Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial
Aree
learn
About

Difendersi dalle truffe online

Quali sono i maggiori pericoli e le peggiori truffe che mettono a rischio la navigazione degli utenti e quali sono i software in grado di difenderli
Quali sono i maggiori pericoli e le peggiori truffe che mettono a rischio la navigazione degli utenti e quali sono i software in grado di difenderli
Alessandro Vinciarelli
Pubblicato il 17 gen 2007
Link copiato negli appunti

In questo articolo approfondiremo il problema delle truffe online. Nella prima parte cercheremo di fornire un'adeguata introduzione al fenomeno, mentre nella seconda descriveremo software e servizi in grado di proteggere il nostro Pc e i nostri dati da questi attacchi.

Le truffe online

Nell'ultimo periodo la comunità di internet ha osservato un incremento delle truffe telematiche. In particolare in Italia, nonostante le campagne di sensibilizzazione, la situazione appare tristemente drastica. Questo fenomeno diventa ancor più preoccupante se si pensa che nella maggior parte dei casi si tratta di frodi di tipo finanziario.

Tuttavia esistono delle accortezze che ci permettono di non rinunciare alle opportunità offerte dalla rete. Vedremo come sia possibile, con attenzione, usufruire ad esempio delle banche online, i cosiddetti servizi di home banking, senza cadere nei tranelli che portano milioni di euro nelle tasche di chi ne è l'artefice. In Italia ad esempio nei soli primi mesi del 2006 è stato calcolato un giro di affari per quattro milioni di euro.

I principali meccanismi di truffa sono due. In particolare possiamo parlare di "frode di acquisto" e "furto di identità". Entrambe le tecniche sono conosciute anche in altri campi, ma non per questo sufficientemente combattute.

Frode di acquisto

La frode di acquisto è quella truffa, molto comune, in cui ci si imbatte acquistando qualcosa da internet senza poi ricevere effettivamente il bene comprato. In un mondo, quello del web, nel quale si può comprare praticamente tutto, particolare attenzione deve essere osservata nei siti di aste online, agenzie di viaggi, servizi di consulenza, ecc.

Anche se la pratica comune è quella di non recapitare il bene acquistato, ci sono casi nei quali sono gli inserzionisti a subire la truffa. In pratica l'acquirente spedisce immediatamente un assegno di importo superiore a quello richiesto. A questo punto l'inserzionista viene spinto alla restituzione della somma eccedente tramite contatto diretto o mail. Ovviamente si tratta di un tentativo di imbroglio, nella maggioranza dei casi dopo diversi giorni l'assegno risulta scoperto, ma ormai la restituzione è avvenuta. Questo accade anche perchè se non richiesto alcune banche accettano l'assegno verificando in un secondo momento la sua validità.

Per questo primo tipo di truffa, purtroppo, non esistono particolari tool o software che vengono incontro all'inesperienza degli utenti. L'unica regola valida per non cadere nei tranelli della rete rimane il buon senso. Come in altri campi, la prima direttiva è quella di affidarsi unicamente a siti di comprovata validità, senza cedere alla tentazione di risparmi eccessivamente elevati o in generale guadagni facili. Nel caso di truffe verso l'inserzionista, particolare attenzione deve essere utilizzata se si nota che l'acquirente vuole sbrigare velocemente le trattative, se l'importo eccede quello pattuito, se la lingua utilizzata contiene delle frasi o parole straniere, dialettali o di dubbia correttezza grammaticale, ecc.

Altro consiglio comune è quello di non arrivare ai siti di interesse attraverso i link o banner, ma digitando manualmente l'URL nella barra del proprio browser. Attenzione però perchè già da tempo vengono registrati domini truffaldini che differiscono dagli originali solamente per una o poche lettere. Ad esempio anziché www.google.com potremmo digitare www.gooogle.com. In questi casi l'utente, dopo l'errore di battitura, viene ridirezionato verso siti cloni degli originali contenenti però false informazioni e molto probabilmente meccanismi di frode sia del primo tipo che del tipo seguente.

La seconda grande famiglia di truffe è quella che prende il nome di furto di identità.

