Phishing: come, dove, quando?

Non pretendo che leggiate tutto questo articolo, perciò vi do subito la soluzione al problema nel peggiore dei casi: se pensate che vi abbiano rubato i dati di accesso è sufficiente che li cambiate, password innanzitutto. Se non potete cambiare i vostri dati contattate al più presto chi può farlo.

Come possiamo riconoscere un tentativo di phishing ed evitare di essere delle vittime?
Spesso, e quasi sempre, l’azione del phishing avviene tentando di convincere l’utente a dare in un qualche modo i propri dati, solitamente dati di accesso, come username e password, o email e password.

Per attuare l’inganno i malintenzionati possono arrivare a creare veri e propri siti clone di quello a cui l’utente è iscritto (in Italia tra i più attaccati c’è il sito di Poste.it e di altre reti bancarie), e molte volte usano delle email o dei messaggi anch’essi fasulli, che invitano a immettere i dati di utentificazione con delle richieste di vario genere.

Per riconoscere questi pericoli dobbiamo innanzitutto stare attenti all’indirizzo del sito a cui veniamo rimandati.
Se il dominio, ossia la prima parte dell’indirizzo (es. di “http://www.poste.it/” il dominio è “poste.it”) è diversa da quella a cui ci siamo iscritti la prima volta allora è molto probabile che sia un tentativo di phishing (es. invece che su http://www.poste.it/ possono inviarci a http://poste.it.abc.xyz/ o http://abc.xyz/www.poste.it/).

A volte i siti a cui ci rimandano sono poco curati o anche completamente diversi da quelli originali.
D’altronde non si mettono ad assumere esperti web per creare un sito illegale!
Questi siti possono avere testi scritti in lingua errata o grammaticalmente errati, o con un misto di frasi di varie lingue (anche dovuto al fatto che molte volte questi ladri non sono Italiani).

Le email o messaggi che riceviamo che ci rimandano a questi siti, possono essere anch’essi scritti in maniera errata, o con motivazioni poco credibili.

Ricordo che nessuno può mai chiederci di inserire i nostri dati, perchè i gestori del servizio a cui siamo iscritti non ne hanno bisogno, e lo dice uno che li sviluppa.

A volte possiamo anche ricevere le email fasulle ad un indirizzo diverso da quelli che abbiamo usato con il servizio vittima dell’azione di phishing.

Alcune volte i tentativi di phising non coinvolgono i dati di accesso ad un sito, ma semplicemente coordinate bancarie o altri dati sensibili che possono venir usati per rubare l’identità della vittima e usarli per scopi poco leciti.

Un caso reale
Di seguito riporto l’analisi di una email di un tentativo di phishing ai miei danni.
Come detto in precedenza ho ricevuto questa email su una casella che non ho mai usato con poste.it.
L’oggetto della email era “Accredito temporaneamente bloccato”, ma si tratta di un tentativo di phishing; difatti ho subito guardato dove rimandavano i link della email e ho visto che l’indirizzo non era quello delle poste.it ma uno fasullo (lo riporto modificando il dominio per la sicurezza di tutti):

Istantanea email di phishing poste.it fasulla
L’istantanea dell’email poste.it fasulla

Se riceviamo email come questa, e vogliamo verificare se sono reali, è meglio non seguire i link he ci danno, ma invece andare direttamente al sito originale che conosciamo e verificare l’autenticità del messaggio.

Altro caso reale
Aggiornamento 28/11/2010

Questo nuovo caso ho deciso di riportarlo in quanto ne sto ricevento molte di email come questa; si tratta di finti accrediti per il sito lottomatica.
Nel mio caso ero sicuro che fosse una truffa in quanto non mi sono mai iscritto al sito lottomatica; ma chi è iscritto può rischiare di cadere nel tranello, dato che queste finte email sono ben fatte!
Come per il caso delle posto riporto l’indirizzo modificato:

Istantanea email di phishing lottomatica fasulla
L’istantanea dell’email lottomatica fasulla

Il problema di queste email è che può essere difficile vedere o capire a che indirizzo internet si viene rimandati, perciò ripeto che è sempre meglio andare a verificare sul sito che si conosce, che magari abbiamo salvato nei preferiti del browser, e non cliccare i link in queste email!
In questo caso particolare ho notato che chi ha inviato questa finta email voleva far credere di arrivare al sito cartalis.it, che però non è più utilizzato come sito e si viene rinviati a lottomaticaitalia.it; questo è un altro indizio che ci fa capire che l’email ricevuta non è autentica.

