Giovedí 15 Ottobre 2009
| |||||||||||||||||||
Kevin Poulsen È UNO DEGLI HACKER STORICI: SI È SPINTO A CONTROLLARE TUTTE LE LINEE TELEFONICHE DI UNA RADIO. OGGI FA IL CONSULENTE E L'EDITORIALISTA
L'ASSEDIO NELLA reteDI UMBERTO RAPETTO
L'evoluzione della truffa L'inganno in una mail Phishing. Le credenziali dell'intestatario di un conto online vengono acquisite traendo in errore l'utente con un messaggio di posta elettronica che induce a collegarsi al sito della banca per effettuare verifiche o riscontri urgenti. La vittima del raggiro – sfruttando un link inserito nel testo della mail – finisce su un sito graficamente identico a quello originale e si convince di trovarsi dinanzi al proprio sportello bancario virtuale. Sullo schermo gli appare la richiesta di inserire account e password e subito dopo vede visualizzata una pagina che segnala un momentaneo malfunzionamento del sistema e invita a riprovare la connessione in un momento successivo: nel frattempo i dati che sono stati incautamente digitati sono finiti nelle mani dei truffatori...Il maligno è nel programma Malware, virus e trojan. Chi vuole sottrarre l'identificativo del titolare di un conto corrente online e la parola chiave necessaria per essere autorizzati a compiere operazioni sulla posizione bancaria sa di poter contare su malware, virus informatici e «cavalli di Troia». I programmi maligni vengono "recapitati" ai soggetti-bersaglio con le più diverse modalità: attraverso allegati inviati con la posta elettronica, mediante pagine web opportunamente infettate, per mezzo di software gratuiti al cui interno sono inserite istruzioni nocive. La loro attivazione manda in esecuzione una serie di operazioni che consentono di catturare le password e ogni altro elemento utile (banca, numero del conto, account telematico) che vengono inviate a chi ha architettato il piano, a cui vengono spedite anche le eventuali nuove parole chiave cambiate in luogo delle precedenti.Insidiati anche sul cellulare Vishing. È una truffa che trasforma in boomerang il sistema di sicurezza degli sms di allerta che segnalano avvenute transazioni ai titolari di carte di credito. Un falso messaggio giunge sul telefonino del malcapitato, comunica l'addebito di una cifra elevata per un acquisto fatto all'estero, invita il destinatario a mettersi in contatto con il servizio assistenza per l'eventuale disconoscimento dell'operazione, fornisce il numero del presunto call center cui rivolgersi. Chi riceve l'sms non esita a fare clic sul finto numero verde (sovente un 899). Dall'altra parte una voce registrata gli dice di digitare il numero della carta, la data di scadenza, il numero Ccv riportato sul retro... e il gioco è fatto: i banditi riutilizzeranno quei dati su internet o li venderanno online. Il congegno che ti spia Keylogger. Esistono dispositivi di ridottissime dimensioni in grado di memorizzare quanto digitato dall'utente e di carpire quindi le informazioni più segrete come ad esempio la password di un conto online. Questi infernali aggeggi, simili ai comuni adattatori Pin/Usb, vengono interposti tra lo spinotto del cavo della tastiera e relativa presa del computer. La ridotta dimensione e la colorazione nelle tinte tipiche dei connettori normalmente in uso rendono pressoché invisibili il congegno-spia. Chi ha installato di nascosto il keylogger lo recupera e nel giro di pochi minuti può sapere quanto la sua vittima avrebbe voluto mantenere riservato. Il keylogger può essere letto come una qualunque pendrive o flash-memory. L'arte di camuffarsi Spoofing. È l'arte del camuffamento e il suo nome ha radici storiche non legate al mondo delle tecnologie e ancor meno a internet. «Spoof» era un gioco d'inganni e di misteri inventato dal commediografo inglese Arthur Roberts a fine '800. Oggi lo "spoofer", ovvero chi adopera tecniche di spoofing, è il soggetto che – falsificando dati e protocolli di comunicazione – cerca a tutti i costi di apparire un'altra persona o di accedere a sistemi per i quali non dispone delle necessarie autorizzazioni. Esistono molte varianti di questa tecnica che, prendendo di mira siti web, server di posta elettronica e intere reti, consentono ai malintenzionati di sostituirsi a utenti legittimati e di agire in nome e per conto loro.
Tutti i rischi per le banche
2 Attacchi personalizzati. Gli attacchi si fanno sempre più mirati, utilizzando dati acquisiti in precedenti azioni a danno di aziende e banche e spesso confluiti in ciclopici database demografici in concorrenza con quelli ufficialmente utilizzati dalle istituzioni. La "schedatura" di milioni di utenti consente di avvicinare chiunque mostrando una conoscenza personale talmente dettagliata da entrare in confidenza con la potenziale vittima e proporre opportunità finanziarie apparentemente legate a un istituto di credito che poi si traducono in truffe. 3 La strategia della lentezza. I migliori firewall, i più efficaci sistemi di intrusion detection e le più cerbere tecnologie di monitoraggio delle insidie si mostrano inutili quando un computer viene preso di mira dal "low and slow attack" che – mutuando il principio del "gutta cavat lapidem" – non agisce nei consueti pochi minuti, ma si infiltra nel giro di settimane o addirittura mesi. I malfattori violano i sistemi informatici bancari e, invece di dar luogo a una eclatante rapina telematica, si "siedono" e aspettano. Le tracce dell'intrusione diventano "lontane" dalla sottrazione di fondi o dalla ciclopica truffa e ricostruire l'accaduto sarà difficile o impossibile. 4 Minaccia dall'interno. Il nemico numero uno continua a essere l'insider, magari l'insospettabile dipendente che – dietro un serafico atteggiamento nei confronti del mondo circostante – è pronto a colpire approfittando di buchi procedurali che è possibile scorgere solo lavorando all'interno della struttura. Il problema è esasperato dal diffondersi del ricorso a soluzioni di outsourcing e al personale assunto con brevi contratti a termine: se l'esternalizzazione fa perdere il controllo di certe attività, un precario senza prospettive può agire per lucro o anche solo per vendetta. 5 Mancanza d'informazione. Nessuno insiste nell'opera di sensibilizzazione dei "cittadini della rete" e ancor meno ci si preoccupa di istruire e allertare clienti e dipendenti delle realtà finanziarie dal rischio cui si va incontro visitando (anche involontariamente) siti truffaldini che imitano quelli delle banche o altri web che magari promettono musica e film gratuiti in barba al diritto d'autore: chi casca in quelle trappole, anche se non digita password o codici segreti, si ritrova infettato da virus e cavalli di Troia capaci di rubare con tutta calma le informazioni riservate. (Schede a cura di Umberto Rapetto)
|