Phishing: a Venezia primo esperimento ‘live’. I risultati? Preoccupanti

di |

Italia


Phishing

Il phishing è una tecnica sempre più utilizzata dai criminali informatici per carpire a ignari utenti informazioni riservate quali password o numeri di carta di credito e usarle per perpetrare truffe online, ma non tutti conoscono le sue insidie, o almeno non fino in fondo.

 

L’inganno viene in genere compiuto mediante una falsa email che finge di essere inviata da un’organizzazione autorevole (di preferenza una banca) e contiene la richiesta di fornire informazioni personali adducendo le motivazioni più fantasiose. Numerosissime, in Italia e nel mondo, le persone che negli ultimi mesi sono state vittime di tale inganno, che rientra nella categoria del cosiddetto “social engineering“, ovvero fa leva sulla buona fede degli individui.

 

Per sensibilizzare le persone sulla necessità di essere molto cauti nel fornire informazioni personali, RSA Security e il mensile “Focus” hanno voluto replicare anche in Italia l’iniziativa “Live Phishing” già condotta a New York nell’agosto dell’anno scorso.

Come indica il nome dell’esperimento, si voleva verificare se anche nel mondo reale fosse così facile come in quello digitale indurre le persone a fornire informazioni riservate a sconosciuti. I risultati sono stati sorprendenti e…preoccupanti!

 

L’esperimento italiano è stato condotto il 4 e 5 febbraio scorsi a Venezia e, proprio come a New York, sono stati coinvolti solo turisti, per un totale di 100 intervistati ai quali sono state rivolte 20 domande, che comprendevano la richiesta di fornire informazioni quali indirizzo completo (con la scusa di voler inviare il catalogo di proposte turistiche di SicurTravel), telefono, cellulare ed email.

 

Proprio come avviene con il phishing perpetrato online dove le vittime vengono ingannate da mail apparentemente veritiere, anche per il phishing in Laguna gli intervistati venivano depistati dalla presenza di domande assolutamente innocue sulle preferenze turistiche inframmezzate a domande di carattere personale. Queste ultime, si supponeva, avrebbero dovuto generare dei sospetti perché non in linea con il presunto intento del sondaggio. Invece, sorprendentemente, solo 1 su 100 non ha “mangiato la foglia” rifiutandosi di rispondere, mentre tutti gli altri, chi più chi meno, hanno fornito risposte anche alle domande più personali.

 

Quasi tutti sono stati più che lieti di fornire nome, cognome, data di nascita e perfino il nome dei propri figli, degli animali domestici e addirittura il cognome da nubile della madre. Ovviamente le domande erano state scelte pensando alle informazioni più spesso (purtroppo) usate come password nel mondo web.

 

Ovviamente, al completamento del falso questionario, le risposte fornite sono state restituite all’intervistato – registrando in modo anonimo solo quante persone avevano fornito risposta a quali domande – cui è stato spiegato che si trattava solo di un esperimento volto a sensibilizzare le persone sui rischi di fornire informazioni personali a sconosciuti. A tutti è stata inoltre consegnata una mini-guida con consigli su come difendersi dal phishing online e, naturalmente, la copia gratuita di “Focus” promessa.

 

La copia omaggio della rivista era un’esca che si è rivelata estremamente efficace. Dai risultati, è infatti emerso che anche in Italia la semplice promessa di un omaggio porta troppe persone a fornire con noncuranza preziose informazioni personali, con risultati sostanzialmente uguali – in taluni casi addirittura più preoccupanti – di quelli registrati a New York.

Nel dettaglio, il 99% degli intervistati ha fornito il proprio nome e il 94% anche il cognome: peggio degli americani, che ‘solo’ nell’85% dei casi hanno comunicato queste informazioni.

Oltre il 90% ha fornito data e luogo di nascita: stessa percentuale registrata a New York.

 

Il 77% degli intervistati ha fornito il cognome da nubile della madre (a New York la percentuale era intorno al 70%). Un dato preoccupante, se consideriamo che questa informazione è spesso inclusa tra le domande di default fatte agli utenti che dimenticano la propria password!

 

Un po’ più di riserbo vi è stato nel fornire indirizzo ed email: solo il 41% degli intervistati ha rilasciato l’indirizzo e meno del 25% ha fornito telefono ed email, mentre negli USA queste informazioni sono state rilasciate dall’85% degli intervistati. Interessante però il fatto che a spingere i nostri connazionali a non rilasciare questi dati è stato – come da loro dichiarato – solo il timore di venire sommersi da pubblicità e volantini: non certo motivi di sicurezza, dunque!

