S.O.S. truffe OnLine col Phishing, Sniffing e Spoofing

phishingIl futuro non si può arrestare e anche il Papà si sta adeguando all’irrefrenabile corsa nel mondo virtuale di Internet, utile per ogni tipo di attività, una bella invenzione ma purtroppo è anche il punto di partenza di vere e proprie associazioni a delinquere!

Ultimo caso di una banda con base nel palermitano ma con ramificazioni internazionali per carpire sul web migliaia di codici di carte di credito di utenti ignari, carte che venivano poi utilizzate per l’acquisto on line a prezzi ridotti di biglietti ferroviari, aerei e marittimi e di altri servizi.
Oppure gli oltre 36 milioni di euro rubati sui conti di 30 banche europee, si tratterebbe del primo caso di furto che ha preso specificatamente di mira le procedure di sicurezza sui servizi bancari via internet che sfruttano i cellulari.

Queste ed altre simili notizie continuano ogni giorno a impedire la normale evoluzione di Internet con i suoi aspetti di libertà e partecipazione sociale.

Ma vediamo nello specifico di quali metodologie fanno uso questi malfattori senza scrupoli.

Phishing:
In ambito informatico il phishing (“spillaggio (di dati sensibili)”, in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalità del furto d’identità mediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici.
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

A) l’utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
B) l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro.
C) l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
D) il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
D) il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Sniffing:
E’ l’attività di monitorare i pacchetti di rete che arrivano al proprio computer.
Ogni sistema su una rete IP scambia informazioni con altri sistemi tramite singoli pacchetti che hanno un IP sorgente e un IP destinazione.
Tipicamente viene fatto su una scheda ethernet, per la quale possono esistere due tipi di ambienti tipici:
– Rete shareata, dove tutte le schede di rete dei computer nella rete locale ricevono TUTTI i pacchetti, anche quelli destinati ad altri indirizzi IP.
– Rete switchata, dove ogni PC riceve solo i pacchetti di broadcast o quelli destinati al proprio IP.

Spoofing:
Lo spoofing è l’arte della contraffazione dei pacchetti, intendendo per pacchetto una qualsiasi sequenza di dati distinta trasmessa su una rete. In una rete di computer con il termine spoofing s’intende il sistema che permette di creare un pacchetto IP, ad hoc, nel quale viene falsificato l’indirizzo IP del mittente. Durante lo spoofing, infatti, l’attaccante autentica la propria macchina nella rete bersaglio usando i pacchetti che provengono da un host “fidato”.
Le tecniche di spoofing sono diverse, le più note e adoperate sono:
1-Spoofing dell’IP; 2-Spoofing del DNS; 3-Spoofing dell’ARP; 4-Spoofing del desktop; 5-Web spoofing; 6-SMS spoofing.

Alla luce di questi dati la domanda è d’obbligo: esiste una difesa adeguata?
La risposta e forse l’unica ed adeguata per ogni circostanza è da intendersi riferita a come ci comportiamo noi rispetto al mondo virtuale, in pratica siamo noi che dobbiamo essere al 100% sicuri di cosa stiamo facendo.
Pertanto attenzione ai messaggini che invitano a scaricare immagini, giochi, suonerie e a collegarsi a siti web come anche al sito di Poste Italiane, per verificare i propri dati.
In pratica oltre ai minimi accorgimenti alla sicurezza, vedi antivirus, firewall e antimalware, si deve fare attenzione che nel 99% dei casi i “truffatori” sfruttano l’ingenuità e l’inesperienza degli utenti,ignari e fiduciosi che essendo a casa e nel proprio PC o Cellulare sono al sicuro!!

Firmato: Sapiens
Sito web:
Twitter :

Sapiens

Autore: Sapiens

Biografia:

Tutto arriva ad una fine. (alexander fu sheng)



Contatti

Scrivi La Tua Opinione

*

Immagine CAPTCHA

*