La grande rete di internet grazie alla sua capillare diffusione e al suo ampio utilizzo, offre infinite opportunità di business ad aziende e consumatori, rendendo disponibili le informazioni in modo semplice ed immediato, al rapido diffondersi dell’utilizzo dei sistemi di comunicazione telematica, ha portato ad una crescita esponenziale del diffondersi dei reati informatici. Alcuni reati si svolgono nello scenario della posta elettronica (email)che tutti noi ormai,giornalmente utilizziamo sia per lavoro che per comunicazioni personali. Ma dobbiamo anche dire che probabilmente non ci sarebbero crimini informatici se nel lontano 1945 John P. Eckert e John Mauchly non avessero realizzato il primo vero computer della storia dell’uomo: l’ENIAC (Electronic Numerical Integrator and Calculator), costituito dalla bellezza di 18.000 valvole, con un peso di 30 tonnellate. Tra le Frodi informatiche più perpetrate utilizzando come mezzo di diffusione l’ email ,il Phishing è il più noto.Sono più di 10 anni che il phishing è in internet e, continuano ad essere migliaia gli utenti che ogni giorno rimangono vittime di questo tipo di frode. La parola “Phishing “deriva dal verbo inglese “to fish” che significa pescare. L’idea è quella di pescare utenti in rete per farli cadere all’interno di trappole tese da naviganti truffatori che lanciano l’esca ovvero il phisher (il truffatore) e attendono chi “abbocca” cioè l’ignaro internauta.E’ una più diffusa frode informatica on line che nasce con il malsano intento di carpire informazioni preziose dai computer degli utenti: informazioni quali l’home banking ,codici bancomat, numeri seriali di carte di credito, l’iban dei propri conti correnti nonché password degli account personali. , Cadere nell’inganno è facile ma non per ingenuità dell’utente, quanto per la strategia utilizzata dei “phisher” per colpire,è studiata attentamente, che, sfruttando il social engineering, mira a ottenere l’accesso al conto corrente del malcapitato.Illustrerò di seguito diverse fasi tipiche della truffa informatica. Le origini del “phishing” risalgono ufficialmente alla metà degli anni ’90 e le prime vittime di cui vi è traccia furono gli utenti del portale americano AOL (America On Line) che, rispondendo all’email dei criminali di turno, fornirono le credenziali di autenticazione dei propri accounts di posta elettronica. Da allora la frode ha subito un’evoluzione ed un affinamento sempre maggiori, e se fino ai primi anni del 2000 lo strumento con cui veniva perpetrata era principalmente -se non esclusivamente- la posta elettronica, col passare degli anni vi è stato un aumento qualitativo e quantitativo delle tecniche e dei mezzi usati dai phishers. Oggi infatti è possibile adescare e “far abboccare” un utente non solo via email, ma anche tramite un sito web, un software installato sul pc della vittima,
Le fasi del “ PHISHING”
Come sono inviate le email
il truffatore (phisher) invia un’e-mail che simula nella grafica e nel contenuto quella di un soggetto noto al destinatario (per esempio il suo istituto di credito); gli ideatori determinano le modalità con cui propagare l’attacco in rete, si avvalgono dei supporti tecnologici registrando domini e predisponendo i server su cui
convogliare le informazioni riservate fraudolentemente carpite e da cui trasmettere richieste o interferire
nelle comunicazioni tra i soggetti coinvolti. Ci sono elementi concreti per ritenere che dietro a questa truffa informatica, ci siano società con sede legale nei paesi dell’est europeo e paesi offshore. Il fenomeno del phishing, che in realtà non coinvolge solo le banche (Figura3)ma in generale le varie aziende che si occupano di e-business, è oggi considerato la parte dello spam (ovvero mail indesiderate) più in crescita in tutto il mondo e colpisce sia le aziende che i consumatori.
colpisce il lato psicologico del malcapitato utente utilizzando testi, immagini ed in molti casi veri e propri cloni dei siti originali in modo da convincere l’utente dell’effettiva autenticità del messaggio e l’utilizzo di indirizzi web (URL) autentici Per risolvere questo problema i phisher adottano prevalentemente due soluzioni: sfruttare le vulnerabilità dei vari browser o registrare nomi a dominio simili a quelli originali come nel caso della Unicredit Banca (www.unicreditbanca.com) la quale ha visto recapitare ai propri clienti un e-mail contenete un falso indirizzo www.unicreditsbanca.com simile ma assolutamente estraneo alla banca in questione.