Carte di credito
L’esempio classico di furto di dati è il numero della carta di credito.
Al giorno d’oggi i sistemi per le transazioni di denaro con carta di credito sono molto sicuri e avvengono ogni giorno milioni di pagamenti senza problemi.
Se “il come” non è più un problema, resta “il dove” da chiarire…
I siti dove possiamo effettuare pagamenti in tutta sicurezza sono innanzitutti quelli più conosciuti e più famosi, con molti clienti o comunque ben curati
Diffidiamo di siti che incontriamo per la prima volta, siti nuovi, poco curati o con offerte fuori dalla norma.
Nessuno ci regala niente. Nessuno è abbastanza fortunato da vincere nel web. Tutti possono rimetterci i propri risparmi.

Molte banche offrono un servizio di web-banking, ossia poter accedere e amministrare il vostro conto da casa via internet, senza dover attendere settimane o mesi per poter leggere l’estratto conto.
Questo vi permette di essere informati quasi in tempo reale dei movimenti delle vostre carte di credito o bancomat e di essere informati anche sulle loro eventuali clonazioni.

Password sicure e facili da ricordare

In questa pagina vedremo come creare delle password che abbiano un buon livello di sicurezza e che siano allo stesso tempo facili da ricordare.

Per poterlo fare innanzitutto vediamo come non dovrebbero essere le password:

Non dovrebbero essere più corte di 10 caratteri
Non dovrebbero essere composte da nomi di familiari, amici o animali domestici
Non dovrebbero essere composte da date di nascita, matrimonio, o altri eventi legati alla nostra identità
Non dovrebbero essere composte solo da lettere o solo da numeri
E’ poi buona norma ricordare che:

Non dovrebbero essere uguali per tutti i servizi che usiamo
Non dovrebbero essere scritte o annotate da alcuna parte
Andrebbero cambiate il più spesso possibile, solitamente una volta al mese
Ora vediamo come creare una buona password, sicura e che sia facile da ricordare.

Innanzitutto c’è da dire che la password dovrebbe contenere sia lettere che numeri, e magari anche alcuni simboli (lo spazio ” ” può essere considerato un simbolo);
se sono presenti sia lettere maiuscole che minuscole ancora meglio.

Una buona password perciò può ad esempio essere: JRt$o*h#A5KrR
(Ma dato che l’ho scritta qui come esempio ne sconsiglio l’uso).

Ovviamente maggiore è la complessità della password, più è difficile ricordarsela.
Questo avviene quando la password è del tutto casuale, come quella nel precedente esempio.
Se riuscite a ricordarvi bene una password così complessa è la cosa migliore, ma vediamo ora come rendere le password ricordabili senza diminuine la complessità.

Il trucco sta nell’usare parole o frasi comuni separate da simboli o numeri.
La cosa importante è che queste parole, frasi o numeri non abbiano nulla a che fare con voi direttamente o indirettamente, ma basta che siano facilmente ricordabili e che rendano più complessa una password.

Vediamo alcuni esempi.

1492=UovoDiColombo?
In questa password abbiamo alternato lettere e numeri con simboli (= e ?) e abbiamo usato sia lettere minuscole che maiuscole.
C’è anche da notare che la password segue una certa logica (la scoperta dell’america) seppur mantenendo una certa complessita e un argomento assolutamente generico e distaccato dalla vita quotidiana della maggior parte di noi.
H2O#AngoloDi104,5°
I miei studi di chimica mi hanno ricordato che le formule molecolari contengono quasi sempre lettere e numeri, e che molti elementi hanno nel loro simbolo sia una maiuscola che una minuscola.
In questo caso l’esempio prende in considerazione l’angolo che i due atomi di idrogeno formano con quello dell’ossigeno nella molecola dell’acqua.
La password precedente poteva benissimo essere anche “H2O Angolo Di 104,5°”, dato che lo spazio è considerato solitamente un simbolo.
Marty@5Novembre1955
Gli appassionati di cinema sicuramente sorrideranno alla citazione di Ritorno al Futuro usata come password, con l’aggiunta di un pò di complessità.
Anche solo “5 Novembre 1955” è una password abbastanza sicura, ma io consiglio di rendere sempre le date un pò più “saporite”.
Come nell’esempio iniziale sconsiglio l’uso anche di questi esempi dato che sono stati pubblicati qui, basta un pò di creatività per trovarne altri!

