Phishing: di che si tratta, come avviene, come difendersi.
Il phishing (cioè tentare di carpire password e altrui dati personali tramite siti web fasulli) è oggi uno dei problemi di sicurezza più gravi al giorno d’oggi.
Ed è un problema che molti produttori stanno cercando di risolvere, pressati in particolar modo dalle banche, ormai quasi tutte vittime di questo tipo di attacchi.
Organizzare un tentativo di phishing, inoltre, è molto semplice, visto che non servono competenze specifiche eccezionali per inondare Internet di messaggi email o per clonare la pagina web di un sito legittimo.
Come difendersi e riconoscere gli attacchi phishing
I buoni, quindi, sono particolarmente preoccupati del fenomeno vista la sua larghissima diffusione. L’industria della sicurezza è convinta che questo sia un problema molto grave e che stia causando enormi perdite finanziarie e quindi ha inventato varie tecniche in grado di aiutare gli utenti a capire se stanno cadendo in trappola.
Alcuni fattori che possono aiutare a fiutare la “fregatura” e alcuni metodi utilizzati per prevenirla:
• La maggior parte dei messaggi di posta elettronica provenienti da istituzioni che conoscono in modo legittimo i dati personali dei propri clienti (banche, PayPal…) contengono dettagli che difficilmente un truffatore è in grado di riconoscere, per esempio le ultime 4 cifre di un conto corrente.
• Quando visitate un sito web legittimo, spesso troverete dei meccanismi che vi aiutano a capire che non siete su un sito clone, realizzato solo per ingannarvi e capire che non siete su un sito clone, realizzato solo per ingannarvi e carpire i vostri dati personali. Alcuni siti prevedono per esempio una tecnologia, chiamata SiteKey, che prevede che l’utente debba riconoscere un’ immagine durante la fase di login. Tecnologie di questo tipo aiutano a riconoscere la legittimità del sito in questione.
• Alcuni siti di istituzioni finanziarie prevedo dei meccanismi di autenticazione alternativi basati su strumenti fisici che solo i legittimi proprietari di un account possono utilizzare come ad esempio hardware che genera password utilizzabili solo una volta, o in modo analogo password usa e getta comunicate tramite SMS.
Queste tecnologie non sono perfette, perché presuppongono una buona dose di buon senso da parte dell’utente, tuttavia aiutano a rendere la vita difficile a chi tenta di attuare attacchi phishing.
Articoli correlati:
