Phishing: differenze tra le versioni

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Riga 236: Riga 236:
# il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
# il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Talora, l'[[Posta elettronica|e-mail]] contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore finanziario o ''financial manager''), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi ri-trasferite all'estero tramite sistemi di ''money trasfert'' (Western Union o Money Gram), trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il ''phishing'', per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di [[Riciclaggio di denaro|riciclaggio di denaro sporco]]. Quest'attività comporta per il ''phisher'' la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti [[Conto corrente|conti correnti]] e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una [[rogatoria]] e l'apertura di un procedimento presso la [[Magistratura (diritto)|magistratura]] locale di ogni Paese interessato<ref>{{Cita libro|autore=F.Cajani, G. Costabile, G. Mazzaraco|titolo=Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè|anno=2008|editore=|città=}}</ref>.
Talora, l'[[Posta elettronica|e-mail]] contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore finanziario o ''financial manager''), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi ri-trasferite all'estero tramite sistemi di ''money trasfert'' (Western Union o Money Gram), trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il ''phishing'', per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di [[Riciclaggio di denaro|riciclaggio di denaro sporco]]. Quest'attività comporta per il ''phisher'' la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti [[Conto corrente|conti correnti]] e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una [[rogatoria]] e l'apertura di un procedimento presso la [[Magistratura (diritto)|magistratura]] locale di ogni Paese interessato<ref>{{Cita libro|autore=F.Cajani, G. Costabile, G. Mazzaraco|titolo=Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè|anno=2008|editore=|città=}}</ref>.

Sono anche stati segnalati casi in cui i malintenzionati si fingono [[Ispettore#Forze di Polizia|ispettori di polizia]] ([[FBI]], [[Interpol]] ecc.) o responsabili della [[sicurezza informatica]] di grandi aziende ([[Google]], [[Microsoft]] ecc.), che esortano la vittima a inviare una serie di dati personali per "collaborare" nella ricerca di presunti criminali internazionali — che, in questo caso, sono completamente inventati. Gli indirizzi email (o web) del malintenzionato tendono ad assomigliare a quelli degli enti sopraccitati, per esempio contenendo la parola "fbi" o "google".<ref>{{cita web |url=https://giuseppemacario.men/fbi-interpol-scam-fraud-wanted-fake-news.html |titolo=Interpol and FBI's websites confirm: "Giuseppe Macario is wanted" is fake news |accesso=27 dicembre 2017 |lingua=en}}</ref>


====Lista dei tipi di phishing====
====Lista dei tipi di phishing====

Versione delle 23:20, 27 dic 2017

Un esempio di mail di phishing, che si finge da una banca fittizia. Il mittente cerca di ingannare il destinatario facendogli mettere le sue credenziali sul sito del phisher. Nota: anche se l'URL può sembrare legittimo non è detto che lo sia (il link può infatti mandare ad un indirizzo differente)

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.[1][2]

Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come Facebook, Twitter, e Google+. Degli hacker potrebbero infatti creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali.

Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese),[3] probabilmente influenzato da phreaking[4][5] e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio leet, nel quale la lettera f è comunemente sostituita con ph.[6] La teoria popolare è che si tratti di un portmanteau di password harvesting[7], è un esempio di pseudoetimologia.

Storia

Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 al International HP Users Group, Interex.[8]

La prima menzione registrata del termine phishing è sul newsgroup di Usenet alt.online-service.america-online il 2 gennaio 1996[9], malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per hacker 2600.[10]

In accordo con Ghosh ci sono stati 445'004 attacchi nel 2012, 258'461 nel 2011 e 187'203 nel 2010, mostrando che la minaccia del phishing è in aumento.

