I rischi per utenti generici e
cyber-criminali
di Andrea Sicco
Il numero di transazioni mediante carte
di credito, conti correnti online e dispositivi mobili è in
vertiginoso aumento. Si ipotizza infatti che nel 2020 più della metà
degli acquisti con relativi pagamenti online avverrà mediante
l'adozione di tecnologia mobile... C'è più di una ragione, quindi,
per monitorare, rendere più efficienti e sicuri questi nuovi sistemi
da parte dei produttori di hardware e, soprattutto, di software.
I sistemi 3-D SECURE "MASTERCARD
SECURECODE" o "VERIFIED VISA", per esempio, non sarebbero
ritenuti dagli esperti totalmente sicuri. Infatti, durante una
consueta fase di transazione, anziché generare una nuova password
(un nuovo TAN sicuro) per ciascun nuovo pagamento, verrebbe richiesta
sempre la stessa. Il sistema 3-D SECURE, peraltro, interviene
esclusivamente nei pagamenti online e non in altri frangenti, come
nel caso in cui il cliente digiti le proprie credenziali convinto di
adempiere ad una procedura tradizionale ma, in realtà, si ritrova a
compilare moduli predisposti ad hoc ed "appoggiati", da
cyber-criminali registrati con credenziali attendibili ma
appartenenti ad altre persone, a siti Web fraudolenti di "smistamento
dei dati appena acquisiti" verso altri siti Web con incarichi
diversificati, dislocati in altri paesi rispetto al server di
partenza e con ulteriori funzioni gestionali. Con l'introduzione, da
parte di molti istituti di credito, di piccoli dispositivi
elettronici generatori di password a sequenza numerica variabile, da
utilizzare oltre alla tradizionale password, la situazione è
comunque migliorata. Tuttavia, non è ancora consigliabile la
gestione di un "generatore di password" tramite dispositivi
mobili, onde evitare brutte sorprese all'utente finale, per esempio,
a causa della presenza di processi "spioni", auto-installati e
già in esecuzione.
Il tanto amato nonchè vecchio "phishing",
è tuttora uno dei metodi principali utilizzato dai pirati
informatici per acquisire credenziali altrui e si esplica inviando
messaggi perentori, talvolta dall'accento autoritario ed
intimidatorio (solitamente tramite e-mail) e simulando tradizionali
richieste di inserimento e di conferma dei propri dati. I messaggi
inviati (talvolta con qualche errore grammaticale e di ortografia
generato automaticamente dal software traduttore utilizzato)
introducono a moduli uguali (o quasi) a quelli della propria banca
e/o del proprio ufficio postale ma, anziché essere collegati ai
rispettivi ed autentici siti Web, trasmettono i dati inseriti a
pagine di siti Web pericolosi, creati per acquisire credenziali di
accesso, informazioni, password di carte di credito e di conti
correnti della vittima. Secondo le ultime tendenze del
cyber-crimine, i prelevamenti, ai danni delle prede cadute nella
rete, non sarebbero più costituiti da ingenti importi provenienti
da un numero ridotto di conti correnti ma corrisponderebbero a
piccole somme di denaro provenienti da un numero sempre più elevato
di carte di credito e conti correnti online.
Le improvvisazioni da parte di un
cyber-criminale alle prime armi, costituiscono comunque elementi di
aiuto per gli esperti, soprattutto nel comprendere e delineare, con
sorprendente precisione, la sua esperienza con lo strumento
utilizzato, carenze e competenze. Di particolare interesse il
tracciato che i malintenzionati più smaliziati e navigati percorrono
nel predisporre un attacco e/o una fuga online. Metodi,
scelte, decisioni, abitudini e orari di accesso alla rete, forniscono informazioni tali da
poter comprendere se la persona che sta agendo è o non è la stessa,
indipendentemente dall'indirizzo offuscato e dinamico utilizzato e
dal fittizio luogo geolocalizzabile.
Chi avesse ricevuto sulla propria
e-mail avvisi come quelli sopra menzionati, e quindi non provenienti
dalla propria banca e/o ufficio postale, è invitato pertanto a
recarsi presso le rispettive sedi per chiedere spiegazioni...
ovviamente senza rispondere, nè compilare quello che è stato
inviato e richiesto online.
Ci preme sottolineare che alcuni
istituti di credito hanno già attivato servizi di prevenzione e
sicurezza anche per individuare i responsabili delle presunte truffe
online.
3/01/2013 06:19:00 PM
0 Responses to "Ignoranza criminale online"
Posta un commento