Nei casi in cui non è possibile registrare o impadronirsi di un URL simile al sito originale il phisher ricorre alle vulnerabilità dei browser e ad astuti trucchi per convincere il malcapitato utente della reale autenticità del sito trappola. A favorire il lavoro dei phisher ultimamente ci ha pensato Internet Explorer con una serie di bugs facilmente sfruttabili che hanno agevolato la contraffazione ed il proliferare del fenomeno phishing; tuttavia in diversi casi i phisher hanno favorito il metodo della sostituzione della barra degli indirizzi. Questa tecnica consente in maniera molto semplice e senza particolari conoscenze tecniche di sostituire la reale barra degli indirizzi con una falsa immagine della stessa contenete un falso URL.Questa tecnica risulta particolarmente insidiosa in quanto lo stesso meccanismo può essere usato anche per modificare la barra di stato; soprattutto per visualizzare il lucchetto, tipico delle connessioni protette facendo così credere all’utente di essere realmente in una sessione sicura tipica dei servizi di home banking. Vi sono anche ltri metodi usati dai phisher come quello della sostituzione della barra degli indirizzi che però può destare sospetti anche nell’utente più distratto, la sostituzione dell’indirizzo web continua ad essere ancora oggi una delle scelte preferite. Sostituito da un immagine contraffatta è solo l’URL contenuto nella barra degli indirizzi. Per smascherare il trucco è sufficiente aprire una qualsiasi finestra o semplicemente la finestra delle proprietà per vedere come il falso URL si sovrappone su queste ultime.
Un metodo considerato efficace dai phisher ma molto fastidioso dagli utenti di internet sono le finestre popup. Basata fondamentalmente sullo sfruttamento delle vulnerabilità dei browser, la tecnica delle finestre di popup è senza dubbio la scelta che garantisce il migliore rendimento per il phisher; infatti mentre in background è presente il vero sito una finestra priva di barra degli indirizzi, degli strumenti ed in alcuni casi anche con il tasto destro disabilitato richiede informazioni riservate al malcapitato utente. Altra tecnica consiste nell’esecuzione ed inserimento di codice arbitrario, normalmente form, all’interno di un sito vittima e nella rispettiva visualizzazione di tale codice nel browser dell’ignaro utente come se facesse parte del sito vittima. La sua pericolosità sta di fatto nell’incapacità del sito reale di convalidare l’input prima di ritornare nel sistema dell’utente.
I software come Trojan, Worms e Spywere favoriscono i casi di phishing ci ha pensato Internet Explorer, tuttavia un particolare contributo è arrivato anche da Microsoft Windows grazie ad una vulnerabilità riscontrata in tutte le sue versioni sulla gestione del file HOSTS. Quando digitiamo il nome di un dominio nel nostro browser il protocollo IP interroga il DNS per conoscere il corrispondente indirizzo IP; ma prima di far questo controlla il file HOSTS per verificare la presenta di tale indirizzo, se è presente, si collega automaticamente. A sfruttare questa vulnerabilità per rubare i numeri dei conti correnti on-line ci ha pensato il worm PWS-Banker.y e le sue varianti prendendo di mira importanti servizi di home banking tra cui Banca Intesa, Banca Lombarda, Csebanking, BYBank di BancaAntonveneta, Credito Cooperativo e Banca Sella. Inoltre un ulteriore alleato dei phisher è keylogger, il quale è in grado di registrare in maniera subdola e silenziosa tutto quello che viene digitato all’interno del nostro sistema: username e password, indirizzi e-mail, numeri di carta di credito, conto correnti, informazioni riservate.
