Phishing

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Un exemplu de e-mail de phishing care pretinde că provine dintr-o bancă fictivă. Expeditorul încearcă să păcălească destinatarul pentru a-și pune acreditările pe site-ul phisher. Notă: chiar dacă URL-ul poate părea legitim, nu înseamnă neapărat că este (linkul poate de fapt să se trimită la o altă adresă)

Phishingul este un tip de înșelătorie efectuată pe internet prin care un atacator încearcă să înșele victima în furnizarea de informații personale, date financiare sau coduri de acces, pretinzând că este o entitate de încredere într-o comunicare digitală. [1] [2]

Termenul de phishing este o variantă a pescuitului (literalmente „a pescui” în engleză ), [3] probabil influențat de phreaking [4] [5] și face aluzie la utilizarea unor tehnici din ce în ce mai sofisticate pentru a „pescui” datele financiare și parolele. A utilizator. Cuvântul poate fi, de asemenea, legat de limba leet , în care litera f este în mod obișnuit înlocuită cu ph. [6] Teoria populară este că acesta este un portmanteau de recoltare a parolelor [7] , este un exemplu de pseudoetimologie .

Descriere

Aceasta este o activitate ilegală care exploatează o tehnică de inginerie socială : atacatorul efectuează o trimitere masivă de mesaje care imită, în aparență și conținut, mesaje legitime de la furnizorii de servicii; astfel de mesaje frauduloase necesită furnizarea de informații confidențiale, cum ar fi, de exemplu, numărul cardului de credit sau parola pentru a accesa un anumit serviciu. În cea mai mare parte este o înșelătorie comisă folosind mesaje e-mail, dar există cazuri similare care exploatează alte mijloace, cum ar fi mesajele SMS.

Phishingul este o amenințare actuală, riscul este chiar mai mare în social media precum Facebook și Twitter . Hackerii ar putea de fapt să creeze o clonă a site-ului și să ceară utilizatorului să introducă informațiile sale personale. Hackerii profită în mod obișnuit de utilizarea acestor site-uri acasă, la locul de muncă și în locuri publice pentru a obține informații personale sau de afaceri.

Potrivit unui sondaj efectuat în 2019, doar 17,93% dintre respondenți ar putea identifica toate tipurile diferite de phishing (inclusiv e-mailuri sau mesaje text care conțin linkuri rău intenționate sau site-uri web care reproduc pagini legitime). [8]

Istorie

O tehnică de phishing a fost descrisă în detaliu într-un tratat prezentat în 1987 Grupului internațional de utilizatori HP , Interex. [9]

Prima mențiune înregistrată a termenului de phishing se află pe grupul de știri Usenet alt.online-service.america-online pe 2 ianuarie 1996 [10] , deși termenul ar fi putut apărea mai devreme în ediția tipărită a revistei hacker 2600 . [11]

Potrivit lui Ghosh, au existat 445'004 atacuri în 2012, 258'461 în 2011 și 187'203 în 2010, arătând că amenințarea de phishing este în creștere.

Numărul total de atacuri de phishing unice [12]
An ianuarie februarie Martie Aprilie Mai iunie iulie August Septembrie octombrie noiembrie decembrie Total
2005 12 845 13 468 12 883 14 411 14 987 15 050 14 135 13 776 13 562 15 820 16 882 15 244 173 063
2006 17 877 17 163 18 480 17 490 20 109 28 571 23 670 26 150 22 136 26 877 25 816 23 787 268 126
2007 29 930 23 610 24 853 23 656 23 415 28 888 23 917 25 624 38 514 31 650 28 074 25 683 327 814
2008 29 284 30 716 25 630 24 924 23 762 28 151 24 007 33 928 33 261 34 758 24 357 23 187 335 965
2009 34 588 31 298 30 125 35 287 37 165 35 918 34 683 40 621 40 066 33 254 30 490 28 897 412 392
2010 29 499 26 909 30 577 24 664 26 781 33 617 26 353 25 273 22 188 23 619 23 017 21 020 313 517
2011 23 535 25 018 26 402 20 908 22 195 22 273 24 129 23 327 18 388 19 606 25 685 32 979 284 445
2012 25 444 30 237 29 762 25 850 33 464 24 811 30 955 21 751 21 684 23 365 24 563 28 195 320 081
2013 28 850 25 385 19 892 20 086 18 297 38 100 61 453 61 792 56 767 55 241 53 047 52 489 491 399
2014 53 984 56 883 60 925 57 733 60 809 53 259 55 282 54 390 53 661 68 270 66 217 62 765 704 178
2015 49 608 55 795 115 808 142 099 149 616 125 757 142 155 146 439 106 421 194 499 105 233 80 548 1 413 978
2016 99 384 229 315 229 265 121 028 96 490 98 006 93 160 66 166 69 925 51 153 64 324 95 555 1 313 771
2017 96 148 100 932 121 860 87 453 93 285 92 657 99 024 99 172 98 012 61 322 86 547 85 744 1 122 156
2018 89 250 89 010 84 444 91 054 82 547 90 882 93 078 89 323 88 156 87 619 64 905 87 386 1 040 654
2019 34 630 35 364 42 399 37 054 40 177 34 932 35 530 40 457 42 273 45 057 42 424 45 072 475 369

Primele acțiuni de phishing pe AOL

Phishingul pe AOL a fost strâns legat de comunitatea warez care tranzacționa software fără licență. AOHell, lansat la începutul anului 1995, a fost un program destinat atacului utilizatorilor AOL, prezentându-se ca reprezentant al companiei AOL. La sfârșitul anului 1995, AOL a aplicat măsuri pentru a preveni deschiderea contului folosind carduri de credit false, generate algoritmic. Crackerii au început să atace utilizatori reali pentru a-și obține profilurile.