Furto di identità

Il furto di identità è il furto di qualsiasi dato sensibile che individui l'utente sotto attacco. Questi dati possono essere user name, password, ma soprattutto numeri di carte di credito, informazioni personali su conti bancari, token per siti di e-commerce, ecc. Il meccanismo classico è quello del phishing. Il termine è una storpiatura dell'inglese fishing (pescare) e sta ad intendere un tentativo di ingannare gli utenti mediante apposite esche. La tecnica più comune risulta da sempre essere quella delle mail-esca.

Queste contengono richieste di dati personali da parte di pseudo-agenti finanziari alle quali spesso gli ignari utenti rispondono. Altre volte i truffatori creano dei veri e propri siti clone che anziché interagire onestamente con l'utente lo truffano trafugandogli dati personali. Questo tipo di siti sono solitamente istituti bancari o di credito (un caso recente è quello della banca mediolanum) o siti di servizio nazionali ( come l'ultimo clone delle poste italiane).

Purtroppo l'evoluzione delle tecniche di truffa è inarrestabile. Ad esempio sono stati segnalati casi in cui voci registrate simili ad un call center elettronico adescavano l'utente attraverso il VoIp o Skype convincendolo a fornire informazioni preziose. Altro successo dei phisher è una metodologia messa a punto per neutralizzare anche i nuovi prodotti di sicurezza utilizzati dalle banche: i password token (quelle schede contenenti un numero elevato di password da utilizzare una sola volta o le password a tempo). I phisher, infatti, sono in grado, una volta ottenuti i codici, di collegarsi in tempo reale con le banche e sfruttarli prima che diventino inutilizzabili.

Il pharming condivide lo scopo del phishing, ma cerca di raggiungerlo attraverso codici ingannevoli installati al momento dell'accesso ad un sito truffaldino. Quando poi si cerca di raggiungere un sito bancario, ad esempio, il codice intercetta la richiesta e la dirotta verso un sito fasullo che si occuperà della memorizzazione dei dati dell'utente. Un esempio abbastanza recente è quello del trojan-phisher-rebery diffuso attraverso un sito internet e scoperto lo scorso 25 aprile da webroot.

In ogni caso per la seconda famiglia di truffe, quelle phishing like, è necessaria una attenzione ancora maggiore delle truffe di tipo "frode d'acquisto".

I primi consigli

Molte autorità in materia di sicurezza stilano periodicamente report di consigli pratici per evitare di incappare in questi tranelli. Tra i principali consigli reperibili in rete ne ricordiamo i dieci migliori:

  • Assicurarsi della effettiva validità del sito e assicurarsi che la comunicazione sia quantomeno criptata attraverso l'utilizzo del protocollo secure HTTP (SHTTP).
  • Custodire con cura i dati personali, allo stesso modo nel quale si custodisce il pin della carta bancomat classico ad esempio.
  • Non rispondere alle mail che richiedono dati personali, soprattutto se di dubbia provenienza, con mittenti generici, che non contengono date di scadenza, scritte in un linguaggio scorretto.
  • Nel caso di dubbio di frode bancaria, prima di qualsiasi operazione contattare via call center o personalmente la banca.
  • Controllare periodicamente il proprio conto bancario, soprattutto in seguito a transazioni on-line.
  • Utilizzare password diverse per ogni sito ad alto rischio (vademecum sulla costituzione di password robuste, che non sono oggetto di questo articolo, sono disponibili in rete).
  • Non cliccare su link presenti nelle mail sospette, ne scaricare ed eseguire file allegati;
  • Aggiornare periodicamente le proprie applicazioni che accedono ad internet con particolare attenzione agli aggiornamenti sulla sicurezza e sulla risoluzione dei bug (bug fix).
  • Diffidare se il sito cambia la modalità di interazione con l'utente, ad esempio se si presentano improvvisamente finestre pop-up che richiedono in modo diverso dal solito dati personali.
  • Chiedere l'immediata eliminazione dei propri dati sensibili all'azienda con la quale abbiamo terminato una transazione.

