Scenario/1 “Un giro d’affari più grande della droga”

Ci sono una buona e una cattiva notizia per tutti coloro che si preoccupano ogni volta che accendono il computer o leggono le mail. La buona notizia è che il phishing, la truffa con email false verso falsi siti, è in calo e che soprattutto la tecnologia usata dai criminali per questo tipo di truffe non funziona più così bene. La brutta notizia è che il crimine online, diventato globale e ipertecnologico, consente ai cybercriminali di raggiungere un giro d’affari che supera quello della droga. Una cifra da capogiro. Un fenomeno allarmante. E soprattutto in crescita esponenziale. Anche perché in Italia non c’è nessuna legge specifica (e nessuno ci sta lavorando su) contro questa criminalità informatica. Ma andiamo con ordine.

La buona notizia. Perché il fenomeno delle email false è in calo. Cosa fanno le banche e i siti di e-commerce.
In realtà ciò che sta diminuendo è il numero di truffe con le email false, quelle che invitano a collegarsi a un sito clone di un altro sito, appartenente a una banca, ad esempio e, attraverso il clone, sollecitano a fornire dati privati: come identificativo e password del conto corrente online, o il numero di carta di credito. La retromarcia del phishing ha alcune ragioni precise. Prima di tutto l'informazione costante: le banche, ad esempio, hanno sviluppato pagine di allerta, e poi manuali, e anche corsi e, in alcuni casi, perfino dei giochi anti-phishing, per far passare parola tra più persone sui pericoli delle finte mail. Ma non solo. Banche e siti d' e-commerce, tra quali PayPal ed eBay, i più colpiti dagli attacchi, hanno adottato misure nuove per proteggersi. Le banche hanno attivato sistemi che usano una password tradizionale ma associata a questa un'altra password di convalida che ha una vita brevissima e si usa una sola volta. Per ottenere la password monouso, detta anche “usa e getta” si usano diversi sistemi. Innanzitutto c'è il token, che è simile a un portachiavi ed è in grado di generare una volta premuto un tasto un codice numerico. Poi ci sono altri token quelli che generano la password da una chiavetta usb. E sistemi di ultima generazione che invece danno all’utente ogni volta una password dal cellulare via sms (per i sistemi del futuro prossimo venturo leggi qui). Senza la password usa e getta non è possibile eseguire alcuna operazione finanziaria dal computer. Il token, il sistema più diffuso, è simile a una piccola calcolatrice e ad ogni clic calcola una password numerica da usare una volta sola. Oggi sono dotati di token i clienti di Intesa Sanpaolo e UniCredit Banca, ma anche molti correntisti di BCC e Banche Popolari come Popolare Pugliese e Popolare di Vicenza (Leggi qui in formato PDF la sintesi del VI Rapporto banca più sicura a cura di Of).

Nell’e-commerce sono molto più attenti. PayPal ha adottato sistemi ancora più restrittivi dove l'utente deve autenticarsi fornendo in tempi brevi risposte a domande del tipo: "Qual è l'importo speso il 2 novembre dell'anno scorso come risulta dal tuo estratto conto cartaceo?". Altri siti di e-commerce non accettano pagamenti se non si indica anche il numero di cellulare a cui inviano un codice aggiuntivo da digitare online insieme all'identificativo e alla password principali. Altri ancora, richiedono di rispondere a domande personali (quale è il nome da nubile della madre, quello della prima insegnante, eccetera), preventivamente inserite nel profilo personale.

Anche i browser con i quali si entra in rete, si sono dotati di antiphishing. Firefox, Safari 3.2, ma anche Internet Explorer 7 e Opera 9.5, hanno sistemi in grado di bloccare link fasulli, dove invece, ad esempio, di intesasanpaolo.com, l’indirizzo web di Intesa Sanpaolo, si legge www.intesa.ru, e si tratta di falso sito domiciliato in Russia (Leggi qui).