Trecerea la operațiuni mai mari

Obținerea conturilor AOL ar fi putut permite phisherilor să utilizeze în mod greșit cardurile de credit, dar, mai presus de toate, a condus la realizarea faptului că atacurile asupra sistemelor de plăți ar putea fi viabile. Primul atac direct cunoscut asupra unui sistem de plăți a fost asupra E-Gold în iunie 2001, care a fost urmat de „verificare de identitate post-9/11”. Ambele au fost văzute ca eșecuri la momentul respectiv, dar acum pot fi văzute ca experimente timpurii pentru atacuri mai complexe asupra băncilor tradiționale. În septembrie 2003 a avut loc primul atac asupra unei bănci și a fost raportat de către The Banker într-un articol scris de Kris Sangani intitulat „Bătălia împotriva furtului de identitate”. [13] .

Până în 2004, phishingul a fost recunoscut ca o parte pe deplin stabilită a economiei criminalității: au apărut specializări globale pentru a efectua operațiuni, care au fost adăugate pentru atacurile finale. [14] [15]

În 2011, o campanie de phishing chinez a vizat conturile Gmail ale unor oficiali guvernamentali și militari din Statele Unite și Coreea de Sud, precum și activiști chinezi. [16] Guvernul chinez a negat orice acuzație că ar fi participat la acest atac de pe teritoriul său, dar există dovezi că Armata Populară de Eliberare a ajutat la dezvoltarea software-ului de atac cibernetic. [17]

Tehnici de phishing

Atacuri de phishing relevante

Data Victimă Detalii despre atac
2013/11 Țintă (magazine) 110 milioane de utilități, inclusiv card de credit furat de phishing-ul unui cont de subcontractant. [18] Directorul executiv și personalul de securitate IT au fost concediați. [19]
2011/03 Securitate RSA Personalul intern al RSA a suferit phishing, [20] ducând la accesul cheie principal și la furtul tuturor jetoanelor RSA SecureID, care au fost folosite ulterior pentru a încălca furnizorii de apărare din SUA. [21]
2014/09 Depozit Informațiile despre cardurile personale și de credit ale a peste 100 de milioane de clienți din 2200 Home Depots au fost scoase la vânzare pe site-uri de hacking. [22]
2014/11 ICANN S-a obținut acces administrativ la sistemul de date de zonă centralizată , permițând atacatorilor să acceseze fișierele de zonă și datele utilizatorilor de sistem. În plus, a fost obținut și pe wiki, blog și pe portalul de informații al comisiei publice guvernamentale I CANN . [23]
Un grafic care arată creșterea rapoartelor de phishing din octombrie 2004 până în iunie 2005

Serviciul de partajare a fișierelor RapidShare a fost victima phishingului pentru a obține acreditări de cont premium, care nu au restricții privind viteza și numărul de descărcări. [24]

Atacatorii care au accesat baza de date TD Ameritrade conținând 6,3 milioane de adrese de e-mail au lansat ulterior un atac de phishing asupra e-mailurilor menționate mai sus pentru a obține numele de utilizator și parola. [25]

Aproape jumătate din furturile de acreditări prin phishing în 2006 au fost comise de grupuri care operează prin intermediul rețelei de afaceri rusești cu sediul la Sankt Petersburg . [26]

În cel de-al treilea trimestru al anului 2009, Grupul de lucru anti-phishing a raportat că are 115.370 de rapoarte de e-mailuri de phishing de la consumatori din SUA, iar China găzduiește mai mult de 25% din paginile contravenționale. [27]

Din decembrie 2013, ransomware-ul Cryptolocker a infectat 250.000 de PC-uri. Inițial ținta era utilizatorii de afaceri și o arhivă Zip a fost utilizată atașată la un e-mail care pretindea că provine dintr-o reclamație a consumatorului și pentru a trece apoi la un public mai larg folosind un e-mail cu privire la o problemă cu un cec. Ransomware-ul a criptat fișierele și a cerut o răscumpărare pentru a obține cheia de decriptare (astfel încât să poată recupera fișierele). Potrivit Dell SecureWorks, mai mult de 0,4% dintre cei infectați au plătit răscumpărarea. [28]

Metoda generală de atac

Procesul standard al metodologiilor de atac phishing poate fi rezumat în următoarele etape:

  1. utilizatorul rău intenționat ( phisher ) trimite un mesaj de e-mail către un utilizator care simulează, în grafică și conținut, cel al unei instituții cunoscute destinatarului (de exemplu banca sa, furnizorul său de web, un site de licitații online la care este înscris) .
  2. e-mailul conține aproape întotdeauna notificări despre anumite situații sau probleme care apar cu contul / contul dvs. curent (de exemplu, un debit imens, expirarea contului etc.) sau o ofertă de bani.
  3. e-mailul invită destinatarul să urmeze un link, prezent în mesaj, pentru a evita taxarea și / sau pentru a-și regulariza poziția cu entitatea sau compania a cărei grafică și aspect sunt simulate de mesaj (Fake login).
  4. link-ul furnizat, însă, nu duce de fapt la site-ul oficial, ci la o copie falsă, aparent similară cu site-ul oficial, aflat pe un server controlat de phisher, în scopul de a solicita și a obține date cu caracter personal de la destinatar, de obicei cu confirmarea scuzei sau necesitatea autentificării sistemului; aceste informații sunt stocate de serverul administrat de phisher și, prin urmare, ajunge în mâinile atacatorului.
  5. phisher-ul folosește aceste date pentru a cumpăra bunuri, pentru a transfera bani sau chiar ca „punte” pentru atacuri ulterioare.

