Phishing

Un esempio di mail di phishing, che si finge da una banca fittizia. Il mittente cerca di ingannare il destinatario facendogli mettere le sue credenziali sul sito del phisher. Nota: anche se l'URL può sembrare legittimo non è detto che lo sia (il link può infatti mandare ad un indirizzo differente)

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.[1][2]

Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese),[3] probabilmente influenzato da phreaking[4][5] e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio leet, nel quale la lettera f è comunemente sostituita con ph.[6] La teoria popolare che si tratti di un portmanteau di password harvesting[7] è un esempio di pseudoetimologia.

Descrizione

Si tratta di un'attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come Facebook e Twitter. Degli hacker potrebbero infatti creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali.

Secondo un’indagine realizzata nel 2019, solo il 17,93 per cento degli intervistati sarebbe in grado di identificare tutti i diversi tipi di phishing (tra cui email o SMS contenenti link malevoli o siti web che replicano delle pagine legittime).[8]

Storia

Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 all'International HP Users Group, Interex.[9]

La prima menzione registrata del termine phishing è sul newsgroup di Usenet alt.online-service.america-online il 2 gennaio 1996[10], malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per hacker 2600.[11]

In accordo con Ghosh ci sono stati 445 004 attacchi nel 2012, 258 461 nel 2011 e 187 203 nel 2010, mostrando che la minaccia del phishing è in aumento.

Numero totale di attacchi phishing unici[12]
Anno Gennaio Febbraio Marzo Aprile Maggio Giugno Luglio Agosto Settembre Ottobre Novembre Dicembre Totale
2005 12 845 13 468 12 883 14 411 14 987 15 050 14 135 13 776 13 562 15 820 16 882 15 244 173 063
2006 17 877 17 163 18 480 17 490 20 109 28 571 23 670 26 150 22 136 26 877 25 816 23 787 268 126
2007 29 930 23 610 24 853 23 656 23 415 28 888 23 917 25 624 38 514 31 650 28 074 25 683 327 814
2008 29 284 30 716 25 630 24 924 23 762 28 151 24 007 33 928 33 261 34 758 24 357 23 187 335 965
2009 34 588 31 298 30 125 35 287 37 165 35 918 34 683 40 621 40 066 33 254 30 490 28 897 412 392
2010 29 499 26 909 30 577 24 664 26 781 33 617 26 353 25 273 22 188 23 619 23 017 21 020 313 517
2011 23 535 25 018 26 402 20 908 22 195 22 273 24 129 23 327 18 388 19 606 25 685 32 979 284 445
2012 25 444 30 237 29 762 25 850 33 464 24 811 30 955 21 751 21 684 23 365 24 563 28 195 320 081
2013 28 850 25 385 19 892 20 086 18 297 38 100 61 453 61 792 56 767 55 241 53 047 52 489 491 399
2014 53 984 56 883 60 925 57 733 60 809 53 259 55 282 54 390 53 661 68 270 66 217 62 765 704 178
2015 49 608 55 795 115 808 142 099 149 616 125 757 142 155 146 439 106 421 194 499 105 233 80 548 1 413 978
2016 99 384 229 315 229 265 121 028 96 490 98 006 93 160 66 166 69 925 51 153 64 324 95 555 1 313 771
2017 96 148 100 932 121 860 87 453 93 285 92 657 99 024 99 172 98 012 61 322 86 547 85 744 1 122 156
2018 89 250 89 010 84 444 91 054 82 547 90 882 93 078 89 323 88 156 87 619 64 905 87 386 1 040 654
2019 34 630 35 364 42 399 37 054 40 177 34 932 35 530 40 457 42 273 45 057 42 424 45 072 475 369

Prime azioni di phishing su AOL

Il phishing su AOL era strettamente connesso alla comunità warez che scambiava software senza licenza. AOHell, rilasciato all'inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995 AOL applicò misure per prevenire l'apertura di account usando carte di credito false, generate tramite algoritmo. I cracker iniziarono ad attaccare i veri utenti con lo scopo di ottenere i loro profili.

Transizione a operazioni più ampie

L'aver ottenuto gli account di AOL poteva aver permesso ai phishers l'utilizzo improprio delle carte di credito, ma ha soprattutto portato alla realizzazione che potessero essere attuabili attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel giugno 2001, che è stato seguito da "post-9/11 id check". Entrambi vennero visti al tempo come fallimenti, ma possono essere ora visti come primi esperimenti per attacchi più complessi per banche tradizionali. Nel settembre 2003 c'è stato il primo attacco a una banca, ed è stato riportato da The Banker in un articolo scritto da Kris Sangani intitolato "Battle Against Identity Theft."[13].

Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell'economia del crimine: emersero specializzazioni su scala globale per portare a termine le operazioni, che venivano sommate per gli attacchi finali.[14][15]

Nel 2011 una campagna di phishing cinese ha avuto come obiettivi gli account Gmail di alti ufficiali di governo e dell'esercito degli Stati Uniti e del Sud Korea, come anche di attivisti cinesi.[16] Il governo cinese ha negato ogni accusa di aver preso parte a questo attacco partito dal suo territorio, ma ci sono prove che l'Esercito Popolare di Liberazione abbia assistito nello sviluppo del software di cyber-attacco.[17]

Tecniche di phishing

Attacchi rilevanti di phishing

Data Vittima Dettagli attacco
nov 2013 Target (negozi) 110 milioni di utenze comprensive di carta di credito rubate, attraverso il phishing di un account di un subappaltatore.[18] Il CEO e lo staff della sicurezza IT sono stati licenziati.[19]
mar 2011 RSA Security Lo staff interno di RSA è stato vittima di phishing,[20] portando all'accesso delle master key e al furto di tutti i token RSA SecurID, che sono stati in seguito usati per far breccia all'interno dei fornitori per la difesa US.[21]
set 2014 Home Depot Le informazioni personali e della carta di credito di 100+ milioni di clienti di tutti i 2200 Home Depot sono stati messi in vendita su siti di hacking.[22]
nov 2014 ICANN Sono stati ottenuti accessi amministrativi al Centralized Zone Data System, permettendo agli attaccanti di accedere ai file di zona e ai dati degli utenti del sistema. Oltre a ciò è stato ottenuto anche all'ICANN's public Governmental Advisory Committee wiki, blog, e al portale di informazioni whois.[23]
Un grafico che mostra l'incremento delle segnalazioni di phishing da ottobre 2004 a giugno 2005

Il servizio di condivisione file RapidShare è stato vittima del phishing per ottenere le credenziali di account premium, che non hanno vincoli di velocità e numero di download.[24]

Gli attaccanti che hanno avuto accesso al database di TD Ameritrade contenente 6,3 milioni di indirizzi mail lanciarono successivamente un attacco phishing alle suddette mail per ottenere username e password.[25]

Quasi la metà dei furti di credenziali tramite phishing nel 2006 sono stati commessi da gruppi che operavano tramite la Russian Business Network con sede a San Pietroburgo.[26]

Nel terzo quadrimestre del 2009 il Anti-Phishing Working Group ha riportato di aver avuto 115 370 segnalazioni di mail di phishing dai consumatori USA con la Cina che ospitava più del 25% delle pagine incriminate.[27]

Dal dicembre 2013 il ransomware Cryptolocker ha infettato 250 000 pc. Inizialmente l'obiettivo era l'utenza business ed è stato usato un archivio Zip allegato a una mail che sostiene di essere da parte di una lamentela di un consumatore e per passare successivamente a un pubblico più vasto usando una mail riguardante un problema con un assegno. Il ransomware crittografava i file e richiedeva un riscatto per ottenere la chiave di decifrazione (in modo da poter riavere i file). Secondo SecureWorks più dello 0.4% degli infetti ha pagato il riscatto.[28]

Metodologia generale di attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

  1. l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore finanziario o financial manager), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi ri-trasferite all'estero tramite sistemi di trasferimento di denaro (Western Union o Money Gram), trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato[29].

Lista dei tipi di phishing

Phishing
Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ottenere informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
Spear phishing
Un attacco mirato verso un individuo o una compagnia è stato denominato spear phishing.[30] Gli attaccanti potrebbero cercare informazioni sull'obiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.[31]
Clone phishing
È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta.
Whaling
Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o enti e il termine whaling è stato coniato per questi tipi di attacco.[32] Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l'obiettivo, è spesso scritto come un subpoena legale, un problema amministrativo o una lamentela di un cliente. Sono state utilizzate anche mail identiche a quelle dell'FBI cercando di forzare il ricevente a scaricare e installare del software.[33]

La maggior parte dei metodi di phishing usa degli exploit tecnici per far apparire i link nelle mail come quelli autentici.[34] Altri trucchetti diffusi sono utilizzare URL scritte male, oppure usando sottodomini ad esempio http://www.tuabanca.it.esempio.com/, può sembrare a prima vista un sito legittimo, ma in realtà sta puntando a un sottodominio di un altro sito. Un'altra metodologia è registrare un dominio lavorando su lettere visivamente simili, ad esempio "a" ed "e" oppure, utilizzando lo stesso dominio, cambiano il suffisso da ".it" a ".com".

