Come cautelarsi dai malviventi informatici

Postato il

A. Il computer é un’invenzione meravigliosa, che ci fornisce importantissime utilità ma che ci espone anche a tantissimi pericoli : al pericolo che un male intenzionato danneggi le nostre cose ( l’hardware e il software del nostro computer ) , prelevi soldi dal nostro conto corrente, ci aggravi di spese non volute (….) .

C. Come può, un male intenzionato, causare danni al nostro computer ?

A. Lo può fare  aggiungendo o togliendo qualche elemento al software : tolto o aggiunto qualche elemento il computer impazzisce o ammutolisce.
Chi non ricorda l’attentato avvenuto in Giappone nel Novembre 1985? Centinaia di estremisti, agendo contemporaneamente a Tokio e a Osaka, danneggiarono i computer e le centraline elettroniche di sette diverse stazioni ferroviarie determinando la paralisi dei trasposti e bloccando gli spostamenti di 12 milioni di persone.

C. Che difesa si può adottare contro tali aggressioni ?

A. Si possono, ahimè, solo installare dei filtri e…sperare che blocchino l’assalto degli hacker. E soprattutto si può sperare che questi non ci degnino della loro attenzione. Difatti essi di solito sono giovani, che vogliono elevare il lor livello di autostima, compiendo qualche impresa spettacolare.
I veri pericoli non vengono da loro, ma da chi : vuole molestarci con lo spamming , prelevare i nostri soldi con il phishing e con altri sistemi di cui dirò, costringerci bon grè mal grè  a spese indesiderate con il dialing.

C. Cominciamo a dire dello spamming : che cos’è esattamente ?

A. E’ il bombardamento di pubblicità non desiderate, effettuato automaticamente ( da certe spregiudicate agenzie pubblicitarie ).

C. Ma la legge lo permette ?

A. No, non lo permette : costituisce certamente un illecito e , in certe condizioni, un vero e proprio reato ( il reato di molestia ).Però in pratica é un illecito contro cui il cittadino è senza una difesa giuridica ( perché troppo costoso in tempo e in denari sarebbe per lui attivarsi per individuare i colpevoli ).

C. Come difendersene allora ?

A. Prima di tutto rendendo difficile ai male intenzionati la conoscenza del nostro indirizzo di posta elettronica ( grave errore indicarlo in un sito! ) – a tal fine sarebbe opportuno creare un indirizzo e.mail costituito di lettere e di numeri ( ad esempio, luigi36@libero.it ) : infatti i gestori di pubblicità utilizzano di solito programmi in grado di creare indirizzi composti unicamente di lettere ( e non di numeri ).
In secondo luogo, adottando dei filtri ad hoc ( ed é bene sapere che alcuni di essi sono forniti anche gratuitamente  dai principali operatori di posta elettronica, come Autlook, Exchange ecc.) .

C Questi filtri come operano ? Sono veramente efficaci ?

A. Tali filtri operano, alcuni, rifiutando messaggi provenienti da server conosciuti come diffusori di spam ( c.d. “bloccaggio” ), altri, analizzando il contenuto delle mail ( c.d. “filtraggio” ) e eliminando quelle che si presumono spam  per la presenza di parole o di espressioni tipiche della “posta spazzatura”. Mi domandi se sono efficaci ? Una certa capacità di contrasto senza dubbio ce l’hanno. Nessuno di essi però é in grado di assicurare una protezione assoluta; e talvolta, ahimè, bloccano o eliminano anche mail perfettamente regolari.

C. Fortuna allora che lo spamming costituisce solo una molestia e basta. Parliamo delle aggressioni che mirano al nostro conto corrente. Cominciamo dal phishing : in che consiste e, ancor prima, che significa questo strano termine, phishing ?

A. Phishing viene dall’inglese to fish, che si può tradurre “prendere all’amo”.
La sua tecnica é questa : il phisher manda delle e.mail – e in grandissima quantità ( tanto non ha spese postali ! ) –  miranti a farsi dire, da chi é tanto sprovveduto da abboccare all’esca, i dati relativi  alla sua carta di credito e al suo conto corrente  ( codice  ABI, CAB, IBAN….).

C. Come sono compilate queste lettere ?

A. Possono essere compilate nel modo più vario. Però di solito sono impostate in modo tale da sembrare comunicazioni di un istituto di credito ( l’istituto presso cui il “pesciolino” tiene il suo conto ! ) – e non poche volte contengono addirittura il logo dell’istituto ( logo facilmente scaricabile da internet ). Il loro contenuto poi spazia, dalla comunicazione che l’istituto deve aggiornare la banca dati della clientela al consiglio di controllare che il proprio conto non sia manipolato. Ma quasi invariabilmente concludono invitando il “pesciolino” a collegarsi a una particolare pagina web del sito ( naturalmente fasullo e costituito ad hoc dal fisher ) della banca  –  sito di cui forniscono l’ URL ( Uniform Resource Locator ) di modo che il “pesciolino”abbia al massimo facilitato l’ingresso nella …trappola. Se il pesciolino abbocca, clicca sull’indirizzo fornitogli, entra nel sito ( fasullo ), gli vengono richiesti  ( naturalmente! ) i dati necessari per entrare nel suo conto. Se consente ( ed é difficile che a questo punto non consenta )….il gioco é fatto.

