Difendersi dal phishing

Si presenta con grafica e logo ufficiale di Poste italiane e chiede dati riservati come il nome utente, la password o il codice, ma è una e-mail truffa. È il phishing, una tecnica di frode realizzata ai danni degli istituti di credito, finalizzata all'acquisizione di dati personali al fine di raggirare l'utente attraverso l'uso della posta elettronica. A segnalarcelo sono stati alcuni utenti del sito di Striscia che chiedono come tutelarsi da questo genere di raggiro informatico. Per avere una chiara idea di quello che accade, Striscia.it ha chiesto al responsabile della sicurezza logica della Direzione di Security and Safety di Poste italiane, il dott. Gerardo Costabile, di spiegare il fenomeno.

Come si riconosce
"Per prima cosa Poste Italiane non manda mai mail all'indirizzo personale di posta elettronica del proprio cliente", spiega il dottor Costabile. "Chi si registra al servizio online di Poste Italiane riceve gratuitamente una mail con il nostro indirizzo. Ed è a questa mail che Poste Italiane invia le comunicazioni". "E' fondamentale sapere che in nessun caso sono richiesti i dati al proprio cliente semplicemente perché siamo noi ad averli forniti". Una mail sospetta simula comunicazioni ufficiali dell'istituto di credito e sollecita il cliente a fornire dati riservati usando ragioni di natura tecnica. In genere si conclude sempre con un link o un'immagine sul quale invita l'utente a cliccare. Un altro elemento al quale porre attenzione è l'impiego di finestre popup, che le e-mail ufficiali non usano. Per quanto riguarda il codice dispositivo di BancoPostaonline non si richiede mai di digitarlo per intero, ma solo quattro cifre che ogni volta cambiano. Infine, è importate controllare il certificato digitale, simboleggiato da un lucchetto posto in un angolo a destra nella parte bassa del browser. Cliccando sul lucchetto deve comparire il certificato intestato a BancoPosteonline.poste.it.

    

Le dimensioni del fenomeno
Le prime mail di phishing in Italia sono comparse nel 2005. Proprio su segnalazione  di Poste Italiane, l'eroe di Striscia, lo sturaingiustizie, Capitan Ventosa per aiutare gli utenti era a andato a chiedere spiegazioni sul fenomeno al responsabile Comunicazione Territoriale di Poste Italiane Agostino Mazzurco (vedi servizio). A fine 2005 è stata attivata la centrale Antiphishing di Poste Italiane. Nel primo trimestre del 2007 in tutto il mondo sono stati bloccati 317 siti clone di Poste italiane, a fronte di 26 siti clone dei primi tre mesi del 2006. "Da una parte il fenomeno è diventato più diffuso, dall'altra le tecniche di riconoscimento e oscuramento dei siti sono diventate molto più efficienti", racconta il dott. Costabile. "Il 60 per cento dei siti fraudolenti si possono chiudere in sole 12 ore, ma in pochi minuti se ne possono aprire degli altri, che per la maggior parte sono localizzati in America e in Corea del sud. Per questo abbiamo creato degli accordi internazionali con i provider di queste nazioni". Una diversa forma di frode connessa al phishing riguarda le mail con offerte di lavoro di tipo financial managing. In questo caso il truffatore recluta persone per svolgere attività di trasferimento fondi. La persona contattata dal truffatore in questo caso fa da prestanome. La persona che accetta di usare il proprio conto per ricevere denaro e poi trasferirlo all'estero commette un reato di cyber riciclaggio e rischia sino a 12 anni di carcere. Spesso sono allettati dalla percentuale che percepiscono per fare questa operazione senza accorgersi del grave rischio che corrono.

Come difendersi
Prima di tutto occorre diffidare dalle mail che chiedono l'inserimento di dati riservati. Verificare sempre che si tratti di una pagina protetta e non cliccare su link presenti nelle mail sospette. È utile controllare regolarmente le operazioni degli estratti conto e denunciare movimenti sospetti. Inoltre conviene aggiornare il software antivirus. Solo se sono stati forniti i dati personali occorre cambiare al più presto la password di accesso ai servizi e informare immediatamente Poste italiane telefonando al numero verde 803.160 scegliendo l'opzione servizi internet o inviando una mail a info@poste.it. "Se i soldi sono stati prelevati occorre passare alle vie legali con tempi più lunghi", conclude il dott. Costabile. E infine, per una maggiore sicurezza guarda il video realizzato da Poste italiane che spiega passo dopo passo come difendersi dal phishing, e visita la pagina della Polizia postale dedicata all'argomento.
Vedi servizio di Striscia