Caratteristiche delle email
L’e-mail contiene quasi sempre avvisi di problemi verificatesi con il proprio conto corrente o richieste di verifiche dell’account medesimo; proveniente dal proprio istituto di credito (in particolare Banca Intesa, Unicredit e Banca di Credito Cooperativo i casi più frequentemente riscontrati) con cui si informava l’utenza che, a causa di un trasferimento del sito (o per altre ragioni tecniche non meglio precisate) era necessario collegarsi al nuovo sito, entrare nella sezione riservata al proprio conto e compilare un apposito formulario. Apparentemente non c’è nulla di strano. Solo che il sito verso cui ci si indirizza non è il sito della nostra banca ma è un altro sito utilizzato come esca per far abboccare gli ignari utenti. In seguito i dati e le informazioni carpite vengono utilizzate in modo fraudolento, e una non tempestiva segnalazione alla propria banca potrebbe condurre verso amare sorprese nel successivo estratto conto.
Il phishing è subdolo e sarcastico perché sfrutta l’ingenuità e l’ignoranza degli utenti. Il messaggio di posta elettronica del phisher è generalmente scritto in un italiano stentato con gli accenti sbagliati, con verbi coniugati male, con improbabili espressioni idiomatiche. Pertanto, un utente accorto avrebbe buon gioco a notare la differenza fra un e-mail scritta dalla banca o falsa Il phisher può operare con un invio casuale delle mail-esche a una svariata moltitudine di soggetti oppure, decidere il target di identità utile ai propri fini. Nel primo caso lo strumento della posta elettronica è usualmente utilizzato dai truffatori con la logica dello spamming, attraverso l’invio di messaggi
Analizzando come è fatta un’email,posso dire che i messaggi sono costituiti da un semplice testo ASCII, diviso in due parti: le righe di intestazione (headers), nelle quali sono contenute informazioni come il mittente, il destinatario, la data, l’argomento, e il corpo del messaggio, separati da una riga vuota. Il messaggio viene composto dal mittente e consegnato ad un server, che provvede a contattare altri server lungo la rete fino a giungere al destinatario; la consegna è istantanea, durante il percorso, altre righe di intestazione vengono aggiunte per tener traccia della “storia” del messaggio. Gli indirizzi E-mail, hanno l’aspetto: nomeutente@nomeserver,dove nomeutente è appunto un nome che identifica l’utente, nomeserver è il nome del server sul quale è posta la sua mailbox (casella postale elettronica), mentre il carattere @, che separa i due nomi e permette di distinguere gli indirizzi di posta elettronica dai comuni nomi di computer e dagli URL, viene normalmente letto come “at” (presso). Va innanzi tutto notato che l’indirizzo di posta elettronica non è associato ad una persona, ma ad una casella postale elettronica; ogni utente può possedere diverse caselle, è possibile anche associare nomi utente diversi (alias) alla stessa casella di posta: non è facile quindi sapere in quali e quante caselle vada veramente a finire la posta destinata ad un utente. Le mailbox non sono situate sul computer dell’utente, ma su particolari server che vengono tenuti accesi 24 ore su 24, in modo che anche messaggi ricevuti mentre l’utente è scollegato vengano comunque conservati; è compito dell’utente prelevare regolarmente la posta dalla propria casella e scaricarla sul proprio computer. A questo indirizzo è possibile creare e-mail gratis : http://www.scaricone.it/internet_gratis/email_gratis.asp.