Numero totale di attacchi phishing unici[11]
Anno Gennaio Febbraio Marzo Aprile Maggio Giugno Luglio Agosto Settembre Ottobre Novembre Dicembre
2005 12845 13468 12883 14411 14987 15050 14135 13776 13562 15820 16882 15244
2006 17877 17163 18480 17490 20109 28571 23670 26150 22136 26877 25816 23787
2007 29930 23610 24853 23656 23415 28888 23917 25624 38514 31650 28074 25683
2008 29284 30716 25630 24924 23762 28151 24007 33928 33261 34758 24357 23187
2009 34588 31298 30125 35287 37165 35918 34683 40621 40066 33254 30490 28897
2010 29499 26909 30577 24664 26781 33617 26353 25273 22188 23619 23017 21020
2011 23535 25018 26402 20908 22195 22273 24129 23327 18388 19606 25685 32979
2012 25444 30237 29762 25850 33464 24811 30955 21751 21684 23365 24563 28195
2013 28850 25385 19892 20086 18297 38100 61453 61792 56767 55241 53047 52489
2014 53984 56883 60925 57733 60809 53259 55282 54390 53661 68270 66217 62765
2015 49608 55795 115808 142099 149616 125757 142155 146439 106421

Prime azioni di phishing su AOL

Il phishing su AOL era strettamente connesso alla comunità warez che scambiava software senza licenza. AOHell, rilasciato all'inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995 AOL applicò misure per prevenire l'aperture di account usando carte di credito false, generate tramite algoritmo. I cracker iniziarono ad attaccare i veri utenti con lo scopo di ottenere i loro profili.

Transizione a operazioni più ampie

L'aver ottenuto gli account di AOL poteva aver permesso ai phishers l'utilizzo improprio delle carte di credito, ma ha soprattutto portato alla realizzazione che potessero essere attuabili attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel giugno 2001, che è stato seguito da "post-9/11 id check". Entrambi vennero visti al tempo come fallimenti, ma possono essere ora visti come primi esperimenti per attacchi più complessi per banche tradizionali. Nel settembre 2003 c'è stato il primo attacco a una banca, ed è stato riportato da The Banker in un articolo scritto da Kris Sangani intitolato "Battle Against Identity Theft."[12].

Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell'economia del crimine: emersero specializzazioni su scala globale per portare a termine le operazioni, che venivano sommate per gli attacchi finali.[13][14]

Nel 2011 una campagna di phishing cinese ha avuto come obbiettivi gli account Gmail di alti ufficiali di governo e dell'esercito degli Stati Uniti e del Sud Korea, come anche di attivisti cinesi.[15] Il governo cinese ha negato ogni accusa di aver preso parte a questo attacco partito dal suo territorio, ma ci sono prove che People’s Liberation Army ha assistito nello sviluppo del software di cyber-attacco.[16]

Tecniche di phishing

Attacchi rilevanti di phishing

Data Vittima Dettagli attacco
2013/11 Target (negozi) 110 milioni di utenze comprensive di carta di credito rubate, attraverso il phishing di un account di un subappaltatore.[17] Il CEO e lo staff della sicurezza IT sono stati licenziati.[18]
2011/03 RSA Security Lo staff interno di RSA è stato vittima di phishing,[19] portando all'accesso della master keys e al furto di tutti i token RSA SecureID, che sono stati in seguito usati per far breccia all'interno dei fornitori per la difesa US.[20]
2014/09 Home Depot Le informazioni personali e della carta di credito di 100+ milioni di clienti di tutti i 2200 Home Depot sono stati messi in vendita su siti di hacking.[21]
2014/11 ICANN Sono stati ottenuti accessi amministrativi al Centralized Zone Data System, permettendo agli attaccanti di accedere ai file di zona e ai dati degli utenti del sistema. Oltre a ciò è stato ottenuto anche al I CANN's public Governmental Advisory Committee wiki, blog, e al portale di informazioni whois.[22]
Un grafico che mostra l'incremento delle segnalazioni di phishing da ottobre 2004 a giugno 2005

Il servizio di condivisone file RapidShare è stato vittima del phishing per ottenere le credenziali di account premium, che non hanno vincoli di velocità e numero di download.[23]

