Da PC World Italia del 17/02/2006
Originale su http://www.pcw.it/showPage.php?template=attualita&id=1742
Il phishing dilaga mettendo a repentaglio l'e-commerce
La guerra tra "phisher" ed esperti di "anti-phishing" si fa sempre più sostenuta
di Paolo Pierini
Nell'ultimo anno il numero di attacchi di phishing è cresciuto vertiginosamente, con tutte le conseguenze negative che questo implica per lo sviluppo dell'e-commerce. Secondo un recente studio dei consulenti di Gartner Group, pubblicato nel giugno dello scorso anno, il numero di attacchi di phishing nel primo trimestre del 2005 era aumentato del 28% rispetto all'anno precedente; nel mese di ottobre 2005 molte aziende, tra cui BBVA, Bancaja, Citibank, Nordea, Bank of America, Vodafone e FIFA, hanno dovuto affrontare attacchi di phishing pressoché quotidiani.
I dati sotto riportati inducono a riflettere seriamente:
1. Il numero di tentativi di phishing dal 2004 al 2005 è aumentato del 28%
2. Nel solo 2004, quasi 2 milioni e mezzo di americani hanno subito perdite economiche a causa di attacchi di phishing
3. Di questi, il 15% è stato attaccato con phishing dopo aver cliccato su un link ricevuto via e-mail
4. Il 50% degli americani teme fortemente che persone non autorizzate possano aver accesso a informazioni personali e riservate che li riguardano
La crescita prevista nel 2005 per l’e-commerce in USA è stata comunque del 22,1%. Gli americani hanno speso circa 70 miliardi di euro attraverso transazioni online e nel 2006 la previsione è di 82 miliardi di euro.
“Gli hacker stanno continuamente affinando il loro operato, arrivando a utilizzare le tecniche più avanzate in modo da rendere sempre più difficile capire se un messaggio di posta elettronica provenga realmente dalla nostra banca, oppure da un criminale che sta tentando di rubare informazioni riservate. Se per questo motivo i clienti diventano diffidenti e non sono sicuri che il sito web su cui si trovano sia quello “legittimo” (per esempio una banca online) piuttosto che quello di un truffatore, questo rappresenta di certo una minaccia e un rischio per il futuro dell’e-commerce”, afferma Walter Brambilla, Country Manager di Norman Italia.
Un recente rapporto dell'Anti-Phishing Working Group (APWG), l'associazione di settore che si prefigge di combattere il phishing e il furto di identità online, evidenzia inoltre come i "phisher" stiano ampliando le proprie reti e abbandonando progressivamente le tradizionali istituzioni finanziarie per attaccare un numero molto più vasto di aziende. Secondo Peter Cassidy, segretario generale dell'APWG, è auspicabile che le istituzioni finanziarie acquisiscano l'esperienza necessaria per superare in astuzia gli stessi "phisher", così da adottare misure idonee a neutralizzare efficacemente le minacce rappresentate da subdoli attacchi di phishing sferrati sotto forma di e-mail indesiderate o spam.
È proprio per questo motivo che i "phisher" stanno cambiando bersaglio e indirizzando i loro attacchi verso organizzazioni più piccole e altri tipi di attività, tra cui persino i sistemi informatici delle aziende sanitarie.
I "phisher" inviano agli utenti messaggi di posta elettronica ingannevoli per convincerli a rivelare i loro dati bancari e ottenere così un vantaggio finanziario attraverso il furto d'identità o la frode. È sempre più difficile capire se una e-mail provenga effettivamente da una banca o se si tratti solo di un ulteriore tentativo di sottrarre informazioni con l'inganno.
Difendersi da questo tipo di minacce è sempre più complesso. La rapidità con cui gli hacker perfezionano le loro tecniche fraudolente combinandole con altre più sofisticate, quali cracking o trojan, rende le aziende sempre più vulnerabili a queste violazioni.
Esistono diversi tipi di phishing: dagli attacchi DNS al dirottamento degli URL (ossia al reindirizzamento degli utenti su un sito web o un computer fraudolento con pagine sostituite), dal phishing basato sull'instant messaging (nel quale gli hacker, attraverso messaggi istantanei, si fanno passare per conoscenti con l'obiettivo di estorcere i dati personali degli utenti), fino alle tecniche di "cross-site scripting" (la richiesta di informazioni sensibili attraverso finestre che riproducono perfettamente le pagine Web di noti istituti bancari). Al di là di questi metodi sofisticati, tuttavia, il principale strumento di diffusione degli attacchi di phishing rimane la posta elettronica, il cui capillare utilizzo non fa che aumentarne la pericolosità.
