Le truffe sul web crescono in maniera parallela alla crescita degli utenti che accedono  su internet.

 Ad oggi giorno sono centinaia di milioni gli utenti che stabilizzano almeno un accesso al giorno su internet. Internet è un mondo affascinante, ma come ben si sa, tutto cio che affascina nasconde quasi sempre i suoi pericoli. E il piu grosso pericolo del web per un utente distratto e poco esperto risponde al nome di: truffa online. Esistono diverse tipologie e tecniche di truffe sul web,i piu comuni sono:  Phishing, Fakelogin, Reverse bi-transaction, e piu raramente gli Accessi non autorizzati su macchine vittime.

Vediamo di analizzare uno per uno queste tecniche e spiegare come rielevarle ed evitarle:

 PHISHING

Nel phishing il maleintenzionato ha l’obbiettivo di ingannare la vittima convincendola a fornire informazioni personali e dati sensibili. Sfrutta una tecnica di ingegneria sociale:  attraverso l’invio casuale di messaggi di posta elettronica che imitano la grafica di siti bancari o postali, un malintenzionato cerca di ottenere dalle vittime la password di accesso al conto corrente, le password che autorizzano i pagamenti oppure il numero della carta di credito. Tale truffa può essere realizzata anche mediante contatti telefonici o con l’invio di SMS. Il termine phishing è una variante di fishing (“pescare” in lingua inglese), e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente.

Metodologia di attacco:

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

  • l’utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  • l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro.
  • l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
  • il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  • il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Talora, l’e-mail contiene l’invito a cogliere una nuova “opportunità di lavoro” (quale operatore finanziario o financial manager), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l’accredito di somme che vanno poi ri-trasferite all’estero tramite sistemi di money trasfert (Western Union o Money Gram), trattenendo una percentuale dell’importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest’attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l’apertura di un procedimento presso la magistratura locale di ogni Paese interessato.

Difesa:

Bisogna fare attenzione ai siti visitati non autentici. In caso di richiesta di dati personali, numeri di conto, password o carta di credito, è buona norma, prima di cancellare, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.

Il cliente può verificare i movimenti dall’estratto conto, che può vedere al Bancomat o dal proprio conto corrente on-line.

Molti istituti offrono un servizio di SMS alert, più efficace, perché notifica il movimento non appena viene effettuato, non quando avviene la sua registrazione, che può essere a distanza di diversi giorni. Il servizio è attivabile dal Bancomat, in filiale o dall’ambiente on-line, e consiste nell’invio di un messaggio al numero indicato dal cliente, per tutti i prelievi o pagamenti che superano l’importo da questi impostato. Il messaggio parte in tempo reale quando è effettuato il movimento (non alla data di registrazione, quindi anche quando questo non è ancora visibile nell’estratto conto).

Il servizio è gratuito; i costi del messaggio dipendono dall’operatore telefonico. La Banca non è obbligata a fornire questo tipo di servizio, e le compagnie telefoniche non garantiscono il ricevimento degli SMS in tempi certi, che possono aumentare in particolare se il cliente si trova all’estero con il suo terminale di ricezione.

La persona che si accorge di pagamenti effettuati da terzi con la sua carta di credito o Bancomat, deve contattare il numero verde della banca per chiedere il blocco della carta: la chiamata viene registrata e le è assegnato un codice di blocco (che è identificativo e univoco). Occorre poi presentare denuncia alle Forze di Polizia, e recarsi in Agenzia con la copia della denuncia e il codice di blocco. In caso di eventuali addebiti “anomali” successivi, ad esempio perché effettuati dall’estero e registrati o contabilizzati con valuta successiva al blocco e alla denuncia, è necessario recarsi nuovamente a integrare la denuncia e ripresentarne copia in filiale.

L’Agenzia inoltra all’Ufficio Legale della Banca la ricusazione dei pagamenti e la richiesta di rimborso per la liquidazione. L’Ufficio Legale verifica se il cliente era fisicamente impossibilitato ad effettuare i movimenti contabili (prelievi da conto o pagamenti) perché l’estratto conto o la denuncia provano che si trovava in altro luogo; se vi sia dolo colpa o negligenza; applica una franchigia (intorno ai 150 euro) che non viene rimborsata, se il contratto di attivazione della carta prevede una responsabilità che in questi casi resti comunque a carico del cliente. In presenza di accrediti da parte di sconosciuti, il correntista deve non prelevare la somma e chiedere alla banca lo storno del movimento contabile. Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell’email che contiene il tentativo di spillaggio. Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a posteriori ed è necessaria un’azione preventiva. Un primo controllo per difendersi dai siti di spillaggio, è quello di visualizzare l’icona, a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL/TLS). Tale connessione garantisce la riservatezza dei dati, mentre la loro integrità e l’autenticazione della controparte avvengono solo in presenza della firma digitale, che è opzionale e non segnalata. Infatti, una connessione SSL potrebbe essere stabilita con certificati non veritieri, tramite una coppia di chiave pubblica e privata valide, note a chi vuole fare phishing, ma che non sono quelle effettive del sito. Ad esempio, il certificato riporta che il sito it.wikipedia.org utilizza una chiave pubblica, che in realtà è quella del phisher. Il browser piuttosto che l’utente interessato dovrebbero collegarsi al sito di una certification authority per controllare: la banca dati mostra le chiavi pubbliche e un identificativo del possessore, come l’indirizzo IP o l’indirizzo del sito.