Spesso nella nostra casella di posta elettronica troviamo molte e-mail strane che comunemente chiamiamo “Spammer”(messaggi indesiderati). Solitamente, si riceve spam quando il proprio indirizzo di posta elettronica viene inserito nella lista di qualche spammer. Tali liste
successivamente, sono oggetto di scambio e conseguentemente, i messaggi indesiderati diventano sempre più numerosi. Ci sono numerosi sistemi per raccogliere indirizzi e-mail, i principali possono essere:appositi programmi (spambot) che effettuano l’analisi delle pagine presenti su i vari siti internet ed estraggono gli indirizzi e-mail. Per esempio, se una società o una persona inserisce nel proprio sito una voce del tipo “contattatemi all’indirizzo esempio@esempio.it“, quell’indirizzo email verrà riconosciuto automaticamente dal software e incluso nelle predette liste. Tali software diventano ogni giorno più sofisticati e sono in grado di effettuare analisi complesse, pescando dati da migliaia di fonti, quali ad esempio newsgroup, forum, ecc..Gli spammer possono ad esempio attingere dai dizionari italiani (o in altre lingue), copiando tutte le parole a senso compiuto o ancora usando gli elenchi telefonici presenti in rete. Una volta creata una lista, sarà sufficiente aggiungere il dominio su cui si vuole inviare spam. Per esempio, poniamo che uno spammer prenda uno dei cognomi più diffusi, come può essere “Rossi” o “Bianchi”, a tale cognome non fa altro che aggiungere le estensioni dei vari servizi di posta come yahoo, hotmail, email,ecc., ottenendo una lista di possibili bersagli per i messaggi. Naturalmente, una volta creato un dizionario di parole e/o nomi, si possono generare migliaia di combinazioni, ottenendo liste di invio molto cospicue. In Internet, sono molto diffuse diverse catene di e-mail che, a furia di circolare,diventano dei database di indirizzi molto appetibili.Le tecniche utilizzate dai phisher per creare e-mail false e catturare i nostri dati riservati sono diverse:
• Il metodo della chiocciolina (@)
Supponiamo che uno si spaccia per nostro amico e ci invii un’e-mail dicendo di aver scoperto che
dal sito della microsoft è possibile raggiungere un sito del “louvre” di Parigi, e ci invia l’indirizzo,
L’indirizzo e’questo:
http://www.microsoft.com&item=q209354rexsddiuyjkiuylkuryt2583453453fsesfsdfsfasfdfdsf@ww
w.www.louvreparigi.com. Se si guarda distrattamente (come facciamo tutti) il chilometrico link,si
penserà che si tratti davvero di una pagina del sito Microsoft. In realtà il link porta alle normali
pagine del museo di Parigi, ma l’illusione è perfetta. Questo metodo funziona grazie alle regole di
funzionamento di Internet, che consentono ai browser di interpretare indirizzi Web redatti in questo
modo:sito_apparente@sito_reale. Qualsiasi cosa venga scritta prima della chiocciolina viene
sostanzialmente ignorata, e quindi si può usare una stringa lunga a piacere: più è lunga, più è
improbabile che la vittima dell’inganno se la legga tutta e scopra il trucco. Certo, un navigatore
attento può accorgersi della presenza di quel link finale e quindi sospettare l’inganno. Ma si può
mascherare in vari modi il nome del sito dopo la chiocciolina.
• Il metodo dell’indirizzo numerico semplice
A ogni nome di sito Internet corrisponde un indirizzo IP, composto da quattro numeri. Per esempio,
al momento in cui scrivo, c’è un sito di museo, che ha l’indirizzo IP 216.170.137.3. I browser
interpretano questo indirizzo IP e lo usano per portarvi a visitare il sito corrispondente.In
combinazione con il metodo della chiocciolina, questo permette di architettare email per phishing come questa:http://www.microsoft.com&item=q209354@216.170.137.3 In questo modo, ogni
riferimento visivo alla vera destinazione di questo link è scomparso.
• Il metodo del nome mascherato
Normalmente, quando vogliamo visitare un sito, ne digitiamo il nome. Se voglio visitare ad
esempio la CNN, digito nel mio browser il nome del suo sito (che è cnn.com). Tuttavia esiste anche
un altro modo di rappresentare il nome di un sito: codificandolo in modo che ogni carattere del
nome sia sostituito dal suo equivalente ASCII esadecimale preceduto dal simbolo di
percentuale: http://www.zampognaro.it/ASCII.htm) Ad esempio, la lettera “c” di cnn.com si
codifica come %63, la lettera “n” come %6E, il punto come %2E, e così via
In questo modo, cnn.com diventa un incomprensibile:
%63%6E%6E%2E%63%6F%6D. Il link http://cnn.com e il link
http://%63%6E%6E%2E%63%6F%6D portano entrambi al sito della CNN. Lo stesso sistema può
essere usato anche per specificare la directory e la sottodirectory di un sito. A questo punto è
facilissimo creare un’e-mail falsa usando i metodi descritti prima. Supponiamo che io voglia far
credere a un utente che un link porta al sito Microsoft, mentre in realtà porta al mio sito
www.alessandro.net e in particolare al file “nn10”htm” nella sottodirectory /b/.
http://www.microsoft.com&item=q209354@alessandro.net/b/nn10.htm.