Uneori, e-mailul conține o invitație de a profita de o nouă „oportunitate de muncă” (ca operator financiar sau manager financiar ), constând în furnizarea detaliilor bancare ale contului dvs. online pentru a primi creditul sumelor care sunt apoi rambursate. în străinătate prin sisteme de transfer de bani (Western Union sau Money Gram), reținând un procent din sumă, care poate atinge cifre foarte mari. În realitate, este vorba de bani furați prin phishing , pentru care titularul destinatarului contului online, de multe ori cu bună credință, comite infracțiunea de spălare a banilor . Această activitate implică pentru phisher pierderea unui anumit procent din ceea ce a reușit să fure, dar există încă un interes în dispersarea banilor furați în multe conturi curente și în efectuarea de transferuri în diferite țări, deoarece în acest fel devine mai dificil pentru a urmări identitatea cibercriminalului și a reconstrui pe deplin mecanismul ilicit. Mai mult, dacă transferurile implică mai multe țări, perioadele pentru reconstrucția tranzacțiilor bancare se prelungesc, întrucât este adesea necesară o scrisoare de scrisori și deschiderea unei proceduri cu sistemul judiciar local din fiecare țară în cauză [29] .

Lista tipurilor de phishing

Phishing
Phishingul este un tip de escrocherie efectuată pe internet prin intermediul căruia un atacator încearcă să obțină informații personale, date financiare sau coduri de acces, pretinzând că este o entitate de încredere într-o comunicare digitală.
Pescuit cu sulita
Un atac țintit asupra unei persoane sau unei companii a fost denumit spear phishing . [30] Atacatorii pot căuta informații despre țintă pentru a crește șansele de succes. Această tehnică este, pe termen lung, cea mai răspândită pe internet, cu o pondere de 91% din atacuri. [31]
Clonare de phishing
Este un tip de phishing în care un e-mail legitim este modificat în atașamente sau linkuri și trimis înapoi către destinatari, pretinzând a fi o versiune actualizată. Părțile modificate ale e-mailului sunt destinate să înșele destinatarul. Acest atac profită de încrederea pe care o aveți în recunoașterea unui e-mail primit anterior.
Vânătoare de balene
Recent, multe atacuri de phishing au fost vizate către figuri importante din companii sau organizații, iar termenul de vânătoare de balene a fost inventat pentru aceste tipuri de atacuri. [32] O pagină de e-mail / web este mascată pentru a obține acreditările unui manager. Conținutul este adaptat scopului, este adesea scris ca o citație legală, o problemă administrativă sau o reclamație a clienților. De asemenea, s-au folosit e-mailuri identice cu cele ale FBI, încercând să forțeze destinatarul să descarce și să instaleze software. [33]

Manipularea legăturii

Majoritatea metodelor de phishing folosesc exploit-uri tehnice pentru a face ca linkurile din e-mailuri să pară autentice. Alte trucuri obișnuite sunt utilizarea URL-urilor scrise greșit sau utilizarea subdomeniilor cum ar fi http://www.tuabanca.it.esempio.com /, poate părea la prima vedere un site legitim, dar în realitate indică un subdomeniu al altui site. O altă metodologie este de a înregistra un domeniu lucrând la litere similare vizual, de exemplu „a” și „e” sau, folosind același domeniu, schimbați sufixul de la „.it” la „.com”.

Bypass Filters

De-a lungul timpului, phisherii au început să mascheze textul inserându-l în imagini, făcând mai dificilă identificarea amenințărilor pentru filtrele de phishing. [34] Acest lucru a dus pe de altă parte la o evoluție a filtrelor, acum capabile să găsească text în imagini. Aceste filtre utilizează OCR (recunoaștere optică a caracterelor )

Falsificarea unui site web

Atunci când o victimă vizitează un site de phishing, atacul nu s-a încheiat. De fapt, pagina poate conține comenzi JavaScript pentru a modifica bara de adrese. [35] Se poate face fie prin plasarea unei imagini în bara de adrese, fie prin închiderea ferestrei și deschiderea uneia noi cu adresa legitimă. [36]

Un atacator poate folosi, de asemenea, vulnerabilitățile pe un site de încredere și poate insera scripturile sale rău intenționate. [37] Aceste tipuri de atacuri, cunoscute sub numele de cross-site scripting, sunt deosebit de problematice, deoarece totul pare legitim, inclusiv certificatele de securitate. În realitate, totul se face ad hoc pentru a efectua atacul, ceea ce face foarte dificilă identificarea fără cunoștințe de specialitate. Un astfel de atac a fost folosit în 2006 împotriva PayPal . [38]

Unele programe, oricât de gratuite, vă permit să creați un site web „clonează”. În câțiva pași, ei iau structura și imaginile în mod identic cu originalul, fără niciun efort și / sau fără cunoștințe despre computer. Doar în acel moment atacatorul va introduce datele de conectare în interiorul său pentru a captura acreditările de acces, direcționând acreditările către baza sa de date sau mai simplu către un fișier text. În general, adoptă două principii: acceptă toate parolele, fără a fi corecte informațiile introduse sau resping toate parolele, propunând astfel recuperarea parolei uitate.

