CyberCrimes & Digital Forensic

L’espressione secondo alcuni deriva dalla storpiatura del verbo inglese to fish che significa pescare. L’idea è quella di pescare utenti in rete per farli cadere all’interno di trappole tese da incalliti ed navigati truffatori. Come i pescatori catturano inermi pesciolini così, nel mare magnum di internet, vi sono soggetti che cercano di carpire dati ed informazioni relative agli utenti che si imbattano nel phishing.
Ma quali sono gli scopi del phisher? È presto detto: i soldi. La letteratura recente ci descrive casi di phishing che hanno una ben precisa vittima sacrificale delle loro azioni: l’home banking, ovvero le carte di credito, i conti correnti on-line, i codici relativi a depositi effettuati in noti istituti di credito. Ma come è possibile riuscire a rubare denaro attraverso il phishing? Il fenomeno è allo stesso tempo criminale e sarcastico, ingegnoso e infantile. Si cerca di estorcere danaro agli utenti della rete allo stesso modo con il quale da bambini si cercava di rubare le caramelle ai coetanei: prendendoli in giro.
La tecnica utilizzata per colpire gli utenti italiani attraverso il phishing è stata, sinora, quella di inviare un’e-mail apparentemente proveniente dal proprio istituto di credito (in particolare Banca Intesa, Unicredit e Banca di Credito Cooperativo i casi più frequentemente riscontrati) con cui si informava l’utenza che, a causa di un trasferimento del sito (o per altre ragioni tecniche non meglio precisate) era necessario collegarsi al nuovo sito, entrare nella sezione riservata al proprio conto e compilare un apposito formulario.
Apparentemente non c’è nulla di strano. Solo che il sito verso cui ci si indirizza non è il sito della nostra banca ma è un altro sito utilizzato come esca per far abboccare gli ignari pesciolini. In seguito i dati e le informazioni carpite vengono utilizzate nei modi più svariati, ma una non tempestiva segnalazione alla propria banca potrebbe condurre verso amare sorprese nel successivo estratto conto.
Perché è subdolo e sarcastico il phishing? Perché sfrutta l’ingenuità e l’ignoranza degli utenti. Il messaggio di posta elettronica del phisher è generalmente scritto in un italiano improbabile (il che lascia supporre che il fenomeno non abbia ancora preso piede presso i criminali del Belpaese), con gli accenti sbagliati, con verbi coniugati male, con improbabili espressioni idiomatiche. Pertanto, un utente accorto avrebbe buon gioco a notare la "enarmonia" fra un e-mail scritta con i piedi e le comunicazioni usualmente provenienti dagli istituti di credito, formulate sempre in un italiano piuttosto forbito.
Sarebbe sufficiente una maggiore familiarità con la lingua di Dante per accorgersi che una banca non si sognerebbe mai di mandare una comunicazione così delicata ad un cliente, invitandolo ad aprire il proprio conto on-line digitando password e quant’altro, attraverso un’e-mail zeppa di orrori ortografici.
Sotto il profilo tecnico è opportuno adottare ulteriori accorgimenti, e seguire questi brevi suggerimenti per non cadere in trappola.
Nel momento in cui giunge l’e-mail phishing occorre sapere che lo scopo del truffatore è quello di indurci in errore facendoci credere che il link presente nell’e-mail conduca verso la nostra banca.
Per smascherare il trucco è sufficiente posizionare il mouse sull’indirizzo della banca verso cui il messaggio ci invita a recarci. Posizionandoci sull’indirizzo, senza cliccare, potremmo osservare sulla barra di navigazione (presente su ogni browser) il nome dell’indirizzo verso il quale ci condurrà il link.
Leggendo attentamente quell’indirizzo ci accorgeremo come non corrisponda affatto a quello della nostra banca e quindi riusciremo a smascherare il phishing, evitando di cadere nella sua rete.
Tuttavia occorre segnalare come dalle recenti notizie di cronaca si evinca una certa evoluzione delle tecniche di phishing: nel caso di Unicredit bank, c’era una sola "s" di differenza fra il sito effettivo della banca e quello clonato dal phisher. Inoltre il sito civetta era in tutto e per tutto simile a quello originale.
Come comportarsi in questi casi? Una telefonatina non guasterebbe di certo, in fondo si spendere qualche centesimo per risparmiarne migliaia e migliaia.


Avv. Marcello Pirani - legal@anti-phishing.it