Un altro metodo usato dai truffatori è quello di inserire la @ dopo l'indirizzo reale, seguita dall'indirizzo fraudolento, camuffando il secondo con un formato differente (ad esempio: IP); in questo modo l'utente truffato viene indirizzato all'indirizzo fraudolento, essendo il testo che precede la chiocciola ignorata dal browser.[35]

Aggiramento dei filtri

I phisher hanno iniziato, col tempo, a mascherare il testo inserendolo in immagini, in questo modo i filtri anti-phishing hanno più difficoltà nell'identificazione delle minacce.[36] Questo ha portato sull'altro lato a una evoluzione dei filtri, ora capaci di trovare testo in immagini. Questi filtri usano la tecnologia OCR (riconoscimento ottico dei caratteri).

Contraffazione di un sito web

Quando una vittima visita un sito di phishing l'attacco non è terminato. Nella pagina possono essere infatti presenti comandi JavaScript per alterare la barra degli indirizzi.[37] Può essere fatto o mettendo un'immagine nella barra degli indirizzi o chiudendo la finestra e aprendone una nuova con l'indirizzo legittimo.[38]

Un attaccante può anche usare vulnerabilità in un sito fidato e inserire i suoi script malevoli.[39] Questi tipi di attacco, conosciuti come cross-site scripting sono particolarmente problematici perché tutto sembra legittimo, compresi i certificati di sicurezza. In realtà tutto è fatto ad hoc per portare a termine l'attacco, rendendolo molto difficile da individuare senza conoscenze specialistiche. Un attacco di questo tipo è stato utilizzato nel 2006 contro PayPal.[40]

Alcuni software, peraltro gratuiti, permettono di creare un sito web "clone". In pochi passaggi prelevano la struttura e le immagini in modo identico all'originale senza alcun sforzo e/o senza alcuna conoscenza informatica. Solo a quel punto l'attaccante inserirà al proprio interno il login per catturare le credenziali di accesso, indirizzando le credenziali al suo database o più semplicemente in un file di testo. Generalmente adottano due principi: accetta tutte le password, senza alcuna correttezza delle informazioni inserite o rifiuta tutte le password, proponendo così di recuperare la password dimenticata.

Phishing telefonico

Non sempre il phishing implica l'utilizzo di un sito web o di mail.[41] Quando il numero indicato (gestito dal phisher, di solito si tratta di un numero Voice over IP) nel messaggio viene chiamato viene chiesto all'utente il proprio PIN. Il vishing (voice phishing) qualche volta utilizza un finto numero di chiamante, in modo da dare l'apparenza di un'organizzazione fidata.[42] In alcuni casi il phisher cerca di ottenere in maniera fraudolenta tramite WhatsApp, non dati finanziari o codici pin, ma copie di documenti d'identità che utilizzerà poi per successive truffe.[43]

Phishing tramite SMS

Si chiama SMishing l'imbroglio perpetrato tramite [SMS].

Esistono sostanzialmente tre varianti di questa truffa:

- vengono inviati messaggi sms agli utenti, che fingono di riguardare una spedizione di un pacco.[44]

- vengono inviati messaggi sms agli utenti, che dicono che ci siano stati dei problemi con i loro account bancari.[45]

- vengono inviati messaggi sms agli utenti, che contengono Malware.[46]

Phishing tramite Codice QR

Con un Codice QR i criminali informatici potrebbero cercare di dirottare l'ignaro utente su un sito appositamente allestito per truffarlo.[47]

Anti-phishing

Fino al 2007 l'adozione di strategie anti-phishing per proteggere i dati personali e finanziari era bassa.[48] Ora ci sono molte tecniche per combattere il phishing, incluse leggi e tecnologie create ad hoc per la protezione. Queste tecniche includono passi che possono essere usati sia da individui che da organizzazioni.

Telefoni, siti web e email di phishing possono essere riportati alle autorità, come descritto in questa sezione.

