COME DIFENDERSI
Un Falso Timore
Una preoccupazione frequente degli utenti è capire come ha
fatto il phisher a sapere che hanno un conto presso la banca o altro servizio on-line
indicato nel messaggio-esca.
In realtà, normalmente il phisher non sa se la sua
vittima ha un account presso il servizio preso di mira dalla sua azione: si limita
ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail,
facendo spamming, nella speranza di raggiungere per caso qualche utente che ha
effettivamente un account presso il servizio citato.
Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e
la cancellazione dell'e-mail che contiene il tentativo di phishing.
Connessioni Sicure
Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i
dati della carta di credito, è quello di visualizzare l'icona (a forma di lucchetto
in tutti i browser) che segnala che sì è stabilita una connessione sicura
(ad esempio una connessione SSL).
La pagina di autenticazione è facilmente imitabile,
copiando il relativo codice HTML, mentre la presenza di una connessione sicura
richiede dei certificati che identificano univocamente un sito Internet.
Programmi Specifici
Esistono programmi software specifici come la barra anti-phishing di Netcraft e anche liste
nere (blacklist), che consentono di avvisare l'utente quando visita un sito
probabilmente non autentico.
Gli utenti di Microsoft Outlook / Outlook Express
possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar
inserito nel MS Outlook / MS Outlook Express con il quale si possono trovare i link
sospetti in un'e-mail.
Filtri Anti-Spam e Anti-Phishing
Se l'utente non è titolare di un conto corrente on-line e riceve gli estratti conto
periodici per posta ordinaria (non via e-mail), può impostare il filtro anti-spam
sull'indirizzo dell'istituto di credito.
In questo modo, le e-mail contenenti un indirizzo della banca o un link alla banca stessa nel testo
dell'e-mail, saranno inserite nella cartella dello spam, rendendo più facilmente
identificabili quelle sospette.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-phishing che
utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con
quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft, ed
alimentata dalle segnalazioni anonime degli utenti stessi.
Mancano invece banche dati di questo tipo condivise dai vari produttori di browser,
pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di
Internet e del Web (in Italia, la Polizia Postale).
Tratto da
Wikipedia, l'enciclopedia libera.
Grab this swicki from eurekster.com
IL DECALOGO DELL'ABI
L'ABI ha stilato un utile decalogo per difendersi dal phishing, orientato particolarmente
agli utenti che usufruiscono dei servizi di Home Banking, ma che può essere tranquillamente
esteso a tutti gli utenti della rete.
- diffidate di qualunque e-mail che richieda l'inserimento di dati
riservati: la vostra banca non richiederà tali informazioni via e-mail
- è possibile riconoscere le truffe via e-mail con qualche piccola
attenzione. Generalmente queste e-mail non sono personalizzate e
contengono un messaggio generico di richiesta di informazioni personali per
motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici);
fanno uso di toni intimidatori, ad esempio minacciando la sospensione
dell'account in caso di mancata risposta; non riportano una data di scadenza
per l'invio delle informazioni
- nel caso in cui riceviate un messaggio contenente richieste di questo
tipo, non rispondete via e-mail, ma informate subito la vostra banca
tramite il call center o recandovi in filiale
- non cliccate su link presenti in e-mail sospette, in quanto questi
collegamenti potrebbero condurvi ad un sito contraffatto, difficilmente
distinguibile dall'originale. Anche se sulla barra degli indirizzi del browser
viene visualizzato l'indirizzo corretto, non vi fidate: è possibile infatti
per un hacker far visualizzare un indirizzo diverso da quello nel quale
realmente vi trovate
- diffidate inoltre di e-mail con indirizzi web molto lunghi,
contenenti caratteri inusuali
- quando inserite dati riservati in una pagina web, assicuratevi che si
tratti di una pagina protetta: queste pagine sono riconoscibili in
quanto l'indirizzo che compare nella barra degli indirizzi del browser
comincia con https:// e non con http:// e nella parte in basso a destra
della pagina è presente un lucchetto
- diffidate se improvvisamente cambia la modalità con la quale vi
viene chiesto di inserire i vostri codici di accesso allo home banking: ad
esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite
pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso,
contattate la vostra banca tramite il call center o recandovi in
filiale
- controllate regolarmente gli estratti conto del vostro conto
corrente e delle carte di credito per assicurarvi che le transazioni riportate
siano quelle realmente effettuate. In caso contrario, contattate la banca o
l'emittente della carta
- le aziende produttrici dei browser rendono periodicamente disponibili
on-line e scaricabili gratuitamente degli aggiornamenti (cosiddette
patch) che incrementano la sicurezza di questi programmi. Sui siti di queste
aziende è anche possibile verificare che il vostro browser sia aggiornato; in
caso contrario, è consigliabile scaricare e installare le patch
- Internet è un po' come il mondo reale: come non dareste a uno sconosciuto
il codice PIN del vostro bancomat, allo stesso modo occorre essere
estremamente diffidenti nel consegnare i vostri dati riservati senza
essere sicuri dell'identità di chi li sta chiedendo. In caso di dubbio,
rivolgetevi alla vostra banca.