Questo dimostra, da un lato, che nessuno può dirsi immune dagli attacchi di phishing e dall'altro che è terribilmente difficile arrestare la crescita incessante di questo "business". Una e-mail non protetta è una porta spalancata all'ingresso di intrusi.
Il timore di rivelare informazioni personali a terzi non autorizzati sta inducendo milioni di utenti ad abbandonare l'e-commerce, se non addirittura a cambiare banca, con tutte le conseguenze finanziarie che tali decisioni possono implicare.
Per questo motivo è indispensabile essere sempre un passo avanti rispetto ai truffatori e sfruttare tutte le armi attualmente disponibili per vincere questa sfida: verificare sempre chi è il mittente di una e-mail prima di rivelare informazioni riservate o dati personali e proteggere sempre il computer attraverso l'installazione di strumenti di sicurezza affidabili e software appropriati. Ma soprattutto tenere costantemente alto il livello di guardia perché le violazioni sono sempre in agguato.
Sul mercato sono disponibili prodotti hardware e software con funzionalità antispam e antiphishing che rappresentano soluzioni valide e affidabili per ridurre i rischi cui sono esposti i sistemi informatici. I produttori di antivirus includono questo tipo di soluzioni nella propria gamma di prodotti e si impegnano ogni giorno per migliorare le funzionalità hardware e software disponibili per garantire all'utente la protezione delle aree vulnerabili maggiormente esposte al rischio di attacchi.
Non bisogna dimenticare che il phishing non è una moda passeggera, una tendenza del momento o una situazione temporanea che crea una schiera di nuovi ricchi pronti a sfruttare uno strumento innovativo per perpetrare l'ennesima frode: è vergognoso che un'applicazione tanto utile come la posta elettronica – da cui sempre più spesso è difficile prescindere – si stia trasformando in un veicolo fraudolento per carpire con l'inganno la fiducia degli utenti.
I dati sotto riportati inducono a riflettere seriamente:
1. Il numero di tentativi di phishing dal 2004 al 2005 è aumentato del 28%
2. Nel solo 2004, quasi 2 milioni e mezzo di americani hanno subito perdite economiche a causa di attacchi di phishing
3. Di questi, il 15% è stato attaccato con phishing dopo aver cliccato su un link ricevuto via e-mail
4. Il 50% degli americani teme fortemente che persone non autorizzate possano aver accesso a informazioni personali e riservate che li riguardano
La crescita prevista nel 2005 per l’e-commerce in USA è stata comunque del 22,1%. Gli americani hanno speso circa 70 miliardi di euro attraverso transazioni online e nel 2006 la previsione è di 82 miliardi di euro.
“Gli hacker stanno continuamente affinando il loro operato, arrivando a utilizzare le tecniche più avanzate in modo da rendere sempre più difficile capire se un messaggio di posta elettronica provenga realmente dalla nostra banca, oppure da un criminale che sta tentando di rubare informazioni riservate. Se per questo motivo i clienti diventano diffidenti e non sono sicuri che il sito web su cui si trovano sia quello “legittimo” (per esempio una banca online) piuttosto che quello di un truffatore, questo rappresenta di certo una minaccia e un rischio per il futuro dell’e-commerce”, afferma Walter Brambilla, Country Manager di Norman Italia.
Un recente rapporto dell'Anti-Phishing Working Group (APWG), l'associazione di settore che si prefigge di combattere il phishing e il furto di identità online, evidenzia inoltre come i "phisher" stiano ampliando le proprie reti e abbandonando progressivamente le tradizionali istituzioni finanziarie per attaccare un numero molto più vasto di aziende. Secondo Peter Cassidy, segretario generale dell'APWG, è auspicabile che le istituzioni finanziarie acquisiscano l'esperienza necessaria per superare in astuzia gli stessi "phisher", così da adottare misure idonee a neutralizzare efficacemente le minacce rappresentate da subdoli attacchi di phishing sferrati sotto forma di e-mail indesiderate o spam.
È proprio per questo motivo che i "phisher" stanno cambiando bersaglio e indirizzando i loro attacchi verso organizzazioni più piccole e altri tipi di attività, tra cui persino i sistemi informatici delle aziende sanitarie.