Phishing telefonic

Phishingul nu implică întotdeauna utilizarea unui site web sau a unui e-mail, de fapt mesajele text sunt trimise utilizatorilor, spunând că au existat probleme cu conturile lor bancare. [39] Când se indică numărul indicat (tratat de phisher, de obicei este un număr de voce peste IP ) din mesaj, utilizatorul este solicitat pentru PIN-ul său. Vishing (phishing vocal) folosește uneori un număr fals de apelant pentru a da aspectul unei organizații de încredere. [40] În unele cazuri, phisher-ul încearcă să obțină în mod fraudulos prin WhatsApp , nu date financiare sau coduri PIN, ci copii ale documentelor de identitate pe care le va folosi apoi pentru escrocheriile ulterioare. [41]

Anti-phishing

Până în 2007, adoptarea strategiilor anti-phishing pentru a proteja datele personale și financiare a fost redusă. [42] Există acum multe tehnici de combatere a phishingului, inclusiv legi și tehnologii create special pentru protecție. Aceste tehnici includ pași care pot fi folosiți atât de indivizi, cât și de organizații.

Telefoanele de tip phishing, site-urile web și e-mailurile pot fi raportate autorităților, așa cum este descris aici .

Instrucțiuni

O strategie de combatere a phishingului este formarea oamenilor să recunoască atacurile și să le facă față. Educația poate fi foarte eficientă, mai ales dacă anumite concepte sunt accentuate [43] [44] și li se oferă feedback direct. [45]

Grupul de lucru Anti-Phishing , o agenție de securitate, a sugerat că tehnicile convenționale de phishing pot deveni învechite în viitor, odată cu conștientizarea crescândă a oamenilor cu privire la tehnicile de inginerie socială utilizate de phishers . [46] De asemenea, el a prezis că farmingul și diferitele utilizări ale malware-ului vor deveni mai frecvente pentru furtul de informații.

Toată lumea poate ajuta publicul încurajând practicile sigure și evitând practicile periculoase. Din păcate, chiar și jucătorii cunoscuți sunt cunoscuți pentru a incita utilizatorii la practici riscante, de exemplu, cerându-le utilizatorilor să își dezvăluie parolele către servicii terțe, cum ar fi e-mailul. [47]

Răspuns tehnic

Măsurile anti-phishing au fost implementate în browsere, ca extensii sau bare de instrumente și ca parte a procedurilor de conectare. [48] Este disponibil și software anti-phishing. Cu siguranță este util să citiți cu atenție e-mailul primit atât de expeditor, cât și de corpul mesajului. Atacatorul va trimite un text unde emoțiile sunt „lovite” și va tinde să fie grăbit în dorința de a repara problema descrisă. Din acest motiv, cea mai bună contramăsură nu este urmărirea e-mailului, ci deschiderea unei noi pagini în browser și contactarea site-ului direct de pe adresa URL pe care o cunoașteți sau căutarea direct din motorul de căutare. Dacă, dintr-un anumit motiv, în mod eronat, urmărim linkul din e-mail, este util să ne amintim, așa cum este descris în paragraful privind falsificarea unui site web , să greșim voluntar datele de conectare pentru a verifica dacă site-ul ar trebui să le accepte oricum. În schimb, dacă parolele corecte nu sunt acceptate, nu le preluați imediat, ci conectați-vă la site-ul în cauză direct sau de la motorul de căutare. Dacă ți-ai dat acreditările, schimbă-le cu promptitudine. Dacă acreditările vizează aspecte financiare (cum ar fi un cont bancar sau poștal), contactați imediat poliția poștală și depuneți o plângere formală. Iată câteva dintre principalele abordări ale problemei.

Ajutor în identificarea site-urilor legitime

Cele mai multe site-uri țintă de pedeapsă sunt securizate SSL cu criptare puternică, unde adresa URL a site-ului web este utilizată ca identificator. Acest lucru ar trebui, teoretic, să confirme autenticitatea site-ului, dar în practică este ușor să te deplasezi. Vulnerabilitatea exploatată se află în interfața cu utilizatorul (UI) a browserului. Conexiunea utilizată este apoi indicată în culori în adresa URL a browserului (bloc verde pentru certificatul EV, https scris în verde)

Browsere care alertează utilizatorul atunci când vizitează site-uri de înșelătorie

O altă abordare populară a luptei împotriva phishing-ului este să păstrezi o listă a site-urilor cunoscute de phishing și să verifici dacă utilizatorul le vizitează. Toate browserele populare încorporează acest tip de protecție. [48] [49] [50] [51] [52] Unele implementări ale acestei abordări trimit adresele URL vizitate către un serviciu central, ceea ce a ridicat probleme de confidențialitate. [53] O astfel de protecție poate fi aplicată și la nivelul DNS, filtrând solicitările rău intenționate din amonte, această abordare poate fi aplicată oricărui browser [54] și este similară cu utilizarea unui fișier gazdă (un fișier în care definiți destinații personalizate pentru domenii).