Gli attaccanti che hanno avuto accesso al database di TD Ameritrade contenente 6.3 milioni di indirizzi mail lanciarono successivamente un attacco phishing alle suddette mail per ottenere username e password.[24]

Quasi la metà dei furti di credenziali tramite phishing nel 2006 sono stati commessi da gruppi che operavano tramite la Russian Business Network con sede a San Pietroburgo.[25]

Nel terzo quadrimestre del 2009 il Anti-Phishing Working Group ha riportato di aver avuto 115,370 segnalazioni di mail di phishing dai consumatori USA con la Cina che ospitava più del 25% delle pagine incriminate.[26]

Dal dicembre 2013 il ransomware Cryptolocker ha infettato 250,000 pc. Inizialmente l'obiettivo era l'utenza business ed è stato usato un archivio Zip allegato a una mail che sostiene di essere da parte di una lamentela di un consumatore e per passare successivamente a un pubblico più vasto usando una mail riguardante un problema con un assegno. Il ransomware crittografava i file e richiedeva un riscatto per ottenere la chiave di decifrazione (in modo da poter riavere i file). Secondo Dell SecureWorks più dello 0.4% degli infetti ha pagato il riscatto.[27]

Metodologia generale di attacco

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

  1. l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore finanziario o financial manager), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi ri-trasferite all'estero tramite sistemi di money trasfert (Western Union o Money Gram), trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato[28].

Sono anche stati segnalati casi in cui i malintenzionati si fingono ispettori di polizia (FBI, Interpol ecc.) o responsabili della sicurezza informatica di grandi aziende (Google, Microsoft ecc.), che esortano la vittima a inviare una serie di dati personali per "collaborare" nella ricerca di presunti criminali internazionali — che, in questo caso, sono completamente inventati. Gli indirizzi email (o web) del malintenzionato tendono ad assomigliare a quelli degli enti sopraccitati, per esempio contenendo la parola "fbi" o "google".[29]

Lista dei tipi di phishing

Phishing
Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ottenere informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
Spear phishing
Un attacco mirato verso un individuo o una compagnia è stato denominato spear phishing.[30] Gli attaccanti potrebbero cercare informazioni sull'obbiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.[31]
Clone phishing
È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta.
Whaling
Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o enti e il termine whaling è stato coniato per questi tipi di attacco.[32] Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l'obbiettivo, è spesso scritto come un subpoena legale, un problema amministrativo o una lamentela di un cliente. Sono state utilizzate anche mail identiche a quelle dell'FBI cercando di forzare il ricevente a scaricare e installare del software.[33]

Manipolazione dei link

La maggior parte dei metodi di phishing usa degli exploit tecnici per far apparire i link nelle mail come quelli autentici. Altri trucchetti diffusi sono utilizzare URL scritte male, oppure usando sottodomini ad esempio http://www.tuabanca.esempio.it/, può sembrare a prima vista un sito legittimo, ma in realtà sta puntando a un sottodominio di un altro sito. Un'altra metodologia è registrare un dominio lavorando su lettere visivamente simili.

Aggiramento dei filtri

I phisher hanno iniziato, col tempo, a mascherare il testo inserendolo in immagini, in questo modo i filtri anti-phishing hanno più difficoltà nell'identificazione delle minacce.[34] Questo ha portato sull'altro lato a una evoluzione dei filtri, ora capaci di trovare testo in immagini. Questi filtri usano OCR (riconoscimento ottico dei caratteri)

Contraffazione di un sito web

Quando una vittima visita un sito di phishing l'attacco non è terminato. Nella pagina possono essere infatti presenti comandi JavaScript per alterare la barra degli indirizzi.[35] Può essere fatto o mettendo un'immagine nella barra degli indirizzi o chiudendo la finestra e aprendone una nuova con l'indirizzo legittimo.[36]

