Phishing

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca
Un exemple d’un correu electrònic de pesca que pretén ser d’un banc fictici. El remitent intenta enganyar el destinatari perquè posi les seves credencials al lloc del phisher. Nota: fins i tot si l'URL pot semblar legítim, no significa necessàriament que sigui (l'enllaç de fet es pot enviar a una adreça diferent)

El phishing és un tipus d’ estafa realitzada a Internet mitjançant la qual un atacant intenta enganyar la víctima proporcionant informació personal, dades financeres o codis d’accés, fent-se passar per una entitat de confiança en una comunicació digital. [1] [2]

El terme phishing és una variant de la pesca (literalment "pescar" en anglès ), [3] probablement influït pel phreaking [4] [5] i al·ludeix a l'ús de tècniques cada vegada més sofisticades per "pescar" dades financeres i contrasenyes. A usuari. La paraula també es pot relacionar amb el llenguatge leet , en què la lletra f se sol substituir per ph. [6] La teoria popular és que es tracta d'un portmanteau de recollida de contrasenyes [7] , és un exemple de pseudoetimologia .

Descripció

Es tracta d’una activitat il·legal que explota una tècnica d’ enginyeria social : l’atacant realitza un enviament massiu de missatges que imiten, en aparença i contingut, missatges legítims dels proveïdors de serveis; aquests missatges fraudulents requereixen que proporcioneu informació confidencial com, per exemple, el vostre número de targeta de crèdit o contrasenya per accedir a un servei concret. En la seva major part, es tracta d’una estafa perpetrada mitjançant missatges de correu electrònic, però hi ha casos similars que exploten altres mitjans, com ara els missatges SMS.

La pesca és una amenaça actual, el risc és encara més gran a les xarxes socials com Facebook i Twitter . De fet, els pirates informàtics podrien crear un clon del lloc i demanar a l’usuari que introduïa la seva informació personal. Els pirates informàtics solen aprofitar que aquests llocs s’utilitzen a casa, a la feina i en llocs públics per obtenir informació personal o comercial.

Segons una enquesta realitzada el 2019, només el 17,93% dels enquestats seria capaç d’identificar tots els diferents tipus de pesca (inclosos els correus electrònics o missatges de text que contenen enllaços maliciosos o llocs web que repliquin pàgines legítimes). [8]

Història

Es va descriure detalladament una tècnica de pesca (suplantació d’identitat) en un tractat presentat el 1987 a l’International HP Users Group, Interex. [9]

La primera menció registrada del terme phishing es troba al grup de notícies Usenet alt.online-service.america-online el 2 de gener de 1996 [10] , tot i que el terme pot haver aparegut anteriorment a l'edició impresa de la revista hacker 2600 . [11]

Segons Ghosh, hi va haver 445'004 atacs el 2012, 258'461 el 2011 i 187'203 el 2010, cosa que demostra que l'amenaça de pesca està augmentant.

Nombre total d'atacs de pesca exclusius [12]
Curs Gener Febrer Març Abril Maig juny Juliol Agost Setembre Octubre de novembre Desembre Total
2005 12 845 13 468 12 883 14 411 14 987 15 050 14 135 13 776 13 562 15 820 16 882 15 244 173 063
2006 17 877 17 163 18 480 17 490 20 109 28 571 23 670 26 150 22 136 26 877 25 816 23 787 268 126
2007 29 930 23 610 24 853 23 656 23 415 28 888 23 917 25 624 38 514 31 650 28 074 25 683 327 814
2008 29 284 30 716 25 630 24 924 23 762 28 151 24 007 33 928 33 261 34 758 24 357 23 187 335 965
2009 34 588 31 298 30 125 35 287 37 165 35 918 34 683 40 621 40 066 33 254 30 490 28 897 412 392
2010 29 499 26 909 30 577 24 664 26 781 33 617 26 353 25 273 22 188 23 619 23 017 21 020 313 517
2011 23 535 25 018 26 402 20 908 22 195 22 273 24 129 23 327 18 388 19 606 25 685 32 979 284 445
2012 25 444 30 237 29 762 25 850 33 464 24 811 30 955 21 751 21 684 23 365 24 563 28 195 320 081
2013 28 850 25 385 19 892 20 086 18 297 38 100 61 453 61 792 56 767 55 241 53 047 52 489 491 399
2014 53 984 56 883 60 925 57 733 60 809 53 259 55 282 54 390 53 661 68 270 66 217 62 765 704 178
2015 49 608 55 795 115 808 142 099 149 616 125 757 142 155 146 439 106 421 194 499 105 233 80 548 1 413 978
2016 99 384 229 315 229 265 121 028 96 490 98 006 93 160 66 166 69 925 51 153 64 324 95 555 1 313 771
2017 96 148 100 932 121 860 87 453 93 285 92 657 99 024 99 172 98 012 61 322 86 547 85 744 1 122 156
2018 89 250 89 010 84 444 91 054 82 547 90 882 93 078 89 323 88 156 87 619 64 905 87 386 1 040 654
2019 34 630 35 364 42 399 37 054 40 177 34 932 35 530 40 457 42 273 45 057 42 424 45 072 475 369

Primeres accions de pesca a AOL

La pesca amb AOL estava estretament relacionada amb la comunitat de warez que comercialitzava programari sense llicència. AOHell, llançat a principis de 1995, era un programa destinat a atacar els usuaris d'AOL fent-se passar per un representant de l'empresa AOL. A finals de 1995, AOL va aplicar mesures per evitar l'obertura de comptes mitjançant targetes de crèdit falses generades algorítmicament. Els crackers van començar a atacar usuaris reals per obtenir els seus perfils.