Ceartă pentru conectarea parolei

Site-ul Bank of America [55] [56] este unul dintre numeroasele site-uri care a adoptat acest sistem, constă în a permite utilizatorului să aleagă o imagine la înscriere și să afișeze această imagine la fiecare autentificare ulterioară. În acest fel, deoarece imaginea este cunoscută doar de utilizator și de site-ul legitim într-un posibil atac de phishing, aceasta ar fi absentă sau greșită. Din păcate, însă, multe studii au sugerat că utilizatorul ignoră lipsa imaginii sale personale și oricum își introduce parola. [57] [58]

Eliminarea e-mailurilor de phishing

Acționăm asupra uneia dintre sursele de phishing, în special încercăm să eliminăm e-mailurile prin filtre specializate împotriva spamului, scăderea amenințărilor scade șansele de a fi înșelați. Filtrele se bazează pe învățarea automată [59] și procesarea limbajului natural pentru a clasifica e-mailurile cu risc. [60] [61] Verificarea adresei de e-mail este o nouă abordare. [62]

Monitorizare și blocare

Multe companii oferă servicii de monitorizare și analiză pentru bănci și organizații cu scopul de a bloca site-urile de phishing. [63] Persoanele pot contribui raportând escrocherii de tip phishing [64] la servicii precum Google. [65] [66] cyscon sau PhishTank . [67] Tabloul de bord al Centrului de reclamații prin Internet colectează și gestionează alerte de ransomware și phishing.

Verificarea în doi pași a tranzacțiilor

Înainte de autorizarea operațiunilor sensibile, se trimite un mesaj telefonic [68] cu un cod de verificare care trebuie introdus în plus față de parolă.

Limitele răspunsului tehnic

Un articol din Forbes din august 2014 susține că phishingul rezistă tehnologiilor anti-phising, deoarece o tehnologie nu poate compensa pe deplin incompetența umană („un sistem tehnologic care mediază punctele slabe ale omului”). [69]

Cazuri judiciare și prime condamnări penale

În 2007, cu sentința Curții de la Milano [70] , pentru prima dată în Italia, a existat condamnarea membrilor unei asociații transnaționale dedicate săvârșirii infracțiunilor de phishing [71] . Această sentință a fost confirmată la Curtea Supremă în 2011.

În 2008, cu o sentință a Curții de la Milano [72] , prima dată în Italia a fost condamnată pentru spălare de bani [73] a subiecților care, în calitate de manageri financiari , s-au împrumutat la colectarea și retransferarea sumelor de bani din phishing infracțiuni în detrimentul deținătorilor de cont italieni [74]

Prin urmare , aceste două teze au indicat care regulile pot fi aplicate la acest nou fenomen infracțional, deoarece în momentul în Italia de tip phishing nu a fost încă reglementată în mod specific, spre deosebire de alte legislații - în primul rând cel american -. Care au infracțiuni ad - hoc [75 ]

Numai cu modificarea art. 640-ter din Codul penal (care a intervenit cu Legea nr. 119 din 15 octombrie 2013) a existat o intervenție inițială de reglementare adecvată pentru a include acest tip special de furt de identitate [76]

Compensație economică pentru prejudiciul cauzat

Conform legislației italiene, instituțiile de credit nu sunt obligate să protejeze clienții împotriva fraudei informatice. Prin urmare, nu li se cere să plătească despăgubiri pentru sume retrase în mod necuvenit din cauza unei încălcări a contului de internet al clienților sau a clonării bancomatelor sau cardurilor de credit. O dispoziție recentă a GUP din Milano , din 10 octombrie 2008 , a stabilit că numai existența unei obligații contractuale precise din partea bCome hip de a menține clientul inofensiv de la orice tip de agresiune la sumele depuse ar putea atribui entității calificare deteriorată de infracțiune.

Grafic care arată numărul de „phishing” între 2004 și 2005

Contractele individuale pentru deschiderea unui cont curent și serviciile bancare la domiciliu pot prevedea că, în cazuri specifice, banca trebuie să compenseze clientul pentru sumele retrase în mod nejustificat. Adesea, instituția de credit este acoperită de riscul de furt sau pierdere a datelor de identificare și a cardurilor. Costul acestei reasigurări este transferat clienților, care uneori beneficiază de clauze contractuale în favoarea lor pentru acest tip de acoperire.

În general, institutul refuză despăgubirea dacă clientul, pe lângă pierderea cardului, a pierdut și PIN-ul de acces; în mod similar, pentru serviciile bancare la domiciliu, acesta refuză să ramburseze sumele dacă clientul a pierdut parola de acces împreună cu jetonul . Aceasta configurează neglijența clientului și posibilitatea de fraudă și fraudă către instituția de credit: clientul ar putea transfera datele și cardul către terți, care, în acord cu clientul, ar putea face retrageri, în timp ce proprietarul declară pierderea sau furtul.

Cu toate acestea, banca (sau altă instituție sau companie) are sarcina de a aplica atât măsurile minime de securitate stabilite în Decretul legislativ 196/03 pentru a proteja datele personale ale clientului, cât și de a pune în aplicare toate acele măsuri adecvate și preventive care, chiar și pe baza până la progresul tehnic, pot reduce la minimum riscurile. De fapt, în cazul furtului de acreditări, chiar dacă banca îl acuză pe utilizator că este responsabil pentru aceasta deoarece ar fi putut răspunde la e-mailurile de phishing, este necesar să demonstreze judecătorului că a implementat toate măsurile (atât cele minime stabilite și cele adecvate și preventive care trebuie evaluate de la caz la caz cu o evaluare a riscurilor - obligatorie - și un document programatic pentru siguranță) pentru a minimiza riscurile.