Fatto questo, converto la parte che voglio nascondere usando le equivalenze. E già che ci sono, nascondo anche la chiocciolina, sostituendola con %40. Ed ecco il risultato:
http://www.microsoft.com&item=q209354%40a%74t%69v%69s%73i%6Do%2En%65t/b/nn10.htm
Per non cadere in queste trappole si deve imparare a leggere l’email dal punto di vista tecnico,cioè leggere gli “header”Gli header sono quella parte del messaggio (che normalmente non si vede) che contiene tutti i dati dell’e-mail, i campi from e to, i server usati per l’invio.Il metodo per leggere gli header dipende dal sistema utilizzato per leggere le e-mail (direttamente su internet con la webmail o tramite un programma di posta elettronica), se si usa la webmail nella pagina di lettura del messaggio è presente il collegamento apposito, se si usa un programma esterno per la lettura delle e-mail (come Outlook) la modalità per leggere gli header varia a seconda del programma utilizzato (con Outlook Express basta premere ALT+INVIO mentre si legge il messaggio e cliccare su (“Dettagli”).
Che relazione esiste tra il phishing e il furto d’identità?
Il phishing e’ l’attivita’ che facendo uso dell’identita’ di una persona fisica o di una istituzione, carpisce i dati personali dell’utente quali numeri di carte di credito, password, dati di conti bancari. I marchi piu’ sfruttati per inziative di questo tipo sono eBay, PayPal, Citybank, e in genere gli istituti bancari Per quanto riguarda l’Italia, i piu’ colpiti dal phishing sono stati Banca Intesa, Fineco e Poste Italiane. Quest’ultimo è il risultato di diverse forme illegali di raccolta dati quali il phishing, i keylogger ed altri strumenti similari nati magari con scopi diversi ma sfruttati per fini non certo leciti. In particolare, il phishing rappresenta una di queste forme che ha come scopo l’appropriamento indebito dei dati elettronici appartenenti ad un individuo (per esempio la carta di credito e la password) eseguita tramite l’uso ditecniche di “social engineeringIl furto dei dati, Una volta in possesso di questi dati, il malfattore li potrà poi utilizzare per accedere personalmente ai servizi normalmente utilizzati dall’utente.
Ladri d’identità “Identity Crimes”Sembra il titolo di un film ultimo uscito,invece sto parlando di una realtà,che ultimamente abbiamo letto sulla cronaca. L’Italia ha il secondo posto in Europa, dopo la Gran Bretagna, per le frodi commesse mediante l’uso di identificativi falsi o rubati, cioe’ il furto di identita’ Ciò che viene messo in evidenza è in primo luogo che c’è confusione sul concetto stesso di furto di identità, anche perché oggi il termine viene usato anche a sproposito, in riferimento a crimini già ben noti come la falsificazione degli assegni. Con il termine “”furto di identità” sono distinte diverse categorie di crimine: l’identity cloning, che consiste in una vera e propria sostituzione di persona, al fine di creare una nuova identità e un nuovo tipo di vita;Il financial identity theft, è il reato che implica l’uso dei dati identificativi di un individuo per ottenere crediti o prestiti finanziari in nome della vittima.Sono reati relativi al furto dei dati personali e poi riutilizzati per effettuare truffe a nome altrui agli istituti di credito. Noi tutti siamo attenti a non divulgare i nostri dati personali ma con tutto ciò il fenomeno di furti di questo genere sta aumentando notevolmente, ma le abitudini e il modo in cui si gestiscono e si proteggono i dati personali sono spesso superficiali e inadatti a prevenire il rischio di subire un furto di identità scaturito poi in “frode creditizie”. Basta aprire un qualsiasi giornale e si leggono casi del genere. A questa situazione si aggiunge l’erronea convinzione che la “minaccia” provenga principalmente da Internet come luogo dove si possono facilmente reperire e riutilizzare i dati altrui, ma non è detto, poiché i nostri dati possono essere anche reperiti in altro modo, i documenti posso essere rubati utilizzando tecniche di furto di dati e poi riutilizzati per chiedere prestiti bancari, finanziamenti, aperture di conti, all’insaputa dei veri titolari dei dati, acquistando beni di consumo, finanziamenti ecc. ecc..