Un attaccante può anche usare vulnerabilità in un sito fidato e insere i suoi script malevoli.[37] Questi tipi di attacco, conosciuti come cross-site scripting sono particolarmente problematici perché tutto sembra legittimo, compresi i certificati di sicurezza. In realtà tutto è fatto ad hoc per portare a termine l'attacco, rendendolo molto difficile da individuare senza conoscenze specialistiche. Un attacco di questo tipo è stato utilizzato nel 2006 contro PayPal.[38]

Phishing telefonico

Non sempre il phishing implica l'utilizzo di un sito web o di mail, vengono infatti inviati messaggi sms agli utenti, che dicono che ci siano stati dei problemi con i loro account bancari.[39] Quando il numero indicato (gestito dal phisher, di solito si tratta di un numero Voice over IP) nel messaggio viene chiamato viene chiesto all'untente il proprio PIN. Il Vishing (voice phishing) qualche volta utilizza un finto numero di chiamante, in modo da dare l'apparenza di un'organizzazione fidata.[40]

Anti-phishing

Fino al 2007 l'adozione di strategie anti-phishing per proteggere i dati personali e finanziari era bassa.[41] Ora ci sono molte tecniche per combattere il phishing, incluse leggi e tecnologie create ad hoc per la protezione. Queste tecniche includono passi che possono essere usati sia da individui che da organizzazioni.

Telefoni, siti web e email di phishing posso essere riportati alle autorità, come descritto qua.

Istruzione

Una strategia per combattere il phishing è istruire le persone a riconoscere gli attacchi e ad affrontarli. L'educazione può essere molto efficace, specialmente se vengono enfatizzati alcuni concetti[42][43] e fornito un feedback diretto.[44]

L'Anti-Phishing Working Group, un ente di rinforzo per la sicurezza, ha suggerito che le tecniche di phishing convenzionali potrebbero diventare obsolete in futuro, con la crescente consapevolezza delle persone delle tecniche di social engineering usate dai phisher.[45] Ha inoltre predetto che il pharming e diversi usi di malware diventerrano più comuni per rubare informazioni.

Tutti possono aiutare il pubblico incoraggiando pratiche sicure ed evitando quelle pericolose. Sfortunatamente anche i giocatori noti sono conosciuti per incitare gli utenti a pratiche rischiose, ad esempio richidendo ai propri utenti di rivelare le loro password a servizi di terze parti, come ad esempio la mail.[46]

Risposta tecnica

Misure di anti-phishing sono state implementate nei browsers, come estensioni o toolbar, e come parte delle procedure di login.[47] Sono anche disponibili software contro il phishing.

Di seguito ci sono alcuni dei principali approcci al problema.

Aiuti nell'identificare i siti legittimi

La maggior parte dei siti bersaglio del punishing sono protetti da SSL con una forte crittografia, dove l'URL del sito web è usata come identificativo. Questo dovrebbe in teoria confermare l'autenticità del sito, ma nella pratica è facile da aggirare. La vulnerabilità che viene sfruttata sta nella user interface (UI) del browser. Nell'url del browser viene poi indicata con dei colori la connessione utilizzata (blocco verde per certificato EV, scritta https in verde)

Browsers che allertano l'utente quando visitano siti truffaldini

Un altro approccio popolare per combattere il phishing è quello di mantenere una lista dei siti noti per phishing e controllare se l'utente li visita. Tutti i browser popolari incorporano questo tipo di protezione.[47][48][49][50][51] Alcune implementazioni di questo approccio mandano gli URL visitati a un servizio centrale, che ha suscitato preoccupazione per la privacy.[52] Una protezione di questo tipo può essere applicata anche a livello di DNS, filtrando a monte le richieste pericolose, questo approccio può essere applicato a ogni browser,[53] ed è simile all'uso di un file host (un file in cui si definiscono destinazioni personalizzati per domini).