În cazul în care banca nu a implementat măsuri obișnuite în alte bănci pentru prevenirea fraudei computerizate, accesului neautorizat etc., de exemplu, ar putea fi necesară compensarea utilizatorului pentru daune. Recomandarea europeană nr. 489 din 1997 stabilește că de la data comunicării către bancă a faptului că a suferit o înșelătorie (cu afirmația raportului poliției), titularul contului nu poate fi tras la răspundere pentru utilizarea făcută din contul său de către terți, deci banii furați trebuie să i se restituie.

Cum să vă protejați de phishing

Regula numărul unu, de care trebuie să țineți cont atunci când navigați pe Internet, este să acordați o atenție deosebită linkurilor și, în special, modului în care este scrisă adresa ( URL ). Mai ales atunci când link-ul ne este prezentat într-un mesaj trimis prin e-mail sau de la sistemele de mesagerie instantanee, chiar și de la oameni pe care îi cunoaștem și în care avem încredere. Aceste mesaje pot fi trimise din conturi compromise și mici erori de „ortografie” sunt adesea folosite de infractori pentru a induce în eroare destinatarul.

Dacă site-ul este notoriu sigur și necesită includerea datelor personale sau a numărului cardului de credit, este întotdeauna necesar să verificați nu numai dacă conexiunea este securizată ( HTTPS ), ci și faptul că site-ul web este de fapt site-ul pe care pretinde că este , verificând cu atenție adresa. Conform unor cercetări, mai mult de 70% dintre site-urile de phishing folosesc astăzi conexiuni securizate [77] .

Pe web există mai multe portaluri care se ocupă de lupta împotriva dezinformării și a escrocheriilor răspândite pe web, care vă permit să vă țineți informat cu privire la escrocheriile în loc pentru a evita căderea în capcanele escrocilor.