Purtroppo, nonostante l'aiuto di regole ben precise e di programmi implementati ad hoc per queste circostanze, molti utenti ancora si lasciano ingannare da siti truffaldini. Per quanto riguarda le frodi riguardanti le carte di credito attualmente diverse banche stanno intraprendendo campagne assicurative atte a risarcire, anche parzialmente, il malcapitato caduto nelle trappole sopra descritte. In ogni caso, la polizia postale sul proprio sito raccoglie le denunce degli utenti ingannati.

Nella parte successiva di questo articolo vedremo quali software utilizzare per rendere più sicura e al riparo da truffe la nostra navigazione in rete.

Nella prima parte di questo articolo abbiamo introdotto, dal punto di vista teorico, il fenomeno delle truffe online. In questa seconda parte esamineremo gli strumenti pratici di difesa.

La tecnica più largamente utilizzata per le truffe è il phishing. Come molti sanno il phishing è una tecnica per ottenere l'accesso ad informazioni e dati personali, soprattutto riguardanti conti bancari, numeri di carte di credito, tokens elettronici, ecc. Generalmente "l'amo" lanciato è quello di una comune mail, inviata da uno pseudo-agente finanziario, o un sito web truffaldino acceduto tramite un link o tramite la digitazione sbagliata di un indirizzo. L'ignaro utente sentendosi in difetto, per qualche ragione risponde a queste intrusioni fornendo dati fondamentali per l'accesso alle proprie risorse economiche.

Come per tutti i tentativi di truffa, la prima protezione sicura è il buon senso. A volte però non basta, e per questa ragione gli sviluppatori di software hanno implementato diverse soluzioni per venire incontro alle sempre più crescenti esigenze di protezione nei confronti di questo tipo di frodi.

Gli sviluppatori sono intervenuti anche perché nella rete si è ormai diffusa un'evoluzione del phishing: il pharming. Questa estensione del phishing cerca di ottenere gli stessi risultati installando sulla macchina target del codice maligno utile ai phisher per arrivare alle informazioni personali.

Esistono differenti categorie di software di protezione. Le barre anti-phishing, le suite di protezione e i software anti-trojan.

Barre anti-phishing

Di fatto, tutte le attuali case produttrici di browser stanno inserendo nelle loro applicazioni dei particolari filtri anti-phishing. Internet Explorer 7 e Mozilla Firefox 2.0 integrano un sistema avanzato di protezione.

Tuttavia anche browser non aggiornati, pur non avendo integrati scudi antiphishing, offrono la possibilità di integrazione con altri software scaricabili gratuitamente da internet. Possiamo ricordare ad esempio Google Safe Browsing per Firefox e Microsoft MSN Toolbar (Windows Live Toolbar) per Internet Explorer. Tutti questi programmi, o plug-in, utilizzano principalmente un database pubblico nel quale sono memorizzate due principali liste: una blacklist che contiene l'elenco dei siti non affidabili e una whitelist che contiene l'elenco dei siti più famosi e considerati sicuri. Per i siti non contenuti in alcuna lista vengono seguiti particolari algoritmi di analisi degli indirizzi delle pagine per comprendere se il nome del sito o della pagina fornisce qualche indicazione sulla possibile serietà dello stesso.

Figura 1: Google Safe Browsing
La Google Toolbar per Firefox

La Google Safe Browsing è una estensione di Firefox che controlla se la pagina internet che vogliamo visitare sembra richiedere informazioni personali o finanziarie sotto falso nome. Questo meccanismo di protezione utilizza un algoritmo che reperisce da varie fonti informazioni sulla validità dei siti e suggerisce automaticamente all'utente l'operazione da eseguire.

Altre applicazioni dello stesso tipo sono offerti da Netcraft e da McAfee.

Suite di protezione

Al raffinamento delle tecniche di truffa segue fortunatamente lo sviluppo di applicazioni sempre più specializzate. Le ultime prevedono una fusione delle caratteristiche di un firewall con quelle di uno spyware e di un software antiphishing.

Tra i software non gratuiti possiamo citarne due: Panda Platinum Internet Security 2006 e

[!] Ci sono problemi con l'autore. Controllare il mapping sull'Author Manager

Internet Security di Trend Micro.

La suite prodotta da Panda software è una suite complessa, formata da differenti tool che una volta integrati nel sistema operativo garantiscono un alto livello di protezione. Dalla pagina principale dell'applicazione possiamo configurare tutte le regole di protezione della nostra macchina.

È possibile configurare:

  • La protezione da virus contenuti nelle outgoing e ingoing mail, nella navigazione internet e nei file scaricati.
  • Un firewall per la protezione dagli attacchi esterni.
  • Una protezione per attacchi attraverso il wireless.
  • Sistema di filtri antispamming contro i pericolosi messaggi di posta indesiderati.
  • Programma antispyware per la protezione da codice maligno.
  • Programma anti-dialer per la prevenzione da connessioni verso numeri a pagamento; sistema di antiphishing e antipharming con particolare attenzione ai tentativi di scambio di identità.
  • Sistemi di tutela della Privacy.
  • Sistema di controllo per gli accessi al web.
  • Sistema di protezione contro gli attacchi alle principali vulnerabilità del sistema operativo (es. buffer overflow).

Tra tutte queste protezioni al nostro computer la nostra attenzione si focalizza, come mostra la figura, sul meccanismo antifrode.

Figura 2: Panda Internet Security 2007
Panda Internet Security 2007

Da questo pannello è possibile attivare protezioni anti dialer e anti-phishing sia via mail che via web. Per questo secondo caso possiamo ulteriormente raffinare le nostre opzioni di protezione attraverso il pannello pannello mostrato nella figura che segue e accessibile mediante il pulsante Settings presente in basso nella finestra.

Figura 3: Panda Internet Security 2007
Panda Internet Security 2007

La nuova suite presentata da Trend Micro è invece stata studiata per individuare, intercettare e rimuovere automaticamente virus, trojan horse e spyware; filtrare messaggi di spam; proteggere il sistema da eventuali accessi wireless non autorizzati; bloccare contenuti dal dubbio contenuto; identificare truffe fraudolente tramite phishing; mettere a disposizione degli utenti una difesa real time contro i furti on-line di file e dati contenenti informazioni personali.

Software anti-trojan

Per quanto riguarda i software anti-trojan, utili per la prevenzione e la cura contro i codici maligni installati sul nostro pc, esistono degli strumenti gratuiti disponibili in rete. In particolare citiamo Spybot Search and Destroy ed Ad-Aware della Lavasoft.

In particolare il primo è adatto agli utenti meno esperti che vogliono comunque proteggersi con uno strumento affidabile.

Figura 4: Spybot Search and Destroy
Spybot Search and Destroy

Il primo pulsante in alto è quello che avvia la scansione del nostro hard disk da parte del programma. Tuttavia prima di iniziare la ricerca dello spyware è bene aggiornare il programma con la definizione degli ultimi spyware per rendere la protezione più efficace possibile.

Figura 5: Spybot Search and Destroy
Spybot Search and Destroy

Una volta eseguita la scansione l'utente può correggere i problemi e le minacce al proprio sistema semplicemente selezionando il pulsante Correggi problemi selezionati.

Anche il mondo del Web incomincia a muoversi per la protezione degli utenti. Ad esempio Google che aderisce al gruppo no-profit Stop Badware Coalition si propone di proteggere gli utenti in rete inserendo degli avvisi nel caso in cui si tenti di visitare un sito dal contenuto non sicuro.

Ovviamente insieme a questi strumenti è opportuno utilizzare firewall per aumentare il grado di sicurezza della propria macchina rispetto ad attacchi che potrebbero rivelare informazioni personali. Di open source ne esistono differenti. Tra i più famosi possiamo citare Zone Alarm, Kerio, BlackIce Defender, Outpost e Jetico.

Indice lezioni

Ti consigliamo anche

Linux

Come generare e gestire chiavi GPG su Linux
Sicurezza

Guida ad SSH, il protocollo di rete
Sicurezza

Creare una finta identità virtuale
Sicurezza

Guida a HTTPS e SSL