C’è da dire che un pò di memoria ci vorrà sempre per poter rendere le password sicure, complesse, e sopprattutto lunghe!
A volte mi fa storcere il naso vedere certi siti o servizi che ti obbligano ad usare solo lettere o solo numeri, o ti pongono un limite al numero di caratteri o dicendoti esattamente quanti caratteri deve avere!
In questa maniera è più probabile che con un pò di fortuna qualcuno riesca ad indovinare la password!
Inoltre i siti o servizi in cui usiamo le nostre password dovrebbero sempre fare distinzione tra lettere maiuscole, minuscole e simboli: “UovoDiColombo” è diverso da “UovodiColombo” e a sua volta è diverso da “Uovo di Colombo”

Come ultimo con consiglio vi invio al sito http://www.passwordmeter.com/, che sebbene sia in inglese è molto semplice da capire; inseriamo la nostra password nel campo in alto e il sito ci da un valore percentuale sull’efficacia di questa.

Le informazioni inviate dai browser e le statistiche

Ad ogni pagina che visitiamo o ad ogni file scarichiamo il browser invia delle informazioni generiche che aiutano i siti a fornire i contenuti più adatti per il programma usato.

Le informazioni principali che vengono inviate sono il tipo di browser e la versione, il sistema operativo usato, la lingua usata dall’utente e altre informazioni di compatibilità.

Quando un browser o un qualsiasi altro programma che accede ad internet esegue una richiesta (il browser apre una pagina web, il client di posta elettronica scarica una email, ecc) invia al server che sta contattando una particolare stringa di testo che viene analizzata per capire come comportarsi.
Questa è la stessa stringa che viene utilizzata da questo sito per capire se il browser è aggiornato!
Per capire meglio qui di seguito trovate quella inviata dal browser che state usando:

Mozilla/5.0 (compatible; archive.org_bot +http://www.archive.org/details/archive.org_bot)
Come potete vedere, nessun dato personale viene inviato, e dato che ci sono milioni di persone che usano lo stesso browser o sistema operativo, questa stringa è assolutamente generica, come il modello e la marca di una automobile.

Sebbene queste informazioni originariamente sono state pensate per scopi di compatibilità con i siti web, esse sono anche usate a fini statistici per capire quante persone usano un determinato browser e perciò determinare i cambiamenti in questo mercato.

Glossario

Acid 2 (Test)
L’Acid Test 2 serve a verificare se il browser interpreta correttamente lo standard CSS 2.
Consiste nel far disegnare al browser una faccina sorridente usando elementi non grafici come lettere o paragrafi di testo.
Clicca qui per provare se il tuo browser supera questo test; deve comparire una pagina simile a questa qui di riferimento. Per maggiori informazioni: http://it.wikipedia.org/wiki/Acid2

Acid 3 (Test)
L’Acid Test 3 serve a verificare se il browser interpreta correttamente vari standard come Javascript, DOM e CSS 3.
Consiste nel far disegnare una serie di rettangoli colorati; il test inoltre riporta il punteggio percentuale di correttezza. Clicca qui per provare e scoprire che punteggio ottiene il tuo browser.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Acid3

Canvas
Canvas (“Tela” in inglese) è un componente delle pagine web che, attraverso linguaggi di programmazione, permette alle pagine web di disegnare o manipolare immagini in maniera dinamica.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Canvas_(elemento_HTML)

CSS 2.1, CSS 3
I CSS (Cascading Style Sheet: Fogli di stile a cascata) sono uno standard per la formattazione delle pagine web.
Essi permettono di formattare il testo, definire i colori e la grafica di una pagina web.
Ogni nuova versione implementa nuovi stili di formattazione, tra gli ultimi (CSS 3) ci sono effetti con ombre, effetti 3d, rotazioni e molto altro.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Cascading_Style_Sheet

DOM 1, DOM 2, DOM 3
DOM è uno standard di programmazione per permettere l\’interazione con le pagine web. Ogni nuova versione aggiunge nuove funzionalità di interazione, con mouse, tastiera o schermi touchscreen nei dispositivi più recenti e di rendere dinamiche le pagine web.
Lo standard della tarza versione di questo linguaggio (CSS 3) è attualmente il sviluppo.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Document_Object_Model