Notă

  1. ^ Ramzan, Zulfikar, Phishing attack and countermeasures , în Stamp, Mark & ​​Stavroulakis, Peter (eds), Handbook of Information and Communication Security , Springer, 2010, ISBN 978-3-642-04117-4 .
  2. ^ Van der Merwe, AJ, Loock, M, Dabrowski, M. (2005), Caracteristici și responsabilități implicate într-un atac de phishing, Simpozion internațional de iarnă privind tehnologiile informației și comunicațiilor, Cape Town, ianuarie 2005.
  3. ^ Spam Slayer: Vorbiți spam? , pe pcworld.com .
  4. ^ Oxford English Dictionary Online, "phishing, n." OED Online, martie 2006, Oxford University Press. , la dictionary.oed.com .
  5. ^ Phishing , pe itre.cis.upenn.edu .
  6. ^ Anthony Mitchell, A Leet Primer , la http://www.technewsworld.com/story/47607.html . , TechNewsWorld, 12 iulie 2005.
  7. ^ Cunoaște-ți dușmanul: phishing , la honeynet.org . Adus la 8 iulie 2006 (arhivat din original la 20 martie 2018) .
  8. ^ Phishing și criptare: printre bunele intenții pentru 2020 am pus și securitate IT , pe lastampa.it .
  9. ^ Felix, Jerry și Hauck, Chris, System Security: A Hacker's Perspective , în 1987 Interex Proceedings , vol. 8, septembrie 1987, p. 6.
  10. ^ "phish, v." OED Online, martie 2006, Oxford University Press. Oxford English Dictionary Online , la dictionary.oed.com .
  11. ^ Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks , at technicalinfo.net .
  12. ^ APWG Phishing Attack Trends Reports , pe apwg.org . URL consultato il 21 aprile 2015 .
  13. ^ Kris Sangani, The Battle Against Identity Theft , in The Banker , vol. 70, n. 9, September 2003, pp. 53-54.
  14. ^ In 2005, Organized Crime Will Back Phishers , su IT Management , 23 dicembre 2004 (archiviato dall' url originale il 31 gennaio 2011) .
  15. ^ Abad, Christopher , The economy of phishing: A survey of the operations of the phishing market , su First Monday , September 2005. URL consultato il 30 giugno 2016 (archiviato dall' url originale il 21 novembre 2011) .
  16. ^ Keizer, Greg, Suspected Chinese spear-phishing attacks continue to hit Gmail users , su Computer World . URL consultato il 4 dicembre 2011 .
  17. ^ Ewing, Philip, Report: Chinese TV doc reveals cyber-mischief , su Dod Buzz . URL consultato il 4 dicembre 2011 (archiviato dall' url originale il 26 gennaio 2017) .
  18. ^ Liz O'Connell, Report: Email phishing scam led to Target breach , su BringMeTheNews.com . URL consultato il 15 settembre 2014 .
  19. ^ Paul Ausick, Target CEO Sack , su 247wallst.com . URL consultato il 15 settembre 2014 .
  20. ^ Anatomy of an RSA attack , su RSA.com , RSA FraudAction Research Labs. URL consultato il 15 settembre 2014 (archiviato dall' url originale il 6 ottobre 2014) .
  21. ^ Christopher Drew e John Markoff, Data Breach at Security Firm Linked to Attack on Lockheed , The New York Times, 27 maggio 2011. URL consultato il 15 settembre 2014 .
  22. ^ Michael Winter, Data: Nearly All US Home Depot Stores Hit , su USA Today . URL consultato il 16 marzo 2016 .
  23. ^ ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented , su icann.org . URL consultato il 18 dicembre 2014 .
  24. ^ 1-Click Hosting at RapidTec — Warning of Phishing! , su rapidshare.de . URL consultato il 21 dicembre 2008 (archiviato dall' url originale il 30 aprile 2008) .
  25. ^ Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims , su sophos.com (archiviato dall' url originale il 5 maggio 2009) .
  26. ^ [ https://www.washingtonpost.com/wp-dyn/content/story/2007/10/12/ST2007101202661.html?hpid=topnews Shadowy Russian Firm Seen as Conduit for Cybercrime , by Brian Krebs, Washington Post , October 13, 2007
  27. ^ APWG, Phishing Activity Trends Report ( PDF ), su apwg.org . URL consultato il 4 novembre 2013 (archiviato dall' url originale il 3 ottobre 2012) .
  28. ^ Leo Kelion, Cryptolocker ransomware has 'infected about 250,000 PCs' , in BBC , 24 dicembre 2013. URL consultato il 24 dicembre 2013 .
  29. ^ F.Cajani, G. Costabile, G. Mazzaraco, Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè , 2008.
  30. ^ What is spear phishing? , su Microsoft Security At Home . URL consultato l'11 giugno 2011 (archiviato dall' url originale il 6 agosto 2011) .
  31. ^ Debbie Stephenson, Spear Phishing: Who's Getting Caught? , su firmex.com , Firmex. URL consultato il 27 luglio 2014 .
  32. ^ Fake subpoenas harpoon 2,100 corporate fat cats , su theregister.co.uk , The Register. URL consultato il 17 aprile 2008 (archiviato dall' url originale il 31 gennaio 2011) .
  33. ^ What Is 'Whaling'? Is Whaling Like 'Spear Phishing'? , su netforbeginners.about.com , About Tech. URL consultato il 28 marzo 2015 ( archiviato il 28 marzo 2015) .
  34. ^ Mutton, Paul, Fraudsters seek to make phishing sites undetectable by content filters , su Netcraft ( archiviato il 31 gennaio 2011) .
  35. ^ Mutton, Paul, Phishing Web Site Methods , su FraudWatch International . URL consultato il 14 dicembre 2006 (archiviato dall' url originale il 31 gennaio 2011) .
  36. ^ Phishing con hijacks browser bar , BBC News, 8 aprile 2004.
  37. ^ Krebs, Brian, Flaws in Financial Sites Aid Scammers , in Security Fix . URL consultato il 28 giugno 2006 (archiviato dall' url originale il 31 gennaio 2011) .
  38. ^ Mutton, Paul, PayPal Security Flaw allows Identity Theft , su Netcraft . URL consultato il 19 giugno 2006 ( archiviato il 31 gennaio 2011) .
  39. ^ Antone Gonsalves, Phishers Snare Victims With VoIP , Techweb, 25 aprile 2006 (archiviato dall' url originale il 28 marzo 2007) .
  40. ^ Identity thieves take advantage of VoIP , Silicon.com, 21 marzo 2005 (archiviato dall' url originale il 24 marzo 2005) .
  41. ^ Richiesta di documenti tramite WhatsApp? Attenti alle truffe! | Tellows Blog , su blog.tellows.it . URL consultato il 17 luglio 2019 .
  42. ^ Emiley Baker, Wade Baker e John Tedesco, Organizations Respond to Phishing: Exploring the Public Relations Tackle Box , in Communication Research Reports , vol. 24, n. 4, 2007, p. 327, DOI : 10.1080/08824090701624239 .
  43. ^ Nalin Arachchilage, Steve Love e Michael Scott, Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks' , in International Journal for e-Learning Security , vol. 2, n. 1, Infonomics Society, 1º giugno 2012, pp. 127-132. URL consultato il 1º aprile 2016 .