La frode può essere perpretata in 3 modi:
1. impersonificazione totale: quando ci si appropria dell’identità altrui attraverso l’uso del nome e dei dati anagrafici di altre persone siano esse viventi o defunte;
2. impersonificazione parziale: nel caso in cui il soggetto mascheri parzialmente la propria identità utilizzando dati anagrafici falsi ma recapiti veri.
3. dichiarazione di informazioni false: se il frodatore utilizza dati anagrafici e recapiti veri falsificando alcune informazioni come per esempio l’attività lavorativa, lo stipendio, o altro che possano garantirne una maggiore affidabilità creditizia.In sostanza il che incorre nel reato di frode creditizia chiede sotto mentite spoglie un finanziamento, ma già dalla prima rata non lo paga.Come proteggersi: occorre essere molto attenti nell’uso dei propri dati in pubblico, non gettare mai scontrini o altro contenente dati personali, evitare di trasmettere informazioni verbali in presenza di persone estranee alle trattazioni. Si dovrebbe anche prevenire il fenomeno delle frodi attraverso strumenti di accertamento dell’identità del soggetto richiedente un prestito o altra operazione finanziaria basato sulla condivisione di informazioni.
Il criminal identity theft, si verifica quando si forniscono i dati della vittima per compiere in sua vece atti pubblici illeciti di varia natura. Una volta acquisito il nome, la data di nascita e il codice fiscale della vittima, il ladro d’identità può fare spese incontrollabili utilizzando carte di credito a suo nome, prelevare grosse somme dalla banca o fare richiesta per un’assicurazione, un servizio per il cellulare, per un nuovo lavoro, presentandosi come il suo alter ego finanziariamente non responsabile. I ladri esperti di informatica possono prendere le informazioni da Internet. Girovagando per internet e leggendo diversi articoli ho rilevato che in Italia il fenomeno dei furti di identità sta registrando un trend di costante crescita e la facilità con cui le organizzazioni criminali riescono a sottrarre a cittadini ignari la loro identità fornisce la misura del rischio a cui siamo costantementi sottoposti.Per sottrarre le identità altrui ci sono diversi metodi:Basta un computer e un collegamento veloce ad internet,tanto tempo nel navigare e fare ricerche in giro nella rete. Per la raccolta di informazioni basta la semplice raccolta delle informazioni spontaneamente immesse online dagli utenti,basta una chiave di ricerca attraverso il grande motore di google,un sito di riferimento in questo senso è http://johnny.ihackstuff.com/ che raccoglie un vero e proprio Database, sorta di contenitore che presenta esempi concreti di utilizzo di Google come strumento utile per un ricercare attraverso delle stringhe dati riservati dispersi nel web. Altro metodo più semplice è andare su google-immagini e digitare la parola “passaporto” (passport) nella stringa di ricerca immagini di Google;si ottengono migliaia di immagini di passaporti. Molte pagine danno accesso a siti che contengono la foto, la data di nascita, il numero di telefono di casa e i nomi dei familiari. C’è chi è pronto a rivelare l’immagine della propria patente, del certificato di nascita, della tessera sanitaria e perfino dei certificati di morte dei parenti. Oppure se si fa la ricerca sempre in google immagini sotto il nome “documenti di identità” vediamo numerose carte d’identità e altri documenti contenenti informazioni preziose per chi vuole crearsi identità false.Tuttavia, anche se la maggior parte delle persone crede che il furto di identità avvenga principalmente tramite la rete, i risultati di una recente indagine hanno dimostrato che gran parte della vulnerabilità è il risultato di una non attenta gestione di codici pin e password per l’accesso ai servizi online, ai sistemi desktop, bancomat e ad altri servizi elettronici e che solo una minima parte dei casi dei furti di identità si verificano su Internet. Più spesso, i truffatori si affidano