Istruzione

Una strategia per combattere il phishing è istruire le persone a riconoscere gli attacchi e ad affrontarli. L'educazione può essere molto efficace, specialmente se vengono enfatizzati alcuni concetti[49][50] e fornito un feedback diretto.[51]

L'Anti-Phishing Working Group, un ente di rinforzo per la sicurezza, ha suggerito che le tecniche di phishing convenzionali potrebbero diventare obsolete in futuro, con la crescente consapevolezza delle persone delle tecniche di social engineering usate dai phisher.[52] Ha inoltre predetto che il pharming e diversi usi di malware diventeranno più comuni per rubare informazioni.

Tutti possono aiutare il pubblico incoraggiando pratiche sicure ed evitando quelle pericolose. Sfortunatamente anche i giocatori noti sono conosciuti per incitare gli utenti a pratiche rischiose, ad esempio richiedendo ai propri utenti di rivelare le loro password a servizi di terze parti, come ad esempio la mail.[53]

Risposta tecnica

Misure di anti-phishing sono state implementate nei browser, come estensioni o barre degli utensili, e come parte delle procedure di login.[54] Sono anche disponibili software contro il phishing. Certamente è utile leggere con attenzione la mail ricevuta sia il mittente che il corpo del messaggio. L'attaccante provvederà ad inviare un testo dove le emozioni vengono solleticate e si tenderà ad essere precipitosi nel voler riparare il problema descritto. Per questo motivo la contromisura migliore è di non dar seguito alla mail ma aprire una nuova pagina nel browser e contattare direttamente il sito dall'url di cui si è a conoscenza o cercare direttamente dal motore di ricerca. Di seguito ci sono alcuni dei principali approcci al problema.

Aiuti nell'identificare i siti legittimi

La maggior parte dei siti bersaglio del punishing sono protetti da SSL con una forte crittografia, dove l'URL del sito web è usata come identificativo. Questo dovrebbe in teoria confermare l'autenticità del sito, ma nella pratica è facile da aggirare. La vulnerabilità che viene sfruttata sta nella user interface (UI) del browser. Nell'url del browser viene poi indicata con dei colori la connessione utilizzata (blocco verde per certificato EV, scritta https in verde).

Browser che allertano l'utente quando visitano siti truffaldini

Un altro approccio popolare per combattere il phishing è quello di mantenere una lista dei siti noti per phishing e controllare se l'utente li visita. Tutti i browser popolari incorporano questo tipo di protezione.[54][55][56][57][58] Alcune implementazioni di questo approccio mandano gli URL visitati a un servizio centrale, che ha suscitato preoccupazione per la privacy.[59] Una protezione di questo tipo può essere applicata anche a livello di DNS, filtrando a monte le richieste pericolose, questo approccio può essere applicato a ogni browser,[60] ed è simile all'uso di un file host (un file in cui si definiscono destinazioni personalizzati per domini).

Argomentare i login con password

Il sito di Bank of America[61][62] è uno dei molti siti che ha adottato questo sistema, consiste nel far scegliere all'iscrizione un'immagine all'utente, e mostrare questa immagine ad ogni login successivo. In questo modo essendo l'immagine nota solo all'utente e al sito legittimo in un eventuale attacco di phishing questa sarebbe assente o sbagliata. Purtroppo però molti studi hanno suggerito che l'utente ignori la mancanza della sua immagine personale e immetta comunque la sua password.[63][64]

Eliminazione delle mail di phishing

Si agisce su una delle fonti del phishing, nello specifico si cerca di eliminare le mail attraverso filtri specializzati contro la spam, diminuendo le minacce diminuiscono le possibilità di essere ingannati. I filtri si basano sul apprendimento automatico[65] e l'elaborazione del linguaggio naturale per classificare le mail a rischio.[66][67] La verifica dell'indirizzo mail è un nuovo approccio.[68]

Monitoraggio e blocco

Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing.[69] I singoli individui possono contribuire riportando tentativi di phishing,[70] a servizi come Google,[71][72] cyscon o PhishTank.[73] I'Internet Crime Complaint Center noticeboard raccoglie e gestisce allerte per ransomware e phishing.

Verifica a 2 passaggi delle transazioni

Prima di autorizzare operazioni sensibili viene mandato un messaggio telefonico[74] con un codice di verifica da immettere oltre la password.

