+393662647727 [email protected]

Phishing, come accorgersi dei tentativi di truffa

Phishing0Il Phishing è un tipo di truffa che avviene mediante la rete internet. In poche parole consiste nel “aggirare” la buona fede dei titolari delle carte di credito inviandogli una e-mail con la richiesta di aggiornare le credenziali di accesso al portale titolare della carta di credito (es. Visa, Cartasi, Maestro, etc etc)

Di seguito ti riporto la schermata della mia cartella “SPAM” di Gmail, nella quale si può vedere l’eccellente “lavoro” del filtro attuato da BigG! Nel riquadro rosso ho evidenziato la mail che andremo ad analizzare in questo articolo.

Phishing1

Aprendo l’e-mail evidenziata, appare questa schermata

Phishing2

Come si può vedere dall’immagine sopra, ho evidenziato il link “Procedi con la conferma” e passandoci il mouse sopra senza cliccare, in basso a sinistra appare il VERO link di destinazione. In questo caso, l’organizzazione criminale sta usando come destinazione il server di una notissima WebFarm italiana, dove è stato installato il cms WordPress per creare il sito di un ristorante in provincia di Pavia.

Se clicco sul link “Procedi con la conferma“, il browser apre una finestra che, all’apparenza sembra la pagina ufficiale del portale di CartaSi in questo caso:

Phishing3

ma in realtà, come ho evidenziato nell’immagine sopra con il riquadro rosso, non sono stato reindirizzato al VERO sito di Cartasi, sono stato reindirizzato sul sito del ristorante che in questo momento sta “ospitando” una piccola porzione di codice Javascript che, una volta inseriti tutti i dati, gli stessi saranno nelle mani dell’organizzazione criminale che poi deciderà di farne ciò che preferisce.

Di seguito ho riportato la VERA pagina HOME del sito web di Cartasi

Phishing5

Qui sotto puoi vedere la schermata Home del vero sito che sta ospitando il codice “malevolo” per frodare gli ignari titolari di carta di credito.

Phishing4

COME DIFENDERSI?

Difendersi da questo tipo di tentativi di truffa, seppur possa sembrare difficile, è una delle cose più semplici del mondo: BASTA PRESTARE ATTENZIONE a quello che si fà sul web. Uno degli scopi che mi sono prefissato quando ho aperto questo blog, è proprio quello di mettere a disposizione la mia esperienza a disposizione di tutti ed aiutare gli utenti ad usare la rete in modo consapevole e cosciente perché le minacce sono sempre in agguato e sempre pronte a tramutarsi in danni veri e propri.

Automatizzare le proprie abitudini o i propri usi e costumi è uno degli errori maggiori che si possano commettere. A volte basta davvero poco, ossia prestare un pò di attenzione e si possono evitare disastri “economici”. Sui siti delle aziende/circuiti che emettono carte di credito, sono presenti moltissime informazioni sul “come” scoprire se si riceve una e-mail con un tentativo di phishing e sul “cosa” fare per evitare di cadere nelle grinfie di queste organizzazioni criminali.

COSA FA LA POLIZIA POSTALE?

In casi come questi, la Polizia Postale o gli altri organi di Polizia, hanno ben pochi margini di operatività, perché gli “attacchi” per “bucare” i server innocenti e innocui avvengono dall’estero (in particolar modo dall’Est Europa, Ex Federazione Russa, etc. etc.), o se avvengono dall’Italia, i criminali utilizzano tecniche di “anonimizzazione”, quindi le difficoltà che si possono incontrare a livello operativo sono davvero tante….

Senza paura di smentita, posso tranquillamente affermare che, non sempre sono i cattivi a vincere!!! Anzi, l’adagio popolare “Il guerriero che fugge è buono per un altra battaglia” è quanto mai appropriato.

Anche se può sembrare alquanto retorico, un dei consigli FONDAMENTALI che mi sento di dare a chi si occupa di realizzare siti web, è quello di tenere SEMPRE aggiornata la versione del CMS che si utilizza, in questo caso si stava utilizzando la versione 3.8.8 di WordPress che, mentre scrivo è giunto alla versione 4.3.

Spesso, sempre più spesso purtroppo, chi di professione lavora con il web (webmaster, social media manager, agenzie di webmarketing e chi più ne ha, più ne metta), si preoccupa solo ed esclusivamente di monetizzare le ore di lavoro che si impiegano per fare i siti web, senza quasi mai occuparsi del post-produzione, quando basterebbe davvero poca attenzione per mantenere aggiornate le piattaforme dei siti e dedicare un pò di cura nel coccolare i clienti in modo da  fidelizzarli e fargli vedere che il vostro non è solo un lavoro ma una vera e propria passione!

P.S.

Nel caso di specie, il webmaster del sito, il titolare dell’attività proprietaria del sito, sono stati prontamente avvisati ed hanno provveduto a rimuovere la pagina web e a tappare la falla che è stata utilizzata per bucare il server.