C. Effettivamente internet é pericoloso !

A. Quanto a questo, un po’ tutto é pericoloso : anche il tuo cellulare. E infatti quelle missive-esca di cui copra si é detto, spesso vengono spedite, non come e.mail ma come SMS ( al cellulare della vittima designata ). In tal caso,però, non si parla più di phishing, ma di vishing.

C. Come funziona lo vishing ?

A. Sostanzialmente in modo eguale al phishing . Il pesciolino riceve una telefonata , che, nel suo interesse e proprio perché non rimanga vittima di un phisher ( sic! ), lo invita a contattare una utenza ( di cui si dà il numero ) per una serie di informazioni inerenti alla sua carta di credito. Se il pesciolino abbocca si troverà a dialogare con un risponditore automatico : una voce metallica che lo invita a digitare sulla tastiera, prima, le sedici cifre della sua carta di credito, poi, i quattro numeri corrispondenti al mese e all’anno di scadenza della carta e, dulcis in fundo, il CCV.

C. Che cos’é il CCV ?

A. Il CCV é una sigla per Card Cod Verification : il codice che ha la funzione di rendere più sicura la “carta”. Nelle VISA, Mastercard, Diners e Discover, é stampato nel retro di queste; nelle carte American Express si presenta invece sul loro lato anteriore.

C. Tu hai detto la tecnica dei phisher e dei visher : dì ora le cautele necessarie per non rimanerne vittime.

A. Premesso che nessun Istituto di credito serio richiede al cliente di dare i propri dati per mail ; se si vuole comunque aderire a una richiesta di questi fatta per mail o per s.m.s., bisogna  avere almeno come regola di non usare mai la posta elettronica : i dati possono essere spediti ( al proprio Istituto!)  facendogli un fax, o telefonandogli o, perché no ? mandandogli una lettera per posta normale.

C. Ma, a parte questo, c’é modo per il “pesciolino” di accorgersi che sta per abboccare all’amo di una truffa ?

A. Nel caso del phishing , certamente. Già indizi in tal senso gli possono venire dallo stile e dagli eventuali errori di grammatica e sintassi contenuti nella lettera ( infatti, la stragrande maggioranza delle lettere–truffaldine vengono spedite dall’estero e da persone che l’italiano lo conoscono veramente poco ! ). Se, poi, fa attenzione all’aspetto del web, che gli appare sullo schermo, e, in particolare, dà un’occhiata in alto a sinistra del proprio schermo, là dov’é riportato l’indirizzo del sito con il quale si é collegati, vedrà  che non vi é indicato il nome della banca, ma un indirizzo del tutto diverso ( e di solito straniero ).

C. Quel che dici é veramente preoccupante, in quanto fare un sito fasullo, penso, non deve essere difficile……

A. Non é per nulla difficile….

C. Ma se é così, facilmente una persona un po’ sprovveduta ( un’anziano, un minorenne…) può essere facilmente convinta a visitare il sito (fasullo ) con la prospettiva di questo o quel vantaggio; e facilmente, una volta entrata nel sito, può essere convinta a fornire i dati necessari per entrare nel suo conto.

A. E infatti non poche truffe sono proprio così congegnate : con il miraggio di qualche vantaggio si convince una persona a entrare in un sito fasullo ecc.ecc.
E’ per questo che, come regola, da seguire noi e da  dare a tutti i componenti della nostra famiglia, si deve avere quella di non interagire con nessun sito che non sia “protetto”.

C. Ma come si può controllare che il sito che si intende visitare é “protetto” ?

A. I siti “protetti” sono riconoscibili dal fatto che, quando vi si entra, appare, prima, un avviso che si sta entrando in un sito protetto e, poi, ( nella barra di stato del browser ) l’icona di un lucchetto giallo.

C. E la “protezione” offerta dal sito in che consiste?

A. Nel fatto che, i dati riservati immessi dall’utente, sono occultati mediante un sofisticato sistema di crittografia.

C. Phishing e vishing  sono le uniche tecniche che, i malviventi adottano per reperire i dati loro necessari per…scassinare le difese del nostro conto ?

A. No, di certo. Queste tecniche sono purtroppo assai numerose ( la fantasia criminale é inesauribile! ). Mentre si può tralasciare di parlare delle tecniche, diciamo così, meno evolute : il boxing ( da box, la cassetta delle lettere ) e il trashing ( da trash , immondizia ), che consistono nel rovistare, rispettivamente, nella cassetta delle lettere o nella spazzatura, per impadronirsi dell’estratto conto relativo a una carta –  val la pena di accennare alla tecnica dello skimming.

C. Che cos’é lo skimming ?

A. Lo skimming ( da skimmer , strisciare ) si ha quando il malvivente, per ricavare i dati relativi a una “carta”, opera su questa stessa.