Alcuni siti hanno una barra antiphishing specifica che controlla l’autenticità di ogni pagina scaricata dal sito, ad esempio tramite la firma digitale.

La pagina di login di un sito è facilmente imitabile. Nei browser esiste una opzione per visualizzare il codice HTML delle pagine Internet, che si può copiare e incollare altrove, per ottenere un sito identico. La e-mail truffaldina conterrà un collegamento che punta non al sito originario, ma alla sua imitazione. I dati inseriti nei campi liberi della form sono memorizzati in un database o in un file di testo collegato al sito.

Un’altra tecnica di spillaggio consiste nell’inserimento di applicativi di keylogging. In questo caso, i link possono rimandare al sito originale, non necessariamente a un’imitazione, e lo spillaggio dei dati avviene al momento del loro inserimento da tastiera. Queste righe di codice possono essere eseguite con l’apertura di alcuni link, ovvero con la lettura della stessa e-mail, se il programma di posta o l’Internet Service Provider non adottano protezioni sufficienti.

Esistono, inoltre, programmi specifici come la barra anti-spillaggio di Netcraft e anche liste nere (blacklist), che consentono di avvisare l’utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un’email (vedi sezione Collegamenti esterni). Questi programmi e i più comuni browser non si avvalgono di whitelist contenenti gli indirizzi logici e IP delle pagine di autenticazione di tutti gli istituti di credito, che sarebbe un filtro anti-spillaggio sicuramente utile. Se l’utente non è titolare di un conto corrente online e riceve gli estratti conto periodici per posta ordinaria (non via email), può impostare il filtro anti-spam, inserendo l’indirizzo dell’istituto di credito. In questo modo, le email contenenti un indirizzo del mittente o un link nel testo alla banca, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle sospette. Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.

Analoga protezione è presente in Mozilla Firefox (a partire dalla versione 2), che propone all’utente di scegliere tra la verifica dei siti sulla base di una blacklist e l’utilizzo del servizio anti-spillaggio offerto da Google. Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale). L’oscuramento di un sito di spillaggio non è un’operazione semplice, se questo è ospitato come sottodominio di un altro indirizzo web. In quel caso, è necessario l’oscuramento del dominio ospitante, poiché la “falsa” pagina di autenticazione non è presente nell’elenco ICANN, ma in locale sul server. Il sito oscurato può essere comunque velocemente associato ad un altro indirizzo web.

È possibile associare ad una pagina di un “sito esca” un indirizzo simile, ma non identico a quello del sito “copiato”. All’utente medio resta comunque difficile distinguere un sito di phishing da quello dell’istituto di credito preso di mira. La barra degli indirizzi può contenere un indirizzo del tipo “Nome della [email protected] del dominio ospitante”, l’indirizzo del dominio ospitante nel corrispondente indirizzo IP, il simbolo “@” nella codifica ASCII, o nell’equivalente binario o esadecimale, rendendo l’indirizzo della risorsa di “phishing” simile e poco più lungo di quello che è stato falsificato.

Risarcimento:

Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell’account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito. Un recente provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l’esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all’ente la qualifica di danneggiato dal reato. I singoli contratti per l’apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate. Spesso, l’istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture. L’istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking rifiuta di risarcire le somme se il cliente ha smarrito la password di accesso insieme al token. Ciò configura negligenza da parte del cliente e l’eventualità del dolo e truffa all’istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, i quali, d’accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto. Tuttavia la banca (o altro istituto o società) ha l’onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l’utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi. Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l’utente del danno. La Raccomandazione europea n. 489 del 1997 stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell’uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.

Casi giudiziari e prime condanne penali:

Nel 2007 con sentenza del Tribunale di Milano [9] si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing [10]. Tale sentenza è stata confermata in Cassazione nel 2011.

Nel 2008, con sentenza del Tribunale di Milano [11], si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio [12] di soggetti che, quali financial manager, si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani.

Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che in Italia il phishing non è ancora specificatamente regolamentato, a differenza di altre legislazioni – prima fra tutte quella americana – che possiedono norme penali incriminatrici ad hoc.