al fatto che gli utenti danno informazioni personali svolgendo le normali attività di ogni giorno come, per esempio, compilare un modulo per ottenere la “carta fedeltà” del supermercato, scrivere il numero dei propri documenti su un modulo, firmare la ricevuta della carta di credito su cui è riportato l’intero numero della carta: in quest’ultimo caso sarebbe meglio cancellare qualche cifra prima di firmare e se il negoziante non lo consente, meglio cambiare negozio. E’ indispensabile prestare molta attenzione al tipo di informazioni che si forniscono, rendendo le stesse pubbliche. Come quando digitiamo il codice pin del bancomat, all’apposito sportello o alla cassa di un negozio. E’ necessario stare attenti che nessuno ci stia osservando in quel momento. Anche dare i propri dati per telefono, via mail o su Internet, senza prima esserci accertati delle credenziali dell’interlocutore, non è consigliabile. E, a proposito di Internet, altra precauzione da adottare consiste nel cancellare dalla casella di posta elettronica le mail che riportano i propri dati personali o documenti personali importanti. Comunque, se non si riceve una bolletta per un mese, bisogna controllare cosa è successo perché, spesso, i truffatori cambiano l’indirizzo della stessa per tenersi i dati dell’utente. Quindi, ogni volta che utilizzeremo una carta di credito è consigliabile non lasciare ricevute. Lo stesso vale per documenti che riportano i nostri dati personali. Soprattutto dove possono essere visti da chiunque. Cosa importante da fare è controllare, spesso, gli estratti conto delle nostre carte di credito o del conto corrente bancario, in modo da poter reagire velocemente se si ritiene che si sia verificato un furto di identità. Stessa attenzione deve essere adottata per il nostro codice fiscale. Non bisogna darlo a chi non ne ha necessità e occorre ricordare che sono molti quelli che lo chiedono senza motivo. Altra buona cosa è quella di distruggere i documenti come vecchie ricevute del fisco, comunicazioni della banca, altri documenti che si vogliono buttare e che contengono le informazioni che possono servire ai ladri di identità. Infine, diffidate delle offerte ricevute per posta. I ladri utilizzano le offerte di credito pre-approvate inviate per posta e i buoni sconto che le accompagnano, per ottenere velocemente una carta di credito. Il furto d’identità non è solo diretto al singolo individuo ma anche consiste alla frode all’identità delle organizzazioni private e si chiama Company ID Theft l’azienda diventa la vittima diretta del furto di identità spesso sono le stesse aziende a fornire ai frodatori l’opportunità di commettere questi schemi criminali a causa dell’insufficiente attenzione nella tutela delle informazioni Quali sono le conseguenze per la nostra azienda?Le conseguenze per l’ azienda sono di 2 tipi.1. Se i dati rubati riguardano i clienti dell’azienda, questa sarà considerata responsabile del danno patrimoniale o morale davanti alla legge, anche per violazione della legge sulla privacy. Il danno di immagine per l’azienda è incalcolabile. I clienti penseranno che sia inaffidabile. Questo danno è tanto maggiore quanto più delicate sono le informazioni rubate, come nel caso di dati medici, legali e finanziari.Inoltre, c’è la possibilità di un danno diretto, perché le informazioni rubate possono essere vendute alla concorrenza. Questo tipo di truffe, infatti, sono molto spesso essere realizzate da dipendenti infedeli che invece di distruggere i documenti vendono le informazioni alla concorrenza o alle organizzazioni criminali Altri metodi per rubare identità sono il “Trashing, Il cyber crime scende infine sulla terra e si scopre che il proliferare delle più dannose “malicious practices” (attività fraudolente) di pirateria virtuale – furto d’identità, inizia nei cassonetti dell’immondi¬zia. Una pratica battezzata trashing, l’atto di rovistare nei rifiuti solidi urbani di casa o dell’azienda. . Sorprendentemente