Grazie a Google e altri società come StopBadware che forniscono e aggiornano liste di indirizzi falsi, la protezione da phishing e malware viene affettuata dai browser anche confrontando i siti “buoni” da quelli “taroccati”. Se la protezione da phishing e malware è attiva sul pc del cliente, gli elenchi vengono scaricati e aggiornati automaticamente ogni 30 minuti. I dettagli tecnici sul funzionamento del protocollo safe-browsing sono inoltre disponibili pubblicamente. l’impegno dei browser contro il phishing è un elemento cruciale della lotta alla criminalità informatica: il 70% dell frodi avviene attraverso borwser e non bachi del sistema operativo. Tutta questa attenzione alla comunicazione del pericolo e alla difusione di nuove tecnologia è all’origine della buona notizia della riduzione del phishing. Ma, avvertono gli esperti, non si può ancora cantare vittoria.

Perché, ad esempio, in aprile è appena apparsa una email multi-opzione e multi-banca che recitava più o meno così: "Se sei cliente della tal banca clicca qui, se invece sei cliente della tal'altra clicca qui, se invece sei cliente..." e giù una lista di banche dalle più note alle meno conosciute sul web. Banche da poco online come Banca Carige, con il suo conto di deposito contoconto.it, e Banco Desio sono state prese d'assalto dai phisher, nel primo trimestre di quest'anno. Le email false erano scritte in un italiano zoppicante, e sono state subito individuate. Ma anche in questo particolare i cybercriminali si stanno affinando, affidandosi a traduttori di madre lingua italiani.

E allora, alla Popolare di Sondrio hanno pensato di fare una prova intelligente: hanno inviato una email falsa a tutti i clienti per verificare chi ci sarebbe cascato. "Dentro la mail taroccata inviata a tutti i nostri clienti c’era un link ad un falso sito, sempre creato da noi, che ricreava la nostra pagina di login", ha spiegato a Of, Marco Tempra, Responsabile Sistemi Innovativi di PopSo. "Il cliente che cadeva nella trappola e cliccava sul link, accedendo alla finta pagina di login, non poteva a questo punto inserire i propri codici di accesso, ma trovava la scritta che lo avvisava del pericolo che aveva appena rischiato di correre con in più una breve spiegazione del perché era necessario diffidare delle mail che chiedevano l’inoltro dei propri codici d’accesso." Il cliente non si è arrabbiato? "All’inizio avevamo paura in una reazione negativa:" conferma Tempra "invece abbiamo ricevuto molti ringraziamenti e complimenti".

In realtà secondo il VI Rapporto Home Banking di Of- Osservatorio finanziario (Leggi la scheda in formato PDF), solo il 29,5% di istituti ha un sistema di autenticazione con token e password usa-e-getta, il livello base di sicurezza. E soprattutto nessuna banca, ad eccezione della Raiffeisen Bank, dispone di quel sistema di autenticazione forte con smart card (leggi articolo), che è da sempre al top della sicurezza, secondo Of. Oggi questo sistema con token card è disponibile anche a Poste Italiane (Leggi qui). “Le banche devono rendersi conto che il riciclaggio di denaro si realizza anche attraverso di loro; tutte le operazioni bancarie sospette devono essere segnalate”, ha detto di recente Giuseppe Quattrocchi, Procuratore capo a Firenze. “Questa sollecitazione al mondo bancario è un 'mayday' necessario visto che le banche sono destinatarie di norme precise in materia di riciclaggio e usura''.






Guarda la Classifica dei primi 50 Migliori Mutui a tasso fisso
Guarda la Classifica dei primi 50 Migliori Mutui a tasso variabile
Guarda la Classifica dei primi 50 Migliori Mutui a tasso misto

Guarda la Classifica dei Migliori Conti correnti
Cerca i conti che ti rendono di più
Cerca i conti che ti fanno pagare meno il denaro

Su questo argomento vedi anche:

- Prestiti per studenti over 18

- Vacanze in prepagata

- Luglio, agosto. Conti in offerta a buon rendimento

- Bollettino OF n. 54

- Tutta la banca nel cellulare

- Primi successi (e dubbi) degli Isc

- L’Isc? È ottimo. No, ci penalizza

- Isc. Come lo stanno applicando

- Intanto nascono nuovi conti: per nonni e nipoti

- Il conto con il regalo