei dati
personali dell'utente (chiavi di accesso al servizio di home banking, numero di carta di credito, etc.)
L'obiettivo del “Phisher”, ossia di colui che gestisce la campagna di Phishing, è quello di portare
l'utente a “cliccare” su un collegamento che è stato appositamente predisposto all'interno del
messaggio e che, una volta cliccato, mostra all'utente un sito Internet del tutto simile a quello della
società imitata ma che è sotto il controllo del Phisher. che potrà successivamente utilizzarle a
proprio piacimento. L'inserimento di username e password su tale pagina significa l'automatica
comunicazione delle stesse al Phisher.
Per evitare di incappare in queste situazioni, si consiglia di seguire sempre le “solite” precauzioni:
–
–
–
–
8
Diffidare sempre da chiunque richieda tramite e-mail di inviare dati personali/riservati quali
codice fiscale e numero di conto o codici di accesso come codice cliente, PIN e password.
In caso di dubbi, contattare il Servizio Clienti o un riferimento dell'azienda mittente.
Non accedere a siti internet, specie a quelli di home-banking o di e-Commerce, attraverso il
click fatto su collegamenti presenti all'interno di messaggi email, anche se apparentemente
inviate da una fonte affidabile. Piuttosto, aprire il browser e digitare direttamente l'indirizzo del
sito che desidera visitare.
Privilegiare, specialmente per i servizi di eCommerce e di Home-Banking, quei siti che
utilizzano la crittografia e che consentono una qualche forma di identificazione del sito di
destinazione. Tali siti sono riconoscibili dal prefisso “https://” dell'indirizzo e da un lucchetto
visualizzato nella parte bassa del browser.

Documenti analoghi