ricchi di tracce cartacee che si trasformano in miniere d’oro per il cyber crime organizzato. Tra le cose che finiscono nel sacchetto della spazzatura, vanno anche tutte quelle carte, ritenute inutili, ma che invece rappresentano fonti di identificazione molto precise. Utenza, estratti conto, documenti considerati erroneamente obsoleti, rimanenze di lettere, buste intestate, ricevute di pagamento e via discorrendo, lasciano delle tracce precise che, come in un puzzle, individuano indirizzi, numeri di telefono e recapiti dei loro proprietari. Insomma, è importante distruggere ogni carta dalla quale, con certosina pazienza, si possa risalire ai dati personali della gente. .Pensatevi ad esempio mentre uscite da un ristorante o da un supermercato: probabilmente, dopo aver pagato con carta di credito, sarete tentati di sbarazzarvi dello scontrino
Avvertimenti per non incorrere nella truffa del phishing
1. non bisogna mai rispondere a richieste di informazioni personali tramite posta elettronica.
2. gli Istituti di Credito non richiedono mai utenze, password o dati personali tramite messaggi di posta elettronica.
3. non rispondere mai a queste e-mail: nel dubbio, contattare la Banca che dichiara di averVi inviato la comunicazione.
4. Esaminare regolarmente i conti bancari e della carta di credito, la prudenza non è mai troppa, ed è sempre meglio accertarsi che nessuna truffa sia in atto. Controllando i propri rendiconti periodicamente è possibile bloccare qualsiasi frode in atto prima che provochi danni rilevanti.
Nell’ordinamento giuridico italiano non esiste alcuna legge che preveda una definizione del phishing né che prescriva specifiche sanzioni a carico dei phishers. Pertanto, i contorni dei reati connessi al fenomeno del phishing Del resto, il fatto che non vi sia una norma giuridica espressamente dedicata al phishing non significa ovviamente che questa pratica sia lecita.Piuttosto è possibile ricondurre tale attività a diverse fattispecie che vanno dall’illecito civile (illecito trattamento dei dati personali) fino a quello penale (truffa, accesso abusivo ad un sistema informatico, frode informatica).Anzitutto l’illecito trattamento dei dati personali (così come si realizza nell’attività di phishing) è un comportamento che produce effetti anche sul piano penale, secondo il comma 2 dell’art. 167 del D. Lgs. N. 196/2003 per il quale “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito. Ancor di più il phishing è riconducibile però a tre figure di reato ben note: la truffa, la frode informatica e l’accesso abusivo ad un sistema informatico. Con il termine truffa l’art. 640, comma 1 del codice penale definisce il comportamento di “chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno”: è quanto accade nell’attività del phishing dove l’utente che riceve l’e-mail camuffata viene raggirato, cagionando un danno al destinatario stesso. Molto vicino al reato della truffa è quello della frode informatica (introdotta dalla legge n.547/93, sui crimini informatici) definita dall’art. 640 ter del codice penale, che si distingue dal precedente in quanto l’attività illecita non è rivolta alla persona ma al sistema informatico. Il phishing, infatti, opera una truffa ai danni della persona destinataria della e-mail, che immette i propri dati e in seconda battuta una frode informatica nei confronti del sistema informatico della banca o dell’istituto preso in considerazione, inserendosi senza diritto nell’archivio e prelevando i dati degli utenti. Ultima fattispecie di reato connessa all’attività del phishing è quella prevista dall’art. 615 ter del codice penale: l’accesso abusivo ad un sistema informatico o telematico. “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”. Frode informatica e accesso abusivo, seppur simili, costituiscono due reati ben distinti: il primo configurato dall’introduzione nel sistema, il secondo dall’utilizzo illecito e dalla manipolazione dei dati personali dell’utente colpito.