Argomentare i login con password

Il sito di Bank of America[54][55] è uno dei molti siti che ha adottato questo sistema, consiste nel far scegliere all'iscrizione un'immagine all'utente, e mostrare questa immagine ad ogni login successivo. In questo modo essendo l'immagine nota solo all'utente e al sito legittimo in un eventuale attacco di phishing questa sarebbe assente o sbagliata. Purtroppo però molti studi hanno suggerito che l'utente ignori la mancanza della sua immagine personale e immetta comunque la sua password.[56][57]

Eliminazione delle mail di phishing

Si agisce su una delle fonti del phishing, nello specifico si cerca di eliminare le mail attraverso filtri specializzati contro la spam, diminuendo le minacce diminuiscono le possibilità di essere ingannati. I filtri si basano sul machine learning[58] e natural language processing per classificare le mail a rischio.[59][60] La verifica dell'indirizzo mail è un nuovo approccio.[61]

Monitoraggio e blocco

Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing.[62] I singoli individui possono contribuire riportando tentativi di phishing,[63] a servizi come Google.[64][65] cyscon o PhishTank.[66] I'Internet Crime Complaint Center noticeboard raccoglie e gestisce allerte per ransomware e phishing.

Verifica a 2 passi delle transazioni

Prima di autorizzare oprazioni sensibili viene mandato un messaggio telefonico[67] con un codice di verifica da immettere oltre la password.

Limiti della risposta tecnica

Un articolo di Forbes dell'agosto 2014 argomenta che il phishing resiste alle tecnologie anti-phising perché una tecnologia non può sopperire in modo completo alle incompetenze umane ("un sistema tecnologico per mediare a debolezze umane" ) .[68]

Casi giudiziari e prime condanne penali

Nel 2007 con sentenza del Tribunale di Milano[69] si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di phishing[70]. Tale sentenza è stata confermata in Cassazione nel 2011.

Nel 2008, con sentenza del Tribunale di Milano[71], si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio[72] di soggetti che, quali financial manager, si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani[73]

Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che all'epoca in Italia il phishing non era ancora specificatamente regolamentato, a differenza di altre legislazioni - prima fra tutte quella americana - che possiedono norme penali incriminatrici ad hoc[74]

Solo con la modifica dell'art. 640-ter c.p. (intervenuta con legge 15 ottobre 2013, n. 119) si è avuto un primo intervento normativo idoneo a ricomprendere anche tale particolare fattispecie di furto di identità[75]

Risarcimento economico dei danni provocati

Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell’account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito. Un recente provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l'esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all'ente la qualifica di danneggiato dal reato.

Grafico raffigurante il numero di "phishing" tra il 2004 e il 2005

I singoli contratti per l'apertura di un conto corrente e la home banking possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate. Spesso, l'istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.

L'istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il PIN di accesso; in modo analogo, per la home banking rifiuta di risarcire le somme se il cliente ha smarrito la password di accesso insieme al token. Ciò configura negligenza da parte del cliente e l'eventualità del dolo e truffa all'istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, i quali, d'accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto.

Tuttavia la banca (o altro istituto o società) ha l'onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l'utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi.

Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l'utente del danno. La Raccomandazione europea n. 489 del 1997 stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell'uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.