C. Non capisco,

A. Per capire devi tenere presente che, per darci i soldi, sia lo sportello automatico della banca sia il POS ( dove POS é l’acronimo di Poin-Of-Sale e indica gli esercizi commerciali che accettano pagamenti col bancomat ) ci richiedono, oltre al PIN ( che digitiamo sulla tastiera ) anche altri dati, che sono contenuti nella banda marrone che si trova nel retro della nostra “carta”, e che vengono letti quando inseriamo questa nella feritoia ad hoc ( dello sportello automatico o di quell’aggeggio che ci porge la commessa del negozio ).
Ora, nella tecnica dello skimming,  il malvivente manipola la feritoia in modo che, il risultato della lettura della “carta”, venga registrato, a suo uso e consumo, in un supporto magnetico di memorizzazione.

C. Sì, ma, procuratosi i dati, il malvivente, per operare, deve prima memorizzarli in una carta analoga a quella da cui li ha ricavati.

A. Non é per lui un grosso problema : ci sono in commercio, prodotte in gran parte da Taiwan, una grande quantità di carte “vergini”, pronte per essere incise. E, fatta tale incisione, il malvivente si trova in possesso di un perfetto clone della carta di credito ( del malcapitato titolare del conto corrente ).

C. Sì, però lo sportello automatico e il  POS, come tu hai detto, pretendono, non solo l’inserimento di una “carta” , ma anche che venga digitato il PIN relativo a tale carta. Quindi il malvivente deve procurarsi anche tale PIN.

A. Cosa che, infatti, il malvivente fa con varie tecniche. La più usata delle quali, é quella di occultare delle telecamere bonsai nello sportello automatico.

C. Immagino che, una volta procuratosi, con le varie tecniche da te ora illustrate, i dati necessari per operare sul conto corrente, al malvivente non resti altro che….andare all’incasso.

A. Non sempre é prudente per lui agire così. In particolare non lo é nei casi in cui l’incasso deve avvenire ( card no present ) con un bonifico.
In tali casi il malvivente ben sa che un eventuale bonifico a proprio favore svelerebbe la sua identità:  gli occorre pertanto un “capro espiatorio”, cioé qualcuno che, quando la truffa sarà smascherata, sia obbligato a rimborsare la vittima. E il trovare tale capro espiatorio , al malvivente, non sarà difficile:  numerosissimi sono i disoccupati o i parzialmente occupati che ambiscono a un tele lavoro, ché tale é quello che il “capro espiatorio” dovrebbe in definitiva svolgere . Infatti le cose, una volta stretto l’accordo di lavoro, si svolgono così : il malvivente, utilizzando le coordinate bancarie della persona assunta, trasferisce i soldi dal conto ( da svaligiare ) a quello della persona  assunta ( perché funga ad parafulmine ). Poi, felice del colpo effettuato, invia una e.mail a questa dandole istruzioni di spedire , tramite uno dei tanti sportelli bancari money transfer, la somma accreditata sul suo conto ( salvo una percentuale , che potrà trattenere a titolo di provvigione ) a un tale dal nome straniero e che risiede all’estero. Naturalmente il lavoratore subordinato segue le istruzioni del “principale” e…il gioco é fatto. ( anche se non sempre é un gioco impunito : la nostra Guardia di finanza  non raramente riesce a …pescare il pescatore ).

C. Che difese adottare contro lo skimming ?

A. Prima di tutto occorre evitare di lasciare in mani non fidate le nostre “carte” ( quanti, invece, al momento di pagare al ristorante, consegnano la loro “carta” al cameriere e aspettano che lo stesso torni con lo scontrino da firmare ! No, meglio alzarsi e andare con lui alla cassa ! ).
In secondo luogo, utilizzare quegli sportelli automatici che, per essere collocati all’interno della banca, sono meno esposti a manomissioni .
In terzo luogo , quando si digita il PIN sulla tastiera, fare schermo alla mano che opera ( con un foglio, con l’altra mano…).

C. Abbiamo visto le varie tecniche, che i malviventi usano per riuscire a mettere le mani sui nostri conti. Ma tu all’inizio parlavi dell’esistenza di tecniche miranti,  non a direttamente  prelevare soldi dai nostri conti, ma solo a  gravarci di spese da noi in realtà non volute. Vuoi spiegarti meglio ?

A.   Tu sai che telefonando a dei numeri contraddistinti da certi prefissi ( 899, 709, 166…) il costo della telefonata subisce una maggiorazione. Allo stesso modo la connessione a certi provider costa più che la connessione ad altri.
Ora il dialer  é quel malvivente, che, a nostra insaputa, dirotta la connessione, che abbiamo con un dato provider ( il provider che costa poco ), a un altro provider ( che costa moltissimo ).

C. Come riesce a far ciò ?

A. Installando nel nostro computer un software, diciamo così, maligno, che fa scattare a nostra insaputa la connessione ( non voluta ).

C. Che difese adottare contro questo tipo di truffa.

A. Ne basta una e molto semplice : l’ abbonamento  a una ADSL ( cosa che, oggi come oggi, la stragrande maggioranza dei proprietari di un computer ha). Infatti l’ADSL é impermeabile ai dialer.

Annunci

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...