Internet: In particolare il "phishing" è la tecnica usata dai cybercriminali per carpire, mediante false email di mittenti "autorevoli" come le banche, a ignari utenti

Internet: In particolare il "phishing" è la tecnica usata dai cybercriminali per carpire, mediante false email di mittenti "autorevoli" come le banche, a ignari utenti informazioni riservate quali password o numeri di carta di credito. Ma anche di persona spesso non si è capaci di dire di no a chi chiede, senza motivo e titolo, i nostri dati: l´allarme viene da una indagine-esperimento condotta a Venezia da RSA Security (società del settore sicurezza on line)e dal mensile Focus: falsi intervistatori hanno avvicinato turisti a spasso per Venezia con la scusa di un sondaggio. Promettendo una copia del giornale in omaggio, sono state raccolte con facilità una grande quantità di informazioni di carattere personale. L´esperimento, già realizzato anche a New York, ha dimostrato che il 99% degli intervistati ha dato il nome e il 41% anche l´indirizzo, risultati definiti "sorprendenti e preoccupanti". Il questionario, con domande generiche sul turismo e più specifiche sull´identità e le preferenze degli intervistati, usato a New York e a Venezia era sostanzialmente identico, così come lo era il target, composto da 100 turisti in visita alla città. Solo la messinscena, atta a infondere sicurezza negli intervistati, differiva: nell´edizione newyorkese, gli intervistatori indossavano magliette con la scritta "I LOVE NY" e in cambio delle risposte promettevano la partecipazione a un concorso a premi, mentre per i falsi intervistatori veneziani è stata messa a punto una divisa con in bella vista il logo dell´inesistente tour operator SicurTravel, che si è finto essere promotore di un sondaggio mirato a verificare le preferenze turistiche degli ignari intervistati. Proprio come avviene con il phishing perpetrato online dove le vittime vengono ingannate da mail apparentemente veritiere, anche per il phishing in Laguna gli intervistati venivano depistati dalla presenza di domande assolutamente innocue sulle preferenze turistiche inframmezzate a domande di carattere personale. Queste ultime, si supponeva, avrebbero dovuto generare dei sospetti perchè non in linea con il presunto intento del sondaggio. Invece, sorprendentemente, solo 1 intervistato su 100 si è rifiutato di rispondere, mentre tutti gli altri, chi più chi meno, hanno fornito risposte anche alle domande più personali. Quasi tutti sono stati più che lieti di fornire nome, cognome, data di nascita e perfino il nome dei propri figli, degli animali domestici e addirittura il cognome da nubile della madre. Ovviamente le domande erano state scelte pensando alle informazioni più spesso usate come password nel mondo web. "Si tratta di un´indagine a pagamento? Se mi chiedete soldi vi dico subito che non mi interessa!". Questa l´unica obiezione sollevata da qualche turista, timoroso che potesse esserci dietro una richiesta economica. Ma una volta rassicurati, ben pochi intervistati si sono tirati indietro, lieti di contribuire a un apparentemente innocuo sondaggio sulle preferenze dei turisti. Tra le 20 domande, anche l´indirizzo completo (con la scusa di voler inviare il catalogo di proposte turistiche di SicurTravel), telefono, cellulare ed email. Ovviamente, al completamento del falso questionario, le risposte fornite sono state restituite all´intervistato - registrando in modo anonimo solo quante persone avevano fornito risposta a quali domande -cui è stato spiegato che si trattava solo di un esperimento volto a sensibilizzare le persone sui rischi di fornire informazioni personali a sconosciuti. A tutti è stata inoltre consegnata una mini-guida con consigli su come difendersi dal phishing online e la copia gratuita del mensile: dai risultati, è emerso che anche in Italia la semplice promessa di un omaggio porta troppe persone a fornire con noncuranza preziose informazioni personali, con risultati sostanzialmente uguali, in taluni casi addirittura più preoccupanti, di quelli registrati a New York. Il 77% degli intervistati, per esempio, ha fornito il cognome da nubile della madre (a New York la percentuale era intorno al 70%). Un dato preoccupante, considerato che questa informazione è spesso inclusa tra le domande di default fatte agli utenti che dimenticano la propria password. Un po´ più di riserbo vi è stato nel fornire indirizzo ed email: solo il 41% degli intervistati ha rilasciato l´indirizzo e meno del 25% ha fornito telefono ed email, mentre negli USA queste informazioni sono state rilasciate dall´85% degli intervistati. Ma a Venezia i dati non sono stati dati solo per il timore di venire sommersi da pubblicità e volantini: non certo motivi di sicurezza. L´85%, infine, non ha esitato a dare il proprio secondo nome o addirittura il nome dei propri figli. "Questa indagine dimostra come il fattore umano sia ancora la causa principale del dilagare delle truffe online, a danno di utenti e di aziende" spiega Massimo Vulpiani, Country Manager di RSA Security Italia. IL DECALOGO PER PROTEGGERSI DA FURTI DI IDENTITA´ SUL WEB Mai accettare domande dagli sconosciuti, per non dare informazioni che possano essere utili per violare la propria identità digitale e reale. Ecco di seguito il decalogo di RSA Security e di Focus, diffuso in occasione della presentazione dell´indagine-esperimento di Venezia: 1. Non comunicare a nessuno le tue password e come le crei e soprattutto non annotarle mai su fogli e foglietti alla portata di chiunque. 2. Cerca di non usare sempre la stessa password per accedere a siti e servizi diversi e comunque modificala regolarmente: al minimo ogni 90 giorni. 3. Usa password lunghe almeno 8 caratteri e alfanumeriche. Evita di usare parole di uso comune o informazioni personali. 4. Evita di usare come password la stessa parola usata come login e combinazioni di lettere di tasti vicini sulla tastiera. 5. Sii cauto nel fornire a sconosciuti informazioni personali apparentemente innocue quali la tua data di nascita perchè potrebbero essere usate per indovinare le tue password. 6. Se ti vengono chieste informazioni personali - nome, email, indirizzo, telefono, numero di conto corrente - verifica l´utilizzo che ne verrà fatto, se verranno protette e non saranno condivise con nessuno. 7. Verifica sempre l´identità di chi - società o persona - ti chiede informazioni personali: se è in buona fede, non avrà problemi a fornire telefono e indirizzo fisico per consentirti di fare delle verifiche. Diversamente: diffida. 8. Chiedi al tuo service provider (banca online o Internet provider) se offre strumenti più sicuri delle password per proteggere i tuoi conti correnti e account online dall´accesso non autorizzato. 9. Quando fai acquisti online, verifica che sul bordo inferiore del browser appaia l´icona di un lucchetto. Cià indica che la connessione è protetta. Inoltre verifica, cliccando due volte sul lucchetto, che all´interno della finestra appena comparsa sia presente lo stesso nome del sito web a cui sei collegato per usufruire del servizio. 10. Non farti ingannare da email apparentemente innocenti ma in realtà assurde: banche e altre organizzazioni serie non chiedono mai via email dati riservati come password e numeri di conto corrente dei propri clienti.,

Condividi