Limiti della risposta tecnica

Un articolo di Forbes dell'agosto 2014 argomenta che il phishing resiste alle tecnologie anti-phishing perché un algoritmo non può sopperire in modo completo alle incompetenze umane ("un sistema tecnologico per mediare a debolezze umane") .[75]

Casi giudiziari e prime condanne penali

Nel 2007 con sentenza del Tribunale di Milano[76] si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing.[77] Tale sentenza è stata confermata in Cassazione nel 2011.

Nel 2008, con sentenza del Tribunale di Milano[78], si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio[79] di soggetti che, quali financial manager, si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani.[80]

Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che all'epoca in Italia il phishing non era ancora specificatamente regolamentato, a differenza di altre legislazioni - prima fra tutte quella americana - che possiedono norme penali incriminatrici ad hoc.[81]

Solo con la modifica dell'art. 640-ter c.p. (intervenuta con legge 15 ottobre 2013, n. 119) si è avuto un primo intervento normativo idoneo a ricomprendere anche tale particolare fattispecie di furto di identità.[82]

Risarcimento economico dei danni provocati

Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell'account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito. Un recente provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l'esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all'ente la qualifica di danneggiato dal reato.

Grafico raffigurante il numero di "phishing" tra il 2004 e il 2005

I singoli contratti per l'apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate. Spesso, l'istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.

L'istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking rifiuta di risarcire le somme se il cliente ha smarrito la password di accesso insieme al token. Ciò configura negligenza da parte del cliente e l'eventualità del dolo e truffa all'istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, i quali, d'accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto.

Tuttavia la banca (o altro istituto o società) ha l'onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l'utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi.

Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l'utente del danno. La Raccomandazione europea n. 489 del 1997 stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell'uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.

Come proteggersi dal Phishing

La regola numero uno, che è necessario tenere a mente quando si naviga su Internet, è quella di fare molta attenzione ai link, e in particolare al modo in cui l'indirizzo (URL) è scritto.[83] Specialmente quando il link ci viene presentato in un messaggio inviato via email, o da sistemi di messaggistica istantanea, anche da persone che conosciamo e di cui ci fidiamo. Questi messaggi possono essere inviati da account compromessi e piccoli errori di "spelling" sono spesso usati dai criminali per trarre in inganno chi li riceve.

Qualora il sito sia notoriamente sicuro e richieda l'inserimento di dati personali, oppure del numero della carta di credito, occorre sempre verificare non solo che la connessione[84] sia sicura (HTTPS), ma anche che il sito web sia effettivamente il sito che dice di essere, controllando attentamente l'indirizzo. Secondo alcune ricerche, oggi più del 70% dei siti di phishing usa connessioni sicure[85].

Sul web esistono diversi portali che si occupano della lotta alla disinformazione e alle truffe diffuse mediante il web, che consentono di tenersi informati sulle truffe in atto al fine di evitare di cadere nelle trappole dei truffatori.