  44. ^ Michael Scott, Gheorghita Ghinea e Nalin Arachchilage, Assessing the Role of Conceptual Knowledge in an Anti-Phishing Educational Game ( PDF ), Proceedings of the 14th IEEE International Conference on Advanced Learning Technologies , IEEE, 7 luglio 2014, p. 218, DOI : 10.1109/ICALT.2014.70 . URL consultato il 1º aprile 2016 .
  45. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge, Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System ( PDF ), su Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. , November 2006. URL consultato il 14 novembre 2006 (archiviato dall' url originale il 30 gennaio 2007) .
  46. ^ Dawn Kawamoto, Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats. , ZDNet India, 4 agosto 2005 (archiviato dall' url originale il 30 novembre 2005) .
  47. ^ Social networking site teaches insecure password practices , in Blog.anta.net , 9 novembre 2008, ISSN 1797-1993 ( WC · ACNP ) . URL consultato il 9 novembre 2008 (archiviato dall' url originale il 7 gennaio 2009) .
  48. ^ a b Safe Browsing (Google Online Security Blog) , su googleonlinesecurity.blogspot.jp . URL consultato il 21 giugno 2012 .
  49. ^ Franco, Rob, Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers , su IEBlog . URL consultato il 20 maggio 2006 ( archiviato il 17 gennaio 2010) .
  50. ^ Bon Echo Anti-Phishing , su Mozilla . URL consultato il 2 giugno 2006 (archiviato dall' url originale il 23 agosto 2011) .
  51. ^ Safari 3.2 finally gains phishing protection , su Ars Technica , 13 novembre 2008. URL consultato il 15 novembre 2008 ( archiviato il 23 agosto 2011) .
  52. ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows , 3Sharp, 27 settembre 2006. URL consultato il 20 ottobre 2006 (archiviato dall' url originale il 14 gennaio 2008) .
  53. ^ Two Things That Bother Me About Google's New Firefox Extension , su Nitesh Dhanjani on O'Reilly ONLamp . URL consultato il 1º luglio 2007 (archiviato dall' url originale il 15 ottobre 2007) .
  54. ^ Higgins, Kelly Jackson, DNS Gets Anti-Phishing Hook , su Dark Reading . URL consultato l'8 ottobre 2006 ( archiviato il 18 agosto 2011) .
  55. ^ Bank of America, How Bank of America SiteKey Works For Online Banking Security , su bankofamerica.com . URL consultato il 23 gennaio 2007 ( archiviato il 23 agosto 2011) .
  56. ^ Bill Brubaker, Bank of America Personalizes Cyber-Security , Washington Post, 14 luglio 2005.
  57. ^ Brad Stone, Study Finds Web Antifraud Measure Ineffective , New York Times, 5 febbraio 2007. URL consultato il 5 febbraio 2007 .
  58. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer, The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies ( PDF ), su IEEE Symposium on Security and Privacy, May 2007 , May 2007. URL consultato il 5 febbraio 2007 (archiviato dall' url originale il 6 aprile 2008) .
  59. ^ Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira, Obtaining the Threat Model for E-mail Phishing ( PDF ), su Applied Soft Computing , July 2011, DOI : 10.1016/j.asoc.2011.06.016 . URL consultato il 30 giugno 2016 (archiviato dall' url originale il 2 gennaio 2013) .
  60. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya, Phishing E-mail Detection Based on Structural Properties ( PDF ), su NYS Cyber Security Symposium , March 2006 (archiviato dall' url originale il 16 febbraio 2008) .
  61. ^ Ian Fette, Norman Sadeh, Anthony Tomasic, Learning to Detect Phishing Emails ( PDF ), su Carnegie Mellon University Technical Report CMU-ISRI-06-112 , June 2006.
  62. ^ Landing another blow against email phishing (Google Online Security Blog) , su googleonlinesecurity.blogspot.jp . URL consultato il 21 giugno 2012 .
  63. ^ Anti-Phishing Working Group: Vendor Solutions , su Anti-Phishing Working Group . URL consultato il 6 luglio 2006 (archiviato dall' url originale il 31 gennaio 2011) .
  64. ^ Robert McMillan, New sites let users find and report phishing , LinuxWorld, 28 marzo 2006 (archiviato dall' url originale il 19 gennaio 2009) .
  65. ^ "Report phishing" page, Google
  66. ^ How to report phishing scams to Google Archiviato il 14 aprile 2013 in Archive.is . Consumer Scams.org
  67. ^ Bruce Schneier , PhishTank , su Schneier on Security , 5 ottobre 2006. URL consultato il 7 dicembre 2007 ( archiviato il 31 gennaio 2011) .
  68. ^ Using the smartphone to verify and sign online banking transactions , SafeSigner.
  69. ^ Joseph Steinberg , Why You Are At Risk Of Phishing Attacks , su Forbes . URL consultato il 14 novembre 2014 .
  70. ^ Tribunale di Milano, sentenza del 10.12.2007 - est. Gamacchio (Giudice per l'udienza preliminare): cfr. R. Flor, Frodi identitiarie e diritto penale , in Riv. giurisp. econ. az. , 2008, 4, p. 184; A. Sorgato, I l reato informatico: alcuni casi pratici , in Giur. pen. , 2008, 11, p. 40
  71. ^ L. Fazzo, «Ecco come noi hacker romeni vi svuotiamo i conti bancari» , in Il Giornale , 11 dicembre 2007
  72. ^ Tribunale di Milano, sentenza del 29.10.2008, est. Luerti (Giudice per l'udienza preliminare) in Corr. Mer. , 2009, 3, pp. 285 e ss. con nota di F. Agnino, Computer crime e fattispecie penali tradizionali: quando il phishing integra il delitto di truffa
  73. ^ L. Ferrarella , Soldi trasferiti online. «È riciclaggio» , in Corriere della Sera , 7 gennaio 2009
  74. ^ F. Tedeschi, Lotta al cybercrime. Intervista esclusiva al magistrato a caccia delle nuove mafie
  75. ^ S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali , Experta, 2011
  76. ^ F. Cajani, La tutela penale dell'identità digitale alla luce delle novità introdotte dal dl 14 agosto 2013 n. 93 (convertito con modificazioni dalla l. 15 ottobre 2013, n. 119) , in Cassazione penale , 3, 2014, pp. 1094 ss.
  77. ^ Anti-Phishing Working Group - Reports , su apwg.org .

Voci correlate

Altri progetti

Collegamenti esterni

Controllo di autorità LCCN ( EN ) sh2005003206 · GND ( DE ) 7515821-8
Sicurezza informatica Portale Sicurezza informatica : accedi alle voci di Wikipedia che trattano di sicurezza informatica
Estratto da " https://it.wikipedia.org/w/index.php?title=Phishing&oldid=122490474 "