Note

  1. ^ Ramzan, Zulfikar, Phishing attacks and countermeasures, in Stamp, Mark & Stavroulakis, Peter (a cura di), Handbook of Information and Communication Security, Springer, 2010, ISBN 978-3-642-04117-4.
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), Characteristics and Responsibilities involved in a Phishing Attack, Winter International Symposium on Information and Communication Technologies, Cape Town, January 2005.
  3. ^ Spam Slayer: Do You Speak Spam?, su pcworld.com.
  4. ^ Oxford English Dictionary Online, "phishing, n." OED Online, March 2006, Oxford University Press., su dictionary.oed.com.
  5. ^ Phishing, su itre.cis.upenn.edu.
  6. ^ Anthony Mitchell, A Leet Primer, in http://www.technewsworld.com/story/47607.html., TechNewsWorld, 12 luglio 2005.
  7. ^ Know your Enemy: Phishing, su honeynet.org. URL consultato l'8 luglio 2006.
  8. ^ Felix, Jerry and Hauck, Chris, System Security: A Hacker's Perspective, in 1987 Interex Proceedings, vol. 8, September 1987, p. 6.
  9. ^ "phish, v." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online, su dictionary.oed.com.
  10. ^ Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks, su technicalinfo.net.
  11. ^ APWG Phishing Attack Trends Reports, su antiphishing.org. URL consultato il 21 aprile 2015.
  12. ^ Kris Sangani, The Battle Against Identity Theft, in The Banker, vol. 70, n. 9, September 2003, pp. 53–54.
  13. ^ In 2005, Organized Crime Will Back Phishers, su IT Management, 23 dicembre 2004 (archiviato dall'url originale il 31 gennaio 2011).
  14. ^ Abad, Christopher, The economy of phishing: A survey of the operations of the phishing market, su First Monday, September 2005.
  15. ^ Keizer, Greg, Suspected Chinese spear-phishing attacks continue to hit Gmail users, su Computer World. URL consultato il 4 dicembre 2011.
  16. ^ Ewing, Philip, Report: Chinese TV doc reveals cyber-mischief, su Dod Buzz. URL consultato il 4 dicembre 2011.
  17. ^ Liz O'Connell, Report: Email phishing scam led to Target breach, su BringMeTheNews.com. URL consultato il 15 settembre 2014.
  18. ^ Paul Ausick, Target CEO Sack, su 247wallst.com. URL consultato il 15 settembre 2014.
  19. ^ Anatomy of an RSA attack, su RSA.com, RSA FraudAction Research Labs. URL consultato il 15 settembre 2014.
  20. ^ Christopher Drew e John Markoff, Data Breach at Security Firm Linked to Attack on Lockheed, The New York Times, 27 maggio 2011. URL consultato il 15 settembre 2014.
  21. ^ Michael Winter, Data: Nearly All U.S. Home Depot Stores Hit, su USA Today. URL consultato il 16 marzo 2016.
  22. ^ ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented, su icann.org. URL consultato il 18 dicembre 2014.
  23. ^ 1-Click Hosting at RapidTec — Warning of Phishing!, su rapidshare.de. URL consultato il 21 dicembre 2008 (archiviato dall'url originale il 30 aprile 2008).
  24. ^ Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims, su sophos.com (archiviato dall'url originale il 5 maggio 2009).
  25. ^ [http://www.washingtonpost.com/wp-dyn/content/story/2007/10/12/ST2007101202661.html?hpid=topnews Shadowy Russian Firm Seen as Conduit for Cybercrime, by Brian Krebs, Washington Post, October 13, 2007
  26. ^ APWG, Phishing Activity Trends Report (PDF), su apwg.org. URL consultato il 4 novembre 2013.
  27. ^ Leo Kelion, Cryptolocker ransomware has 'infected about 250,000 PCs', in BBC, 24 dicembre 2013. URL consultato il 24 dicembre 2013.
  28. ^ F.Cajani, G. Costabile, G. Mazzaraco, Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè, 2008.
  29. ^ (EN) Interpol and FBI's websites confirm: "Giuseppe Macario is wanted" is fake news, su giuseppemacario.men. URL consultato il 27 dicembre 2017.
