Phishing - Banca Popolare Vesuviana
Transcript
Phishing - Banca Popolare Vesuviana
Phishing Con questo termine viene identificata l'attività fraudolenta svolta da cracker per catturare codici di accesso ad utenti del web. Il termine deriva dalla contrazione del termine inglese fishing che sta per pescare: analogamente questi criminali tentano la pesca di UserId e Password a scapito di ignari utenti. Internet oramai è sempre più in simbiosi col mondo reale. Così come circolando in città è possibile incappare in malfattori pronti a sottrarci indebitamente il nostro portafogli o la nostra auto, allo stesso modo, sulla rete può capitare d'incappare in qualche brutta sorpresa. Un modo per difendersi c'è: un minimo di attenzione e qualche buon antifurto (nel nostro caso antivirus e simili, a patto che siano periodicamente aggiornati) possono metterci molto più al riparo di quanto non possa accadere circolando per le nostre strade. Le metodologie utilizzate dai cracker per arrivare al loro scopo sono diverse: quella più usuale é una mail apparentemente inviata dalla banca con la quale si chiede di comunicare, cliccando su un link presente all'interno della stessa, la User Id e la password di accesso all'internet banking o codici pin di carte di credito. Le motivazioni possono essere le più disparate, e vanno da una raccolta punti in corso, ad una verifica dei codici di accesso a seguito di un errore occorso sui sistemi informativi, ad una revoca di tutte le operazioni fin li fruibili a partire da una determinata data. Seguendo le indicazioni riportate in queste mail ci si ritroverà su un sito molto simile a quello reale, nel quale le informazioni inserite andranno nelle mani di malfattori che provvederanno quanto prima ad usufruire delle disponibilità economiche del malcapitato. Nulla di più falso: nessun Istituto Bancario chiederà o comunicherà dati così sensibili tramite mail che tra l'altro non sono noti neanche ai nostri operatori. A riprova di ciò i casi di nostri correntisti che hanno erroneamente digitato la loro password per più di 5 volte sul servizio di internet banking risultata poi bloccata; l'unica cosa che è possibile fare è chiedere lo sblocco della stessa tramite l'apposito modulo, a patto che l'utente ne sia veramente a conoscenza; qualora ciò non dovesse risultare sufficiente è possibile richiedere la rigenerazione di nuovi pin la cui password è contenuta all'interno di una busta che è possibile ricevere soltanto presentandosi presso le nostre filiali. Dicevamo della somiglianza dei siti fraudolenti con quelli reali. Il trucco spesso consiste nel dirottare un utente su un sito il cui indirizzo ricordi quello della Banca oggetto dell'attacco. Ad esempio nel nostro caso si potrebbe essere dirottati su di un sito del tipo www.bpopves.it in realtà inesistente ma che può facilmente trarre in inganno. Ultimamente poi alcune truffe sono state realizzate sfruttando il file host dei diversi sistemi operativi. In realtà delle differenze ci sono; analizziamo la seguente immagine che si riferisce all'indirizzo della pagina iniziale dell'internet banking del nostro Istituto Fig. A 1. Prima di tutto la tipologia del protocollo di trasferimento che è necessariamente https. Leggendo ad esempio l'indirizzo completo relativo alla nostra Home Page noterete invece che è un http. Fig. B Http è l'acronimo di HyperText Transfer Protocol ed è il trasferimento standard utilizzato in internet. Nel momento in cui andate ad inserire user id e password per l'internet banking vi troverete in una pagina il cui indirizzo è il seguente: https://www.csebanking.it/Main.jsp. Lo stesso dicasi ad esempio per il sito di Carta Si (https://servizibanche.cartasi.it/portal45/mypage/mypage.asp?UserID=2&). Si tratta di un Https, vale a dire un collegamento sicuro in quanto criptato (a chiave asimmetrica con tipologia SSL -Secure Sockets Layer). 2. Altra cosa fondamentale: il lucchetto che identifica l'esistenza di un certificato digitale. Noterete infatti che durante questo tipo di collegamento appare un lucchetto anche se con le dovute varianti tra browser. Chi naviga con Mozilla FireFox (Fig. A) lo vedrà apparire in fondo all'indirizzo web (tra l'altro lo sfondo dello stesso diventa di colore giallo); per chi utilizza Internet Explorer lo troverà sulla barra di stato, ossia la delimitazione inferiore della finestra così come nella figura seguente: Fig. C Opera ha un comportamento quasi uguale a FireFox con l'unica differenza che lo sfondo è giallo per il solo lucchetto anzichè l'intero indirizzo: Fig. D 3. L'ultimo controllo da effettuare è sul certificato associato alla comunicazione. Quello che permette la comunicazione con il nostro Internet Banking è rilasciato da VeriSign Trust Network a Cse Centro Servizi Elettronici scrl. I dati relativi sono consultabili eseguendo un Click (doppio per Internet Explorer) sul lucchetto («dettagli»). Un software, benché non sicuro al 100%, ma che consigliamo al fine di ottene una navigazione comunque più sicura è netcraft: possiede infatti un indicatore di rischio del sito che si sta visitando. Se la barra di Risk Rating è tutta rossa e lampeggiante vuol dire che il sito su cui stiamo navigando è sicuramente un sito trappola. Viceversa, la barra tutta verde, indica un sito che non dovrebbe essere pericoloso: il condizionale è d'obbligo. Trattandosi di un programma che funziona in base alle segnalazioni fornite dagli utenti della rete, potrebbe anche essere un sito non ancora segnalato. Disponibile per Internet Explorer, a patto di utilizzare Windows Xp o Me, e per tutte le altre piattaforme, quindi anche Windows '95, Windows '98, Linux e Mac OS X, utilizzando come browser Mozilla Firefox. Per quanto riguarda le carte di credito sul sito di CartaSi è possibile attivare il servizio di Sms gratuiti con i quali si è avvisati sul proprio telefonino di ogni transazione effettuata Questa miniguida è stata realizzata con lo scopo di prevenire eventuali azioni criminali nei confronti della nostra clientela benchè al momento non se ne segnalino affatto. Suggerimenti, delucidazioni o segnalazioni di mail sospette possono essere inviate all'indirizzo mail [email protected]. San Giuseppe Vesuviano, 18/04/2006 Ufficio Organizzazione Banca Popolare Vesuviana Soc. Coop.