Note

  1. ^ (EN) Zulfikar Ramzan, Phishing attacks and countermeasures, in Peter Stavroulakis e Mark Stamp (a cura di), Handbook of Information and Communication Security, Berlino, Springer, gennaio 2010, ISBN 978-3-642-04116-7. URL consultato il 16 febbraio 2022.
  2. ^ (EN) Alta van der Merwe, Marianne Loock e Marek Dabrowski, Characteristics and responsibilities involved in a Phishing attack (abstract), in WISICT '05: Proceedings of the 4th international symposium on Information and communication technologies, Città del Capo, gennaio 2005, pp. 249–254, ISBN 978-1-59593-169-6. URL consultato il 16 febbraio 2022.
  3. ^ (EN) Tom Spring, Spam Slayer: Do You Speak Spam?, su pcworld.idg.com.au, 20 novembre 2003. URL consultato il 16 febbraio 2022 (archiviato dall'url originale il 16 febbraio 2022).
  4. ^ Oxford English Dictionary Online, "phishing, n." OED Online, March 2006, Oxford University Press., su dictionary.oed.com.
  5. ^ Phishing, su itre.cis.upenn.edu.
  6. ^ Anthony Mitchell, A Leet Primer, in http://www.technewsworld.com/story/47607.html., TechNewsWorld, 12 luglio 2005.
  7. ^ Know your Enemy: Phishing, su honeynet.org. URL consultato l'8 luglio 2006 (archiviato dall'url originale il 20 marzo 2018).
  8. ^ Phishing e cifratura: tra i buoni propositi per il 2020 mettiamo anche la sicurezza informatica, su lastampa.it.
  9. ^ Felix, Jerry and Hauck, Chris, System Security: A Hacker's Perspective, in 1987 Interex Proceedings, vol. 8, September 1987, p. 6.
  10. ^ "phish, v." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online, su dictionary.oed.com.
  11. ^ Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks, su technicalinfo.net.
  12. ^ APWG Phishing Attack Trends Reports, su apwg.org. URL consultato il 21 aprile 2015.
  13. ^ Kris Sangani, The Battle Against Identity Theft, in The Banker, vol. 70, n. 9, September 2003, pp. 53-54.
  14. ^ In 2005, Organized Crime Will Back Phishers, su IT Management, 23 dicembre 2004 (archiviato dall'url originale il 31 gennaio 2011).
  15. ^ Abad, Christopher, The economy of phishing: A survey of the operations of the phishing market, su First Monday, September 2005. URL consultato il 30 giugno 2016 (archiviato dall'url originale il 21 novembre 2011).
  16. ^ Keizer, Greg, Suspected Chinese spear-phishing attacks continue to hit Gmail users, su Computer World. URL consultato il 4 dicembre 2011.
  17. ^ Ewing, Philip, Report: Chinese TV doc reveals cyber-mischief, su Dod Buzz. URL consultato il 4 dicembre 2011 (archiviato dall'url originale il 26 gennaio 2017).
  18. ^ Liz O'Connell, Report: Email phishing scam led to Target breach, su BringMeTheNews.com. URL consultato il 15 settembre 2014.
  19. ^ Paul Ausick, Target CEO Sack, su 247wallst.com. URL consultato il 15 settembre 2014.
  20. ^ Anatomy of an RSA attack, su RSA.com, RSA FraudAction Research Labs. URL consultato il 15 settembre 2014 (archiviato dall'url originale il 6 ottobre 2014).
  21. ^ Christopher Drew e John Markoff, Data Breach at Security Firm Linked to Attack on Lockheed, The New York Times, 27 maggio 2011. URL consultato il 15 settembre 2014.
  22. ^ Michael Winter, Data: Nearly All U.S. Home Depot Stores Hit, su USA Today. URL consultato il 16 marzo 2016.
  23. ^ ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented, su icann.org. URL consultato il 18 dicembre 2014.
  24. ^ 1-Click Hosting at RapidTec — Warning of Phishing!, su rapidshare.de. URL consultato il 21 dicembre 2008 (archiviato dall'url originale il 30 aprile 2008).
  25. ^ Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims, su sophos.com (archiviato dall'url originale il 5 maggio 2009).
  26. ^ [https://www.washingtonpost.com/wp-dyn/content/story/2007/10/12/ST2007101202661.html?hpid=topnews Shadowy Russian Firm Seen as Conduit for Cybercrime, by Brian Krebs, Washington Post, October 13, 2007
  27. ^ APWG, Phishing Activity Trends Report (PDF), su apwg.org. URL consultato il 4 novembre 2013 (archiviato dall'url originale il 3 ottobre 2012).
  28. ^ Leo Kelion, Cryptolocker ransomware has 'infected about 250,000 PCs', in BBC, 24 dicembre 2013. URL consultato il 24 dicembre 2013.
  29. ^ F.Cajani, G. Costabile, G. Mazzaraco, Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè, 2008.