  30. ^ What is spear phishing?, su Microsoft Security At Home. URL consultato l'11 giugno 2011.
  31. ^ Debbie Stephenson, Spear Phishing: Who’s Getting Caught?, su firmex.com, Firmex. URL consultato il 27 luglio 2014.
  32. ^ Fake subpoenas harpoon 2,100 corporate fat cats, su theregister.co.uk, The Register. URL consultato il 17 aprile 2008 (archiviato il 31 gennaio 2011).
  33. ^ What Is 'Whaling'? Is Whaling Like 'Spear Phishing'?, su netforbeginners.about.com, About Tech. URL consultato il 28 marzo 2015 (archiviato il 28 marzo 2015).
  34. ^ Mutton, Paul, Fraudsters seek to make phishing sites undetectable by content filters, su Netcraft (archiviato il 31 gennaio 2011).
  35. ^ Mutton, Paul, Phishing Web Site Methods, su FraudWatch International. URL consultato il 14 dicembre 2006 (archiviato dall'url originale il 31 gennaio 2011).
  36. ^ Phishing con hijacks browser bar, BBC News, 8 aprile 2004.
  37. ^ Krebs, Brian, Flaws in Financial Sites Aid Scammers, in Security Fix. URL consultato il 28 giugno 2006 (archiviato dall'url originale il 31 gennaio 2011).
  38. ^ Mutton, Paul, PayPal Security Flaw allows Identity Theft, su Netcraft. URL consultato il 19 giugno 2006 (archiviato il 31 gennaio 2011).
  39. ^ Antone Gonsalves, Phishers Snare Victims With VoIP, Techweb, 25 aprile 2006 (archiviato dall'url originale il 28 marzo 2007).
  40. ^ Identity thieves take advantage of VoIP, Silicon.com, 21 marzo 2005 (archiviato dall'url originale il 24 marzo 2005).
  41. ^ Emiley Baker, Wade Baker e John Tedesco, Organizations Respond to Phishing: Exploring the Public Relations Tackle Box, in Communication Research Reports, vol. 24, n. 4, 2007, p. 327, DOI:10.1080/08824090701624239.
  42. ^ Nalin Arachchilage, Steve Love e Michael Scott, Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks', in International Journal for e-Learning Security, vol. 2, n. 1, Infonomics Society, 1º giugno 2012, pp. 127-132. URL consultato il 1º aprile 2016.
  43. ^ Michael Scott, Gheorghita Ghinea e Nalin Arachchilage, Assessing the Role of Conceptual Knowledge in an Anti-Phishing Educational Game (PDF), Proceedings of the 14th IEEE International Conference on Advanced Learning Technologies, IEEE, 7 luglio 2014, pp. 218, DOI:10.1109/ICALT.2014.70. URL consultato il 1º aprile 2016.
  44. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge, Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF), su Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University., November 2006. URL consultato il 14 novembre 2006.
  45. ^ Dawn Kawamoto, Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats., ZDNet India, 4 agosto 2005 (archiviato dall'url originale il 30 novembre 2005).
  46. ^ Social networking site teaches insecure password practices, in Blog.anta.net, 9 novembre 2008, ISSN 1797-1993 (WC · ACNP). URL consultato il 9 novembre 2008.
  47. ^ a b Safe Browsing (Google Online Security Blog), su googleonlinesecurity.blogspot.jp. URL consultato il 21 giugno 2012.
  48. ^ Franco, Rob, Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers, su IEBlog. URL consultato il 20 maggio 2006 (archiviato il 17 gennaio 2010).
  49. ^ Bon Echo Anti-Phishing, su Mozilla. URL consultato il 2 giugno 2006 (archiviato il 23 agosto 2011).
  50. ^ Safari 3.2 finally gains phishing protection, su Ars Technica, 13 novembre 2008. URL consultato il 15 novembre 2008 (archiviato il 23 agosto 2011).
  51. ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows, 3Sharp, 27 settembre 2006. URL consultato il 20 ottobre 2006 (archiviato dall'url originale il 14 gennaio 2008).
  52. ^ Two Things That Bother Me About Google's New Firefox Extension, su Nitesh Dhanjani on O'Reilly ONLamp. URL consultato il 1º luglio 2007.