[Fonte sull’argomento Phishing: Wikipedia]

FAKELOGIN

Il fakelogin è il metodo più efficace e semplice da utilizzare. E’ una delle tecniche usate anche per il Phishing. In cosa consiste?
Il fake login consiste nel creare una schermata di accesso in HTML identica a quella originale e di hostarla su uno spazio web o il locale sulla propria macchina.
Il Login è uno spazio, che si può trovare facilmente nei Forum o nei Siti, per autenticarvi nel vostro Profilo utente.Detto questo, il Fake Login serve a copiare un Login ( Falso ) per poi ricevere i dati di colui che si è loggato.
Nel dettaglio: Facendo  collegare la vittima (tramite ingegneria sociale) su questa pagina, essa effettua un login (che  se fatto bene risulta autentico ai suoi occhi) dopo che inseriscei dati, cliccando il pulsantino di invio dati in realta cosa accade ?
Semplice: tale pulsante esegue uno script php all’interno di un file chiamato LOGIN.PHP, tale script è programmato per salvare i dati della vittima all’interno di unfile di testo e salvare a sua volta questo file dentro lo spazio del dominio dove risiedono i file del fakelogin. Nel caso in cui il fakelogin non risiede su un dominio, ma il locale sulla macchina server del maleintenzionato, tale file con i dati della vittima vengono  salvati su una qualsiasi cartella (a scelta del malenintenzionato) del pc del malentintezionato.
Per montare un Fake Login bastano quindi solo due File. il File LOGIN.PHP (quello di cui vi parlavo prima) e la pagina del Login ORIGINALE in HTML.

Una pagina web molto utilizzata per creare fakelogin è FACEBOOK.

Difesa:

Come ci si accorge di un fake login?
Ovviamente basta semplicemente prestare attenzione all’url della pagina web prima di inserire nickname e password. Vi accorgete che siete vittime di un fakelogin nel caso  vedete al posto del normale url (che dovrebbe rappresentare un nome autentico inerente al sito in quel contesto) un indirizzo ip (un indirizzo ip è una sequenza di 4 coppie di numeri -ottetto-), oppure vedete che l’url assume un nome al quanto strano rispetto quello che dovrebbe essere un nome autentico. E soprattuto è importante usare un minimo di intelligenza e un istinto piu furbo del maleintenzionato.
Vi porto alcuni esempi pratici di un fakeURL (di un indirizzo url falso, non convincente):
Immaginate che qualcuno vi dica usando la delicata ingegneria sociale:

“Ehi Mario hai visto il nuovo Facebook ? Si chiama Facebook 2 ! Ha delle novita eccezionali !

Voi ignari di tutto gli rispondete:
“Ehm sinceramente no io uso ancora il vecchio”

E lui vi risponde:

“Eh si certo, ancora il team di facebook non lo ha messo definitamente online perchè è in fase di test, macomunque se vuoi accederci per guardarlo e farti un idea basta che clicchi qui: http://25.36.87.120”

ECCO ! In questo momento lui ha creato un fakelogin pero lo ha caricato sul suo pc, e quell’indirizzo ip è relativo al suo indirizzo ip che il suo provider gli ha assegnato. Esso tramite un server apache lo utilizza per rendere la sua macchina un server piccolino e cattivo cattivo. Dopo che voi mettete i vostri dati negli spazi che assomigliano a quelli del sito originale, e cliccate il pulsante “Login”o “Entra”, i vostri benedetti dati vengono salvati sul suo server piccolino e cattivo cattivo. ;). Il file php del fakelogin sicuramente verrà programmato per fare in modo che dopo che voi cliccate sul pulsante, veniate reindirizzati al sito originale, in modo tale da non accorgervi chesi tratta di un fakelogin, e contemporanemante salvare i vostri dati su quel file di testo .txt di cui vi ho parlato precedentemente.

Invece se vi risponde:

“Eh si certo, ancora il team di facebook non lo ha messo definitamente online perchè è in fase di test, macomunque se vuoi accederci per guardarlo e farti un idea basta che clicchi qui: http://www.facebook2.altervista.org”

Ecco! Partiamo dal presupposto che Facebook 2 non esiste, per intelligenza qualsiasi persona capisce che facebook non ha bisogno di avere una seconda versione, non è mica un software, il suo nome è facebook è tale rimarra per l’eternita anche con i futuri aggiornamenti che esso apportera nel tempo.
Comunque come potete notare,in questo caso il maleintezionato ha caricato i suoi file maledetti del fakelogin su un dominio (oltretutto gratuito perchè è tirchio) di altervista. In questo caso il file con i vostri dati viene salvato dentro lo spazio gratuito del dominio altervista che il malenintezionato si è fatto assegnare, e poi il maleintenzionato recuperera accendendo tramite protocollo FTP a tale dominio.

Ho fatto l’esempio di facebook, ma lo stesso vale per qualsiasi altro sito web che il maleintenzionato puo utilizzare come alibi (tramite l’ingegneria sociale e in base ai vostru gusti) per crearci su una pagina che ci assomiglia per fila e per segno (fakelogin).

[Fonte sull’argomento Fakelogin: Proprietaria “shellx”]