  30. ^ What is spear phishing?, su Microsoft Security At Home. URL consultato l'11 giugno 2011 (archiviato dall'url originale il 6 agosto 2011).
  31. ^ Debbie Stephenson, Spear Phishing: Who’s Getting Caught?, su firmex.com, Firmex. URL consultato il 27 luglio 2014.
  32. ^ Fake subpoenas harpoon 2,100 corporate fat cats, su theregister.co.uk, The Register. URL consultato il 17 aprile 2008 (archiviato dall'url originale il 31 gennaio 2011).
  33. ^ What Is 'Whaling'? Is Whaling Like 'Spear Phishing'?, su netforbeginners.about.com, About Tech. URL consultato il 28 marzo 2015 (archiviato il 28 marzo 2015).
  34. ^ Dove porta quel link misterioso ?, Paolo Attivissimo, 4 dicembre 2020
  35. ^ Phishing, su Polizia Postale, 5 agosto 2021. URL consultato il 27 agosto 2021.
  36. ^ Mutton, Paul, Fraudsters seek to make phishing sites undetectable by content filters, su Netcraft (archiviato il 31 gennaio 2011).
  37. ^ Mutton, Paul, Phishing Web Site Methods, su FraudWatch International. URL consultato il 14 dicembre 2006 (archiviato dall'url originale il 31 gennaio 2011).
  38. ^ Phishing con hijacks browser bar, BBC News, 8 aprile 2004.
  39. ^ Krebs, Brian, Flaws in Financial Sites Aid Scammers, in Security Fix. URL consultato il 28 giugno 2006 (archiviato dall'url originale il 31 gennaio 2011).
  40. ^ Mutton, Paul, PayPal Security Flaw allows Identity Theft, su Netcraft. URL consultato il 19 giugno 2006 (archiviato il 31 gennaio 2011).
  41. ^ Antone Gonsalves, Phishers Snare Victims With VoIP, Techweb, 25 aprile 2006 (archiviato dall'url originale il 28 marzo 2007).
  42. ^ Identity thieves take advantage of VoIP, Silicon.com, 21 marzo 2005 (archiviato dall'url originale il 24 marzo 2005).
  43. ^ Richiesta di documenti tramite WhatsApp? Attenti alle truffe! | Tellows Blog, su blog.tellows.it. URL consultato il 17 luglio 2019.
  44. ^ SMS truffa, come funzionano e come bloccarli, macitynet.it, 20 luglio 2022
  45. ^ SMishing, altroconsumo.it, 24 novembre 2021
  46. ^ Smishing: cos'è e come difendersi dagli SMS truffa, chimerarevo.com, 30 maggio 2022
  47. ^ Occhio al QR code, La Stampa, 25 gennaio 2022
  48. ^ Emiley Baker, Wade Baker e John Tedesco, Organizations Respond to Phishing: Exploring the Public Relations Tackle Box, in Communication Research Reports, vol. 24, n. 4, 2007, p. 327, DOI:10.1080/08824090701624239.
  49. ^ Nalin Arachchilage, Steve Love e Michael Scott, Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks', in International Journal for e-Learning Security, vol. 2, n. 1, Infonomics Society, 1º giugno 2012, pp. 127-132. URL consultato il 1º aprile 2016.
  50. ^ Michael Scott, Gheorghita Ghinea e Nalin Arachchilage, Assessing the Role of Conceptual Knowledge in an Anti-Phishing Educational Game (PDF), Proceedings of the 14th IEEE International Conference on Advanced Learning Technologies, IEEE, 7 luglio 2014, p. 218, DOI:10.1109/ICALT.2014.70. URL consultato il 1º aprile 2016.
  51. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge, Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF), su Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University., November 2006. URL consultato il 14 novembre 2006 (archiviato dall'url originale il 30 gennaio 2007).
  52. ^ Dawn Kawamoto, Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats., ZDNet India, 4 agosto 2005 (archiviato dall'url originale il 30 novembre 2005).
  53. ^ Social networking site teaches insecure password practices, in Blog.anta.net, 9 novembre 2008, ISSN 1797-1993 (WC · ACNP). URL consultato il 9 novembre 2008 (archiviato dall'url originale il 7 gennaio 2009).
  54. ^ a b Safe Browsing (Google Online Security Blog), su googleonlinesecurity.blogspot.jp. URL consultato il 21 giugno 2012.
  55. ^ Franco, Rob, Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers, su IEBlog. URL consultato il 20 maggio 2006 (archiviato il 17 gennaio 2010).
  56. ^ Bon Echo Anti-Phishing, su Mozilla. URL consultato il 2 giugno 2006 (archiviato dall'url originale il 23 agosto 2011).
  57. ^ Safari 3.2 finally gains phishing protection, su Ars Technica, 13 novembre 2008. URL consultato il 15 novembre 2008 (archiviato il 23 agosto 2011).
  58. ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows, 3Sharp, 27 settembre 2006. URL consultato il 20 ottobre 2006 (archiviato dall'url originale il 14 gennaio 2008).