Flash (Adobe)
Adobe Flash è un plugin per le pagine e web che permette di visualizzare siti interi o parte di essi che utilizzano l’omonima tecnologia.
Flash è un plugin molto diffuso e permette di creare siti ed elementi grafici dinamici, giochi, o vere e proprie applicazioni utlizzabili via web.
Il plugin Flash è grauito e liberamente scaricabile dal sito Adobe
Per maggiori informazioni: http://it.wikipedia.org/wiki/Adobe_Flash

HTML
HTML (HyperText Markup Language: linguaggio di marcatura per ipertesti) è il linguaggio base che viene utilizzato per creare le pagine web.
Come dice il nome esso non è un linguaggio di programmazione, ma un linguaggio che permette la formattazione semantica o visiva dei contenuti di una pagina web.
Lo standard della quinta versione di questo linguaggio (HTML 5) è attualmente il sviluppo.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Html

JavaScript
Il JavaScript è il principale linguaggio di programmazione utilizzato nelle pagine web che consente di interagire con esse e le rende dinamiche.
Recentemente ha avuto una larga diffusione che ha consentito di poter creare vere e proprie applicazioni web utilizzabili su qualsiasi browser o sistema operativo.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Javascript

PNG Alpha
Il formato PNG è un tipo di file immagine. Le PNG alpha permettono di avere immagini semitrasparenti e di creare effetti dinamici, ad esempio con ombre o riflessi.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Portable_Network_Graphics

PNG Animate
Il formato PNG è un tipo di file immagine. Le PNG animate sono immagini PNG che possono avere più fotogrammi e di creare animazioni grafiche.
Rendering (Motore di rendering)
Il rendering (“interpretazione” in inglese) è il processo con cui un browser analizza i dati di cui sono formate le pagine web e li traduce in un risultato grafico, la pagina vera e propria che il browser ci mostra.
Il motore di rendering è il componente del browser che serve ad effettuare l’analisi ed il processo grafico, e può variare a seconda della società che ha sviluppato il browser.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Motore_di_rendering

RSS (Aggregatore RSS)
RSS (Really Simple Syndication: Sindacazione veramente semplice) è un formato standard basato su XML che permette di rimanere aggiornati sulle ultime notizie (o altri contenuti come i commenti) di un sito tramite un apposito software o servizio web chiamato “Aggregatore”, il quale periodicamente scarica il file RSS e genera una lista delle nuove notizie ed eventualmente avvisa l’utente.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Really_simple_syndication

SVG
SVG (Scalable Vector Graphics: Grafica Vettoriale Scalabile) è uno standard basato su XML che permette di creare disegni vettoriali, ossia disegni che se vengono ingranditi o rimpiccioliti non perdono di qualità perchè creati con regole matematiche.
Per maggiori informazioni: http://it.wikipedia.org/wiki/Scalable_Vector_Graphics

User Agent
Il termine User Agent indica generalmente un programma che comunica con un server web (es: browser, client email, player video e audio streaming).
Questi programmi inviano al server una stringa di testo che identifica il programma utilizzato, la versione, il sistema operativo e la lingua.
Per maggiori informazioni: http://it.wikipedia.org/wiki/User_agent

Google Chrome Frame: Potenzia il tuo Explorer

Gli utenti di Windows XP (e precedenti) che vogliono continuare ad utilizzare Internet Explorer sono costretti a rimanere con la vecchia versione 8, dato che Microsoft non ha rilasciato e non rilascierà più aggiornamenti per questo sistema operativo, che a conti fatti è anche abbstanza vecchio oramai.

Per risolvere questo problema Google è intervenuta creando Chrome Frame, un componente aggiuntivo che permette di utilizzare il motore di Google Chrome dentro ad Internet Explorer, consentendo così di navigare i siti più moderni con gli Explorer più vecchi.

Per poterlo installare basta andare, utilizzando Internet Explorer, alla pagina ufficale di Google Chrome Frame (clicca qui).

In futuro deverrà sempre più indispensabile utilizzarlo se non si vuole passare ad un browser più moderno, dato che i nuovi standard non saranno supportati dalle versioni più vecchie di Explorer.

In tal caso si può già scegliere tra tante alternative visitando la nostra pagina di confronto (clicca qui); se hai già provato Google Chrome Frame assieme al tuo Explorer e ti trovi bene ti consigliamo di passare a Google Chrome!

Google ha pensato anche agli sviluppatori di siti web che, per ragioni incompatibilità con le vecchie versioni di Explorer, vogliono consigliare di utilizzare Google Chrome Frame agli utenti dei propri siti web.

Se dei uno sviluppatore web ti consigliamo di visitare la documentazione ufficiale (in inglese).