Il Phishing nel 2006

Abbiamo già scritto su queste pagine a proposito del phishing, una sofisticata truffa che avviene tramite Internet e di cui si sono visti numerosi esempi anche dalle nostre parti. Il truffatore prima lavora da hacker e prende il controllo di un comune PC collegato permanentemente alla Rete e non sufficientemente protetto dal suo proprietario: poi vi installa sopra un sito web che assomiglia moltissimo a quello di una banca famosa e degna di fiducia, chiedendo al visitatore di digitare il suo numero di carta di credito; infine invia milioni di messaggi e-mail fingendosi un funzionario di banca e chiedendo a tutti i destinatari di connettersi a quel sito e digitare il proprio numero di carta di credito "per un controllo di sicurezza". Chi riceve un messaggio di posta elettronica come quello tipicamente non ha rapporti con la banca imitata e lo scarta; ma qualcuno viene effettivamente turlupinato. Il truffatore si trova così una certa quantità di numeri genuini ed effettua acquisti di beni e servizi a spese degli ingannati.
Per difendersi dal phishing esistono alcuni comportamenti ispirati a prudenza e alcune nuove tecnologie. Cominciamo da queste ultime: chi usa il popolare programma di navigazione Firefox al posto di Microsoft Explorer può adottare una utile estensione, scaricabile gratuitamente dal sito www.netcraft.com. Una spia rossa si accenderà automaticamente a fianco della barra degli indirizzi quando ci colleghiamo a un sito web dall'indirizzo strano che potrebbe corrispondere al clone illegittimo di un istituto bancario. L'idea è tanto buona che anche Microsoft la adotterà con la versione 7.0 di Internet Explorer, disponibile dal prossimo mese di gennaio all'interno del prossimo Windows Vista.
In assenza di questi metodi tecnologici basta, anzi bastava, un po' di attenzione e di buon senso. Sino a poche settimane fa era sufficiente, quando clicchiamo l'indirizzo di un sito web che troviamo in un messaggio di posta elettronica, dare una occhiata distratta all'indirizzo che appare in testa alla pagina che appare. Se l'indirizzo comincia con "http" e poi un numero siamo in presenza di un sito sospetto, se invece vediamo un nome come "www.lamiabanca.ch" non ci dovrebbero essere motivi di dubbio. Purtroppo i truffatori sono recentemente diventati più subdoli, come rivela la cronaca di questi giorni. Il fattaccio è accaduto nello Utah: molti correntisti di una piccola banca locale, la Mountain America, sono stati raggiunti proprio da un'email che li invitava a "confermare" sul web il loro numero di carta di credito. Il messaggio risultava assolutamente credibile, per tre buoni motivi. Primo, il messaggio cominciava con "Salve, noi di Mountain America ti abbiamo rilasciato una carta Visa le cui prime cifre sono 405385" e quelle cifre corrispondevano davvero perfettamente alle prime sei della carta di credito che il correntista possedeva davvero; secondo, il sito che appariva aveva un nome vero (www.mountain-america.net) e non soltanto un numero; terzo, il sito si fregiava del "lucchetto chiuso", quell'icona che appare soltanto quando navighiamo su un sito protetto con crittografia, come accade sempre del web degli istituti di credito. Ma era una truffa, un phishing, anche se straordinariamente ben congegnato. Tanto per cominciare, è normale che tutti i correntisti della stessa banca abbiano carte di credito che cominciano con le medesime cifre. Secondariamente, il sito della banca ha un altro nome, e cioè www.mtnamerica.org: i truffatori hanno registrato il nome fittizio (pagando con una carta di credito non propria, il cui numero avevano rubato in precedenza). Infine, in modo davvero subdolo anche la crittografia era stata aggiunta solo per rendere credibile l'imbroglio, pagando un ente certificatore poco accorto che aveva autenticato con la propria firma digitale il lavoro degli imbroglioni. Un buon certificatore dovrebbe tra l'altro verificare che il sito che si vuole fregiare del lucchetto sia in attività da almeno due anni, ma per ridurre i costi alcuni tra essi hanno automatizzato tutta la procedura di rilascio e rilassato i controlli.
Tenere alta la guardia di fronte a imbrogli tanto sofisticati è davvero difficile, sia per i consumatori che per le banche. Un aneddoto personale: la scorsa settimana lo scrivente è stato contattato telefonicamente da una funzionaria del circuito interbancario di cui si serve. Innanzitutto mi sono premurato di chiederle le ultime quattro cifre della mia carta di credito, per evitare di dare fiducia a una sconosciuta via telefono. La signora, che si è così dimostrata degna di fiducia, mi ha spiegato che un ladro era riuscito a impadronirsi fisicamente di un calcolatore usato da una azienda mia fornitrice; sul disco rigido stavano molti numeri di carta di credito tra cui la mia. Non c'è stato altro da fare che avvisare uno ad uno tutti i clienti dell'azienda derubata, bloccare la loro carta di credito ed emetterne una nuova. A tutt'oggi io non so quale sia l'azienda che ha perso i numeri di carta di credito (la funzionaria si è rifiutato di rivelarmelo) e dunque non so neppure se il mio contatto con essa sia avvenuto tramite Internet o fisicamente.
Come dobbiamo comportarci, dunque, per evitare di cadere vittime di phishing e simili imbrogli? Un metodo perfettamente sicuro esiste, anche se è francamente scomodo. Dobbiamo evitare di fare clic sugli indirizzi che troviamo nell'email; se manteniamo tra i "favoriti" del nostro calcolatore personale un riferimento a tutti i siti dei nostri partner e fornitori, possiamo contattarli da un menu di indirizzi certi e sicuri.