Phishing: la truffa arriva per posta
Regola 9. Non fidatevi dei link a banche o negozi forniti da sconosciuti. Possono essere falsi e portar via un sito-truffa. Usate invece i Preferiti o il copiae-incolla, oppure digitateli a mano, in un browser sicuro.
Regola 9. Non fidatevi dei link a banche o negozi forniti da sconosciuti. Possono essere falsi e portar via un sito-truffa. Usate invece i Preferiti o il copiae-incolla, oppure digitateli a mano, in un browser sicuro.
Come accennato nel Capitolo 11, è facilissimo creare un e-mail che contiene un link ingannevole, che sembra rimandare a un sito regolare ma invece vi porta da tutt'altra parte, ossia a un sito visivamente identico a quello autentico ma in realtà gestito da truffatori. Questo sistema, denominato phishing, viene usato per commettere frodi, per esempio rubando password o codici di carta di credito, o per infettarvi, inducendovi con l'inganno a visitare un sito ostile.
L'attacco più comune avviene in questo modo: ricevete un e-mail in formato HTML che sembra provenire dal servizio clienti di qualche banca, provider o società di commercio elettronico. Il messaggio vi avvisa di un "controllo a campione" o di un "problema di verifica dei dati" e vi chiede di visitare il suo sito usando il link cortesemente fornito nell'e-mail.
Un ottimo esempio di truffa via Internet basata sull'uso di HTML,anteprima e grafica è fornito da Hutteman.com103, dal quale è trattala Figura 13.1. È un e-mail che ha tutta l'aria di provenire dal fa-moso sito Paypal: un popolarissimo servizio di micro pagamento,presso il quale gli utenti depositano somme di denaro reale per iloro acquisti online.
L'indirizzo del mittente, in questo esempio, è verification@paypal.-com; si vede il logo di Paypal; e soprattutto, il link "click here", sul quale il messaggio invita appunto a cliccare per "reimmettere i propri dati di registrazione", rimanda al sito di Paypal. Non c'è nulla che induca al sospetto.
In realtà il mittente è falsificato e il messaggio è una truffa in piena regola ai danni dei correntisti Paypal (come il sottoscritto). Se vi fidate del messaggio e cliccate sul suo link "click here", scatta la trappola informatica: il link infatti sembra portare a Paypal.com,ma in realtà porta a un sito-truffa che imita in tutto e per tutto il sito autentico.104
L'illusione di trovarsi nel sito vero è praticamente perfetta, ed è ovvio che gli utenti non sospettosi cadono nella trappola e regalano i propri dati personali (password compresa) al truffatore, che potrà così prosciugare il loro conto Paypal. Lo stesso meccanismo potrebbe essere usato con il sito della vostra banca.
Per evitare truffe di questo tipo occorre mantenere sempre alta la guardia e dubitare sempre dei link contenuti all'interno dei messaggi. Un altro espediente molto efficace per smascherare i tentativi di phishing è disattivare la visualizzazione dell'HTML: questo non solo elimina la forte "autenticazione" visiva data dalla grafica,ma rivela spesso la vera destinazione dei link.
Le Figure 13.2 e 13.3, per esempio, mostrano lo stesso messaggio-truffa, visualizzato con e senza HTML. Notate che la versione senza HTML indica il vero indirizzo al quale punta il link: è composto da numeri invece che da un nome, e questo è un chiaro campanello d'allarme, come accennato nel Capitolo 11.
Il problema dei link fasulli si pone, sia pure in misura minore, anche con l'e-mail di testo semplice. Infatti è possibile confezionare un link che sembra portare a un sito ma in realtà porta altrove anche senza ricorrere all'HTML:
www.microsoft.com&item=q209354@3522684105
Ha tutta l'aria di portare al sito di Microsoft, ma in realtà porta a www.playboy.com. I browser moderni e sicuri, tuttavia, vi avviseranno del possibile pericolo o bloccheranno direttamente questolink. Se il vostro browser non lo fa, è il caso di cambiarlo.
| Ricordate i tipici sintomi di un link fraudolento: chioccioline e simboli di percentuale. |
