giovedì 6 settembre 2007

Anche le Poste nel mirino del phishing... Alcuni consigli ... per la sicurezza.

Segnaliamo che sta girando ormai da qualche settimana una mail indirizzata a tutti gli intestatari di un conto corrente Poste Italiane in cui si richiede di fornire i propri estremi di conto per consentire la manutenzione delle misure di sicurezza. Attenzione si tratta di una truffa! La frode viene realizzata attraverso l'invio di e-mail, contraffatte con la grafica e i loghi ufficiali di aziende e istituzioni, che invitano il destinatario a fornire informazioni, motivando tale richiesta con ragioni di natura tecnica. In presenza di richieste di questo tipo è opportuno informare immediatamente Poste Italiane inviando un'e-mail ainfo@poste.itRiportiamo il testo della mail incriminata:
"Caro Poste Italiane cliente ,
Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto è stato scelto a caso per questa manutenzione, e lei sarà adesso portato attraverso una serie di pagine di verifica di identità.Per eseguire la manutenzione regolare per favore scatto qui Proteggere la sicurezza del suo Primo conto bancario di Scambio è il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo può causare
Per favore nota: Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto è fraudolento e sarà sospeso. Lo scopo di questa verifica è assicurare che il suo conto non è stato fraudolentamente usato e combattere la frode dalla nostra comunità.Banco Poste Italiane . Tutti i diritti hanno riservato."
L'osservatorio indipendente Anti-phishing Italia ha stilato un recente rapporto sull'andamento della truffa e definisce il fenomeno ancora in costante aumento, almeno nel nostro Paese. Solo nei primi mesi del 2007 sono stati registrati 225 casi di phishing con una media di 2,5 attacchi al giorno. Più nel dettaglio nel rapporto si dice che: con una crescita mensile del 91% a gennaio-febbraio e del 283% (febbraio-marzo), i primi tre mesi del 2007 superano i tentativi di phishing dello scorso anno, segnando un aumento del pericolo phishing del 1775%.
Il meccanismo è sempre lo stesso: il malcapitato si vede recapitare una mail da un istituto bancario che lo informa di problemi sul conto e fornisce un indirizzo web al quale andare per informazioni o per sistemare la cosa. Lo sprovveduto si troverà un sito che sembrando quello della sua banca lo induce in errore, mette password e codice credendo di accedere al servizio e invece suo malgrado ha fornito i suoi dati a truffatori che non esiteranno a utilizzarle per entrare sul conto corrente (quello vero) e fare ciò che vogliono. Il truffato fa così la figura del pesce e il nome del raggiro non è casuale...
I consigli suggeriti dalle associazioni consumatori contro gli attacchi di phishing:
1) Non rispondere mai a queste e-mail: nel dubbio, contattare la Banca o le poste che dichiarano di averVi inviato la comunicazione
2) Non utilizzare mai link riportati su messaggi email che sembrano puntare a servizi protetti da password in precedenza sottoscritti (banche, account di posta, qualsiasi cosa necessiti di autenticazione). Tutte le aziende più affidabili non richiederanno mai informazioni personali in un messaggio di posta elettronica. Se doveste ricevere un'email di questo tipo, ed aveste motivo di ritenere che sia autentica, contattate telefonicamente l'azienda che l'ha inviata per chiedere conferma.
3) Non inserire dati significativi in moduli o siti che non sono crittografati in SSL. Questo è verificabile controllando l'indirizzo del sito: gli indirizzi crittografati SSL iniziano con https:// invece di http://.
4) Tenere aggiornato il proprio browser. A volte questi attacchi sfruttano anche delle debolezze dei browser usati dagli utenti. Le ultime versioni dei browser più diffusi (Internet Explorer, Firefox, Opera) sono dotate di sistemi in grado di limitare l'impatto di queste truffe.
5) Controllare regolarmente gli estratti conto della banca e delle carte di credito.
6) Preservarsi da eventuali rischi utilizzando un browser alternativo rispetto a Internet Explorer (esempio: Firefox) o utilizzando programmi antidialer o una adsl.
7) Segnalare immediatamente eventuali casi sospetti.