Phishing, le regole per non cadere nella Rete

Fermati i tentativi di truffa via e-mail (phishing) ai danni di titolari di carta di credito. Lo ha reso noto l'ufficio stampa di "CartaSi spa".
Nei giorni scorsi si era verificato l'invio di e-mail finalizzate al furto di identità con false comunicazioni a nome di "CartaSi". In collaborazione con la Polizia Postale – informa la nota – i link contenuti nell'e-mail sono stati disattivati e quindi il tentativo di truffa è stato definitivamente bloccato.
"CartaSi" risponde inoltre direttamente delle truffe ai danni dei propri titolari e quindi chi avesse comunicato i dati della propria carta di credito in risposta alle false e-mail è esente da responsabilità e riceveranno il rimborso dell'intero importo contestato, con la stessa valuta dell'addebito.
Il phishing è una frode finalizzata all'acquisizione, per scopi illegali, di dati riservati. La frode viene realizzata attraverso l'invio di e-mail, contraffatte con la grafica e i loghi ufficiali di banche e aziende che invitano il destinatario a fornire informazioni, motivando tale richiesta con ragioni di natura tecnica. In presenza di richieste di questo tipo è opportuno informare immediatamente la propria banca inviando una dettagliata e-mail.
È importante sapere che le banche non chiedono mai, attraverso messaggi di posta elettronica, di fornire il «nome utente», la password, il codice per le operazioni dispositive dei servizi online, i dati delle carte di credito o delle carte prepagate. Per evitare di abboccare l'amo dei truffatori, è necessario aggiornare costantemente il software dedicato alla sicurezza (antivirus, antispyware, ecc.) ed eventualmente anche il sistema operativo e i programmi per navigare in Internet. L'utilizzo di una «toolbar antiphishing» può aiutare a riconoscere i siti potenzialmente pericolosi. Queste toolbar segnalano il livello di rischio del sito che si sta visitando e, in caso di phishing, sono in grado di bloccare la navigazione (l'utente può, in ogni caso, scegliere di continuare a "navigare"). Alcune toolbar sono disponibili sul web (es.: Microsoft, Netcraft, ecc.) e possono essere installate gratuitamente sul proprio computer.
Se malauguratamente vi è capitato di fornire i vostri codici personali sarà necessario cambiare al più presto la password di accesso ai servizi e informare immediatamente la vostra banca.
La sicurezza è dinamica, non esiste un punto di arrivo in cui c'è la certezza di stare al sicuro: per questo le banche italiane, nel corso del 2006 e ancora nei primi tre mesi del 2007, hanno investito e continuano ad investire in sicurezza in modo progressivo, anche se in ordine sparso.

Ecco in sintesi alcuni dei sistemi di sicurezza aggiuntivi per l'accesso all'area riservata, scelti dalle 50 banche del campione preso in esame dai ricercatori di Of-Osservatorio finanziario:
1. Sistemi a micro-circuito. Sono oggi al top della sicurezza nel campo dell'accesso ai servizi. Si tratta di sistemi che permettono di accedere solo con smart card personale abbinata a password aggiuntive. Hanno scelto questo sistema, Citibank Italia e Bps-Banca popolare di Sondrio. In particolare Citibank, che ha rinnovato il sistema a fine 2006, dopo i numerosi attacchi di phishing, ha anche attivato un sistema aggiuntivo con domande personali a cui si deve rispondere per creare un profilo personalizzato con una piattaforma completamente rinnovata.
2 .O.T.P. L'acronimo sta per One-Time-Password e indica un sistema che crea parole chiave usa e getta che durano pochi secondi. Sono generate da un piccolo apparecchio tascabile chiamato «token» e che è stato ribattezzato con nomi diversi dalle banche (anche se l'idea iniziale era di dare un nome unico per tutte e cioè «Pass» seguito dal Nome della banca).
Non si tratta di un rimedio definitivo al problema del phishing, ci sono già stati numerosi casi di violazione e phishing anche a sistemi con Otp, come ha scritto anche l'esperto internazionale di sicurezza, Bruce Schneir, fin dal 2005. Ma è considerato un buon deterrente e soprattutto è diventato uno strumento di web-marketing capace di tranquillizzare il cliente. Il sistema, in pratica, funziona con una doppia identificazione, la prima con identificativo e password e la seconda con la password «a perdere» generata dal token. Hanno scelto questo sistema, ad oggi, Bmps (con sim del cellulare e servizio chiamato PaschiDoveVuoi), Bnp Paribas-Bnl (Pass Bnl), UniCredit Banca (UniCredit Pass), Credem (Mr.Pin), Sanapaolo.com (O-Key), IWbank (Token), Banca Marche (Otp), Abn Amro-Antonveneta (Ge.Co), Banca Popolare Pugliese (Token).
3. Tastierini virtuali. Nella pagina di accesso al servizio una tastiera che cambia posizione dei tasti ad ogni apertura permette di inserire identificativo e password con il mouse.
In questo modo si evita il problema generato dai keylogger e dagli spyware, piccoli programmi che si trovano gratuiti in rete e che servono a carpire tutto ciò che uno digita da tastiera. Sono inviati come i virus allegati ad e-mail o attraverso siti infetti. Hanno scelto questo metodo Banca Popolare di Vicenza (servizio @Time), Ing direct, Deutsche Bank e Banca Mediolanum. Quest'ultima, inoltre, protegge non solo la password che non è mai in chiaro, ma anche l'identificativo del cliente.
4. Avvisi Sms. Sono ormai numerose le banche che offrono un servizio di avviso con messaggi via cellulare o handy.
Gli avvisi sono personalizzabili e servono ad avvertire in caso siano arrivati fondi o si siano effettuati bonifici e pagamenti.
Banca Mediolanum, in più, ha attivato un servizio che avvisa con un massaggino ogni volta che ci si collega al servizio di home banking.
5. Monitoraggio delle transazioni. Un sistema per evitare il phishing in modo trasparente rispetto all'utente è senz'altro quello di monitorare tutte le transazioni in rete confrontandole con il comportamento standard dell'utente stesso.