lunedì, febbraio 22, 2010

Il Phishing, ovvero come accedo al tuo conto online

Da Wikipedia: Phishing
"In ambito informatico il phishing ("spillaggio (di dati sensibili)", in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.."

Esempio di una email che ho ricevuto oggi:
"Gentile Cliente, Abbiamo ricevuto una segnalazione di accredito di Euro 100 da UFFICIO POSTALE ROMA 94. L'accredito è stato temporaneamente bloccato a causa dell'incongruenza dei suoi dati, potrà ora verificare i suoi dati e al ricevimento di essi, entro 24 ore le accrediteremo la somma sul suo conto postale."

Ora, io non ci posso cascare perché non ho nessun account BancoPosta. Il servizio di WebMail ha provato a pararmi le chiappe marcando automaticamente il messaggio come "sospetto phishing".

Ma ATTENZIONE, la cosa fondamentale è che il link/bottone che dovrebbe puntare alla pagina di login del mio account BancoPosta, cioè la pagina da cui dovrei accedere al sistema e "verificare i miei dati" punta a questo URL:
"http://www.zawgatey.com/_/https/www.poste.it/bancoposta/online/_private/bpol/CARTEPRE/index.html"

Prego notare la prima parte dell'indirizzo, cioè: "http://www.zawgatey.com/".
OVVIAMENTE non è un dominio delle Poste Italiane, infatti rimanda una pagina con una scritta in arabo.

L'imbroglio è abbastanza evidente.
Per chi non ha conoscenze di "informatica" in senso lato suggerisco di NON utilizzare Internet per nessuna transazione finanziaria e di non pubblicare mai in nessun caso i propri dati personali.
In ogni caso NESSUN servizio Internet vi invierà mai una email chiedendovi di comunicargli i vostri dati per il semplice motivo che ce li hanno già. Se ve li richiedono è ovvio che non sono loro che li hanno "persi" ma qualcun altro.