  53. ^ Higgins, Kelly Jackson, DNS Gets Anti-Phishing Hook, su Dark Reading. URL consultato l'8 ottobre 2006 (archiviato il 18 agosto 2011).
  54. ^ Bank of America, How Bank of America SiteKey Works For Online Banking Security, su bankofamerica.com. URL consultato il 23 gennaio 2007 (archiviato il 23 agosto 2011).
  55. ^ Bill Brubaker, Bank of America Personalizes Cyber-Security, Washington Post, 14 luglio 2005.
  56. ^ Brad Stone, Study Finds Web Antifraud Measure Ineffective, New York Times, 5 febbraio 2007. URL consultato il 5 febbraio 2007.
  57. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer, The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF), su IEEE Symposium on Security and Privacy, May 2007, May 2007. URL consultato il 5 febbraio 2007 (archiviato dall'url originale il 6 aprile 2008).
  58. ^ Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira, Obtaining the Threat Model for E-mail Phishing (PDF), su Applied Soft Computing, July 2011 (archiviato dall'url originale l'8 luglio 2011).
  59. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya, Phishing E-mail Detection Based on Structural Properties (PDF), su NYS Cyber Security Symposium, March 2006 (archiviato dall'url originale il 16 febbraio 2008).
  60. ^ Ian Fette, Norman Sadeh, Anthony Tomasic, Learning to Detect Phishing Emails (PDF), su Carnegie Mellon University Technical Report CMU-ISRI-06-112, June 2006.
  61. ^ Landing another blow against email phishing (Google Online Security Blog), su googleonlinesecurity.blogspot.jp. URL consultato il 21 giugno 2012.
  62. ^ Anti-Phishing Working Group: Vendor Solutions, su Anti-Phishing Working Group. URL consultato il 6 luglio 2006 (archiviato dall'url originale il 31 gennaio 2011).
  63. ^ Robert McMillan, New sites let users find and report phishing, LinuxWorld, 28 marzo 2006.
  64. ^ "Report phishing" page, Google
  65. ^ How to report phishing scams to Google Consumer Scams.org
  66. ^ Bruce Schneier, PhishTank, su Schneier on Security, 5 ottobre 2006. URL consultato il 7 dicembre 2007 (archiviato il 31 gennaio 2011).
  67. ^ Using the smartphone to verify and sign online banking transactions, SafeSigner.
  68. ^ Joseph Steinberg, Why You Are At Risk Of Phishing Attacks, su Forbes. URL consultato il 14 novembre 2014.
  69. ^ Tribunale di Milano, sentenza del 10.12.2007 - est. Gamacchio (Giudice per l'udienza preliminare): cfr. R. Flor, Frodi identitiarie e diritto penale, in Riv. giurisp. econ. az., 2008, 4, p. 184; A. Sorgato, Il reato informatico: alcuni casi pratici, in Giur. pen., 2008, 11, p. 40
  70. ^ L. Fazzo,«Ecco come noi hacker romeni vi svuotiamo i conti bancari», in Il Giornale, 11 dicembre 2007
  71. ^ Tribunale di Milano, sentenza del 29.10.2008, est. Luerti (Giudice per l'udienza preliminare) in Corr. Mer., 2009, 3, pp. 285 e ss. con nota di F. Agnino, Computer crime e fattispecie penali tradizionali: quando il phishing integra il delitto di truffa
  72. ^ L. Ferrarella , Soldi trasferiti online. «È riciclaggio», in Corriere della Sera, 7 gennaio 2009
  73. ^ F. Tedeschi, Lotta al cybercrime. Intervista esclusiva al magistrato a caccia delle nuove mafie
  74. ^ S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali, Experta, 2011
  75. ^ F. Cajani, La tutela penale dell’identità digitale alla luce delle novità introdotte dal d.l. 14 agosto 2013 n. 93 (convertito con modificazioni dalla l. 15 ottobre 2013, n. 119), in Cassazione penale, 3, 2014, pp. 1094 ss.

Voci correlate

Altri progetti

Collegamenti esterni

Controllo di autoritàLCCN (ENsh2005003206 · GND (DE7515821-8 · J9U (ENHE987007549400805171
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica
Estratto da "https://it.wikipedia.org/w/index.php?title=Phishing&oldid=93499415"