I "phisher" inviano agli utenti messaggi di posta elettronica ingannevoli per convincerli a rivelare i loro dati bancari e ottenere così un vantaggio finanziario attraverso il furto d'identità o la frode. È sempre più difficile capire se una e-mail provenga effettivamente da una banca o se si tratti solo di un ulteriore tentativo di sottrarre informazioni con l'inganno.
Difendersi da questo tipo di minacce è sempre più complesso. La rapidità con cui gli hacker perfezionano le loro tecniche fraudolente combinandole con altre più sofisticate, quali cracking o trojan, rende le aziende sempre più vulnerabili a queste violazioni.
Esistono diversi tipi di phishing: dagli attacchi DNS al dirottamento degli URL (ossia al reindirizzamento degli utenti su un sito web o un computer fraudolento con pagine sostituite), dal phishing basato sull'instant messaging (nel quale gli hacker, attraverso messaggi istantanei, si fanno passare per conoscenti con l'obiettivo di estorcere i dati personali degli utenti), fino alle tecniche di "cross-site scripting" (la richiesta di informazioni sensibili attraverso finestre che riproducono perfettamente le pagine Web di noti istituti bancari). Al di là di questi metodi sofisticati, tuttavia, il principale strumento di diffusione degli attacchi di phishing rimane la posta elettronica, il cui capillare utilizzo non fa che aumentarne la pericolosità.
Questo dimostra, da un lato, che nessuno può dirsi immune dagli attacchi di phishing e dall'altro che è terribilmente difficile arrestare la crescita incessante di questo "business". Una e-mail non protetta è una porta spalancata all'ingresso di intrusi.
Il timore di rivelare informazioni personali a terzi non autorizzati sta inducendo milioni di utenti ad abbandonare l'e-commerce, se non addirittura a cambiare banca, con tutte le conseguenze finanziarie che tali decisioni possono implicare.
Per questo motivo è indispensabile essere sempre un passo avanti rispetto ai truffatori e sfruttare tutte le armi attualmente disponibili per vincere questa sfida: verificare sempre chi è il mittente di una e-mail prima di rivelare informazioni riservate o dati personali e proteggere sempre il computer attraverso l'installazione di strumenti di sicurezza affidabili e software appropriati. Ma soprattutto tenere costantemente alto il livello di guardia perché le violazioni sono sempre in agguato.
Sul mercato sono disponibili prodotti hardware e software con funzionalità antispam e antiphishing che rappresentano soluzioni valide e affidabili per ridurre i rischi cui sono esposti i sistemi informatici. I produttori di antivirus includono questo tipo di soluzioni nella propria gamma di prodotti e si impegnano ogni giorno per migliorare le funzionalità hardware e software disponibili per garantire all'utente la protezione delle aree vulnerabili maggiormente esposte al rischio di attacchi.
Non bisogna dimenticare che il phishing non è una moda passeggera, una tendenza del momento o una situazione temporanea che crea una schiera di nuovi ricchi pronti a sfruttare uno strumento innovativo per perpetrare l'ennesima frode: è vergognoso che un'applicazione tanto utile come la posta elettronica – da cui sempre più spesso è difficile prescindere – si stia trasformando in un veicolo fraudolento per carpire con l'inganno la fiducia degli utenti.
Sullo stesso argomento
Articoli in archivio
di Pino Fondati su Il Sole 24 Ore del 13/11/2006
di Dario Bonacina su Punto Informatico del 26/06/2006
su Punto Informatico del 21/03/2006
News in archivio
Rilevati 157.447 messaggi dall'inizio del 2006
Phishing: in sei mesi aumento dell'81%
Sul dato diffuso da Sophos interviene l'associazioni Codici: ''Iniziamo a pensare alla tutela dei nostri cittadini, le sole vere vittime delle truffe''
Phishing: in sei mesi aumento dell'81%
Sul dato diffuso da Sophos interviene l'associazioni Codici: ''Iniziamo a pensare alla tutela dei nostri cittadini, le sole vere vittime delle truffe''
su Il Resto del Carlino del 06/11/2006
su Reuters del 25/09/2006
Phishing e Spoofing: è allarme
I dati dell'Anti Phishing Working Group relativi al mese di luglio evidenziano tassi di crescita record
I dati dell'Anti Phishing Working Group relativi al mese di luglio evidenziano tassi di crescita record
su PC Open del 12/09/2006