 

Il 94% ha infine comunicato serenamente la squadra di calcio preferita, senza pensare come questa informazione sia una delle più comuni tra quelle usate come password, mentre il 91% delle persone ha fornito tranquillamente il nome del proprio animale domestico; l’85% non ha esitato a dare il proprio secondo nome o addirittura il nome dei propri figli

 

“Questa indagine dimostra come il fattore umano sia ancora la causa principale del dilagare delle truffe online, a danno di utenti e di aziende”, ha commentato Massimo Vulpiani, Country Manager di RSA Security Italia. “L’introduzione della legge 196 per la tutela delle persone e il trattamento dei dati personali ha contribuito a sensibilizzare gli individui sull’importanza della riservatezza delle informazioni personali ma, nonostante ciò, la strada da fare è ancora molta. Senza dubbio la responsabilità di proteggere le identità online non è legata solo ed esclusivamente ai singoli individui: qualsiasi azienda che si trova a gestire business online ha il dovere di proteggere le informazioni personali relative ai propri clienti di cui viene a conoscenza. Con la vasta offerta di soluzioni di autenticazione oggi disponibili, non ci sono più scuse per giustificare l’esposizione degli utenti a rischi che possono essere evitati”.  

 

Effettivamente, molti intervistati si sono richiamati alla privacy per non fornire talune informazioni, ma poi le stesse persone ne hanno rivelate altre – come il cognome da nubile della madre o il nome dei propri figli – altrettanto personali e spesso usate come password perché facili da ricordare.  

 

“Quasi ogni giorno ci arrivano in redazione segnalazioni di lettori che ricevono richieste di dati personali, informazioni sul conto corrente o sulle abitudini di acquisto: nella quasi totalità dei casi si tratta di truffe. Questo ci ha spinto a realizzare l’inchiesta. Perché la principale arma di difesa contro il phishing è già nelle nostre mani: dobbiamo imparare a non divulgare le informazioni personali che ci riguardano, anche se ci sembrano dati banali”, ha dichiarato Sandro Boeri, Direttore di Focus.

 

Ma l’intento dell’esperimento non era solo di dimostrare quanto sia facile approfittare della buona fede delle persone, ma anche di sensibilizzare le stesse sull’esigenza di tutelare con attenzione la propria identità. Per questo motivo, a tutti gli intervistati è stata fornita una breve guida di auto-difesa, che riportiamo qui di seguito e che è disponibile sul sito Focus.

10 consigli per proteggersi dai furti di identità

  1. Non comunicare a nessuno le tue password e come le crei e soprattutto non annotarle mai su fogli e foglietti alla portata di chiunque.

  2. Cerca di non usare sempre la stessa password per accedere a siti e servizi diversi e comunque modificala regolarmente: al minimo ogni 90 giorni.

  3. Usa password lunghe almeno 8 caratteri e alfanumeriche. Evita di usare parole di uso comune o informazioni personali.

  4. Evita di usare come password la stessa parola usata come login e combinazioni di lettere di tasti vicini sulla tastiera.

  5. Sii cauto nel fornire a sconosciuti informazioni personali apparentemente innocue quali la tua data di nascita perché potrebbero essere usate per indovinare le tue password.

  6. Se ti vengono chieste informazioni personali – nome, email, indirizzo, telefono, numero di conto corrente – verifica l’utilizzo che ne verrà fatto, se verranno protette e non saranno condivise con nessuno.

  7. Verifica sempre l’identità di chi – società o persona – ti chiede informazioni personali: se è in buona fede, non avrà problemi a fornire telefono e indirizzo fisico per consentirti di fare delle verifiche. Diversamente: diffida!

  8. Chiedi al tuo service provider (banca online o Internet provider) se offre strumenti più sicuri delle password per proteggere i tuoi conti correnti e account online dall’accesso non autorizzato.

  9. Quando fai acquisti online, verifica che sul bordo inferiore del browser appaia l’icona di un lucchetto. Ciò indica che la connessione e’ protetta. Inoltre verifica, cliccando due volte sul lucchetto, che all’interno della finestra appena comparsa sia presente lo stesso nome del sito web a cui sei collegato per usufruire del servizio.

  10. Non farti ingannare da email apparentemente innocenti ma in realtà assurde: banche e altre organizzazioni serie non chiedono mai via email dati riservati come password e numeri di conto corrente dei propri clienti. (a.t.)

Leggi le altre notizie sull’home page di Key4biz

Key4Biz

Quotidiano online sulla digital economy e la cultura del futuro

Direttore: Luigi Garofalo

© 2002-2024 - Registrazione n. 121/2002. Tribunale di Lamezia Terme - ROC n. 26714 del 5 ottobre 2016

Editore Supercom - P. Iva 02681090425

Alcune delle foto presenti su Key4biz.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare alla redazione inviando una email a redazione@key4biz.it che provvederà prontamente alla rimozione delle immagini utilizzate.

Netalia