  59. ^ Two Things That Bother Me About Google's New Firefox Extension, su Nitesh Dhanjani on O'Reilly ONLamp. URL consultato il 1º luglio 2007 (archiviato dall'url originale il 15 ottobre 2007).
  60. ^ Higgins, Kelly Jackson, DNS Gets Anti-Phishing Hook, su Dark Reading. URL consultato l'8 ottobre 2006 (archiviato il 18 agosto 2011).
  61. ^ Bank of America, How Bank of America SiteKey Works For Online Banking Security, su bankofamerica.com. URL consultato il 23 gennaio 2007 (archiviato il 23 agosto 2011).
  62. ^ Bill Brubaker, Bank of America Personalizes Cyber-Security, Washington Post, 14 luglio 2005.
  63. ^ Brad Stone, Study Finds Web Antifraud Measure Ineffective, New York Times, 5 febbraio 2007. URL consultato il 5 febbraio 2007.
  64. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer, The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF), su IEEE Symposium on Security and Privacy, May 2007, May 2007. URL consultato il 5 febbraio 2007 (archiviato dall'url originale il 6 aprile 2008).
  65. ^ Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira, Obtaining the Threat Model for E-mail Phishing (PDF), su Applied Soft Computing, July 2011, DOI:10.1016/j.asoc.2011.06.016. URL consultato il 30 giugno 2016 (archiviato dall'url originale il 2 gennaio 2013).
  66. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya, Phishing E-mail Detection Based on Structural Properties (PDF), su NYS Cyber Security Symposium, March 2006 (archiviato dall'url originale il 16 febbraio 2008).
  67. ^ Ian Fette, Norman Sadeh, Anthony Tomasic, Learning to Detect Phishing Emails (PDF), su Carnegie Mellon University Technical Report CMU-ISRI-06-112, June 2006.
  68. ^ Landing another blow against email phishing (Google Online Security Blog), su googleonlinesecurity.blogspot.jp. URL consultato il 21 giugno 2012.
  69. ^ Anti-Phishing Working Group: Vendor Solutions, su Anti-Phishing Working Group. URL consultato il 6 luglio 2006 (archiviato dall'url originale il 31 gennaio 2011).
  70. ^ Robert McMillan, New sites let users find and report phishing, LinuxWorld, 28 marzo 2006 (archiviato dall'url originale il 19 gennaio 2009).
  71. ^ "Report phishing" page, Google
  72. ^ How to report phishing scams to Google Archiviato il 14 aprile 2013 in Archive.is. Consumer Scams.org
  73. ^ Bruce Schneier, PhishTank, su Schneier on Security, 5 ottobre 2006. URL consultato il 7 dicembre 2007 (archiviato il 31 gennaio 2011).
  74. ^ Using the smartphone to verify and sign online banking transactions, SafeSigner.
  75. ^ Joseph Steinberg, Why You Are At Risk Of Phishing Attacks, su Forbes. URL consultato il 14 novembre 2014.
  76. ^ Tribunale di Milano, sentenza del 10.12.2007 - est. Gamacchio (Giudice per l'udienza preliminare): cfr. R. Flor, Frodi identitiarie e diritto penale, in Riv. giurisp. econ. az., 2008, 4, p. 184; A. Sorgato, Il reato informatico: alcuni casi pratici, in Giur. pen., 2008, 11, p. 40
  77. ^ https://support.apple.com/it-it/HT204759 Riconoscere ed evitare i messaggi di phishing, sito ufficiale Apple, 8 febbraio 2022]
  78. ^ Tribunale di Milano, sentenza del 29.10.2008, est. Luerti (Giudice per l'udienza preliminare) in Corr. Mer., 2009, 3, pp. 285 e ss. con nota di F. Agnino, Computer crime e fattispecie penali tradizionali: quando il phishing integra il delitto di truffa
  79. ^ L. Ferrarella , Soldi trasferiti online. «È riciclaggio», in Corriere della Sera, 7 gennaio 2009
  80. ^ F. Tedeschi, Lotta al cybercrime. Intervista esclusiva al magistrato a caccia delle nuove mafie
  81. ^ S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali, Experta, 2011
  82. ^ F. Cajani, La tutela penale dell’identità digitale alla luce delle novità introdotte dal d.l. 14 agosto 2013 n. 93 (convertito con modificazioni dalla l. 15 ottobre 2013, n. 119), in Cassazione penale, 3, 2014, pp. 1094 ss.
  83. ^ Come riconoscere il Phishing, pandasecurity.it, 23 agosto 2018
  84. ^ Come difendersi dal Phishing, cybersecurity360.it, 29 maggio 2018
  85. ^ Anti-Phishing Working Group - Reports, su apwg.org.

Voci correlate

Altri progetti

Collegamenti esterni

Controllo di autoritàLCCN (ENsh2005003206 · GND (DE7515821-8 · J9U (ENHE987007549400805171