Qualche buon trucco per difendersi

“Bisogna essere sempre all’erta”, ammonisce Marco Tempra, Responsabile Sistemi Innovativi di Banca Popolare di Sondrio che consiglia, “è necessario imparare il meccanismo per riconoscere i siti veri da quelli contraffatti e rimanere costantemente informati”. E le regole per non cadere vittime delle truffe che viaggiano nella rete, per preservare i propri soldi ma anche i propri dati personali, le banche le mettono a disposizione degli utenti in sezioni ad hoc sui loro siti istituzionali.

Così, Poste Italiane, bersagliata da numerose e-mail false inviate a tanti suoi clienti e fortemente attaccata dai cyber criminali, pubblica un file formato video per spiegare i rischi del phishing e in più crea una sezione ad hoc interamente dedicata all’interno di un nuovo portale web. Che risponde alle domande dei clienti, spiega cos’è e come funziona la truffa digitale e soprattutto mette in guardia dai pericoli in cui si può incorrere. E ovviamente svela alcuni trucchetti per riconoscere subito, già dopo una prima occhiata, un’e-mail contraffatta.
WeBank, la banca solo online del gruppo BPM, pubblica sulle sue pagine un Decalogo Sicurezza sia in formato audio Mp3, scaricabile, sia in formato video, per fornire consigli e informazioni sul problema della sicurezza delle transazioni effettuate online. Mentre IwBank mette a disposizione dei suoi clienti un antivirus Trend Micro Internet Security 2008, gratuito e con licenza illimitata, scaricabile direttamente dal web e con la possibilità di rinnovo completamente a zero spese, alla scadenza. Infinita, invece, la piattaforma multimediale di Banca MPS ha un’apposita sezione dedicata al download di firewell, antivirus e aggiornamenti completamente gratuiti. Oltre ad un programma in grado di testare eventuali problemi nel sistema operativo dell’utente.

Anche Banca Popolare di Sondrio punta sull’informazione e la prevenzione. Dapprima con Navigosereno.it, un sito che oltre ad offrire informazioni e news in tema di sicurezza informatica mette a disposizione dell’utente un software, Computercheck, per visualizzare gli eventuali punti deboli del proprio personal computer. Poi, a partire dallo scorso primo aprile, a seguito del primo vero attacco di Phishing, con Phil, il pesciolino che nuotando negli abissi del web deve imparare a riconoscere le esche commestibili da quelle pericolose, cioè i siti veri da quelli clone, per poter sopravvivere e passare al livello successivo.
“Phil si pone l’obiettivo di educare il navigante giocando”, spiega ancora Tempra che chiarisce, “per insegnare cos’è un attacco di phishing, mettendo in guardia gli utenti dai link sospetti, insegnando loro a riconoscerli. E richiede un minimo impatto di competenze”. In pratica si tratta di un vero e proprio gioco virtuale, che insegna a riconoscere eventuali e-mail false o siti contraffatti già dopo una prima occhiata, semplicemente leggendo l’indirizzo nella Url cioè, appunto, nella barra degli indirizzi. E in più insegna alcune regole d’oro da tenere sempre a mente per poter sfuggire, incolumi e con il portafoglio intatto, alla truffa digitale.

Il decalogo anti-phishing
Scampare dalla truffa digitale, è dunque possibile. Basta saper riconoscere, già ad una prima occhiata i siti falsi da quelli autentici. Le e-mail truffa da quelle vere. Come? Bisogna imparare a leggere gli indirizzi web e tenere a mente alcune semplici regole.
Prima di tutto va ricordato che la banca non invia mai tramite posta elettronica la richiesta di inserimento di username e password, né tantomeno invia un link che rimanda direttamente alla sua sezione di login. E infatti, su quasi tutti i siti internet degli istituti di credito italiani compare l’invito a diffidare di e-mal che richiedono i propri codici di identificazione. Molto meglio dunque digitare l’indirizzo di destinazione direttamente da Url, ed accedere alla propria sezione di home banking solo dalle pagine del sito istituzionale della banca.
In secondo luogo, le e-mail di phishing generalmente si rivolgono ad un “tu” generico o, in qualche raro caso, all’utente identificato con “nome utente” e non con “nome e cognome”. Mentre le banche, quelle vere, le e-mail le personalizzano. Sia nel contenuto del messaggio che nell’intestazione.
Inoltre, spesso, sono scritte scorrettamente e condite da un buon numero di errori ortografici, mentre l’indirizzo del mittente di norma, è straniero e non immediatamente riconducibile al nome dell’istituto di credito.

Poi bisogna anche prestare attenzione all’indirizzo del sito di destinazione, cioè al link che, dalla mail, rimanda direttamente al sito clone.
Innanzitutto è bene diffidare sempre di quei siti che, dopo il solito http://, hanno una serie di numeri, prima del nome dell’istituto di credito. In questi casi, infatti, anche se il nome della banca è corretto, è presumibile che si tratti di un sito fasullo.
Va anche tenuto presente che l’indirizzo che compare nella stringa prima del primo slash è quello che caratterizza il dominio di proprietà. Mentre tutto ciò che segue, anche se il nome è identico a quello della banca nella quale si ha intenzione di accedere, è fasullo.
Inoltre bisogna sempre diffidare di nomi simili ma non identici o non del tutto coincidenti. Perché www.popsobanca.it è diverso da www.popso.it.
È bene diffidare anche di quei siti di istituti di credito che nell’indirizzo riportato nella Url non hanno il codice di sicurezza (“https” invece del solito “http”). Mentre in caso di dubbi è sempre bene avviare un motore di ricerca per controllare l’effettivo indirizzo del sito di destinazione prima di cliccare sul link inviato.
Infine, ultimo accorgimento per prevenire gli attacchi di phishing consiste nel dotare il proprio personal computer di un buon firewall o antivirus, e magari provvedere ad installare anche una phishing toolbar che blocca i siti falsi prima che l’utente tenti di accedervi, impedendo al PC di visualizzarli.

Nonostante tutte queste precauzioni però, può capitare di cliccare malauguratamente sul link e di inserire i propri codici di accesso. A questo punto l’unica cosa da fare è avvisare immediatamente la banca che provvede a bloccare il conto e a modificare i codici identificativi personali.