Transició a operacions més grans

Haver obtingut comptes AOL pot haver permès als phishers fer un ús indegut de les targetes de crèdit, però sobretot va suposar que els atacs als sistemes de pagament podrien ser viables. El primer atac directe conegut contra un sistema de pagament va ser contra E-Gold el juny del 2001, que va ser seguit per un "control d'identificació post-9/11". Tots dos es van veure com fracassos en aquell moment, però ara es poden veure com primers experiments per atacs més complexos contra bancs tradicionals. El setembre de 2003 es va produir el primer atac contra un banc, i va ser informat per The Banker en un article escrit per Kris Sangani titulat "Batalla contra el robatori d'identitat". [13] .

El 2004, el phishing era reconegut com una part totalment consolidada de l’economia del crim: van sorgir especialitzacions mundials per dur a terme operacions, que es van sumar per als atacs finals. [14] [15]

El 2011, una campanya de pesca de pesca xinesa es va dirigir als comptes de Gmail d’alts funcionaris governamentals i militars dels Estats Units i Corea del Sud, així com d’activistes xinesos. [16] El govern xinès ha negat qualsevol acusació que hagués participat en aquest atac des del seu territori, però hi ha proves que l' Exèrcit d'Alliberament Popular va ajudar al desenvolupament del programari de ciberatac. [17]

Tècniques de pesca

Atacs de pesca rellevants

Data Víctima Detalls de l'atac
2013/11 Objectiu (botigues) 110 milions de serveis públics, inclosa la targeta de crèdit robada per pesca d'un compte de subcontractista. [18] El CEO i el personal de seguretat informàtica han estat acomiadats. [19]
2011/03 Seguretat RSA El personal intern de RSA va patir phishing [20], cosa que va provocar l' accés principal de claus i el robatori de tots els tokens RSA SecureID, que més tard es van utilitzar per incomplir els venedors de defensa nord-americans. [21]
2014/09 Home Depot La informació de la targeta de crèdit personal i de més de 100 milions de clients de 2200 Home Depots es va posar a la venda en llocs de pirateria. [22]
2014/11 ICANN Es va obtenir accés administratiu al sistema de dades de zones centralitzades , que permetia als atacants accedir a fitxers de zones i dades d’usuari del sistema. A més d'això, també es va obtenir al wiki, al bloc i al portal d'informació de whois del comitè assessor governamental públic d' I CANN . [23]
Un gràfic que mostra l’increment dels informes de pesca d’octubre de 2004 a juny de 2005

El servei d’intercanvi de fitxers RapidShare ha estat víctima de pesca per obtenir credencials de compte premium, que no tenen restriccions quant a la velocitat i el nombre de descàrregues. [24]

Els atacants que van accedir a la base de dades de TD Ameritrade que contenia 6,3 milions d’adreces de correu electrònic van llançar posteriorment un atac de pesca contra els esmentats correus electrònics per obtenir un nom d’usuari i una contrasenya. [25]

Gairebé la meitat dels robatoris de credencials a través de phishing el 2006 van ser comesos per grups que operaven a través de la xarxa empresarial russa amb seu a Sant Petersburg . [26]

Al tercer trimestre del 2009, el Grup de Treball Anti-Phishing va informar de tenir 115.370 informes de correus electrònics de pesca de consumidors nord-americans amb la Xina que allotjava més del 25% de les pàgines ofensives. [27]

Des de desembre de 2013, el ransomware Cryptolocker ha infectat 250.000 ordinadors. Inicialment, l'objectiu era els usuaris empresarials i s'utilitzava un arxiu Zip adjunt a un correu electrònic que afirma que provenia d'una queixa del consumidor i, a continuació, passava a un públic més ampli mitjançant un correu electrònic sobre un problema amb un xec. El programari de rescat va xifrar els fitxers i va exigir un rescat per obtenir la clau de desxifratge (perquè poguessin recuperar els fitxers). Segons Dell SecureWorks, més del 0,4% dels infectats han pagat el rescat. [28]

Mètode general d'atac

El procés estàndard de les metodologies d'atac de pesca es pot resumir en les següents etapes:

  1. l'usuari maliciós ( phisher ) envia un missatge de correu electrònic a un usuari que simula, en gràfics i contingut, el d'una institució coneguda pel destinatari (per exemple, el seu banc, el seu proveïdor web, un lloc de subhastes en línia al qual està inscrit) .
  2. el correu electrònic conté gairebé sempre avisos de situacions o problemes concrets que es produeixen amb el vostre compte / compte corrent (per exemple, un dèbit enorme, la caducitat del compte, etc.) o una oferta de diners.
  3. el correu electrònic convida el destinatari a seguir un enllaç, present al missatge, per evitar que se li cobri i / o regularitzi la seva posició amb l’entitat o l’empresa el gràfic i el disseny del qual simuli el missatge (Fake login).
  4. no obstant això, l'enllaç proporcionat no condueix al lloc web oficial, sinó a una còpia fictícia aparentment similar al lloc web oficial, situat en un servidor controlat pel phisher, amb la finalitat de sol·licitar i obtenir dades personals particulars del destinatari, normalment amb la confirmació de l’excusa o la necessitat d’autenticar el sistema; aquesta informació l’emmagatzema el servidor gestionat pel phisher i, per tant, acaba en mans de l’atacant.
  5. el phisher utilitza aquestes dades per comprar béns, transferir diners o, fins i tot, com a "pont" per a nous atacs.

De vegades, el correu electrònic conté una invitació per aprofitar una nova "oportunitat de feina" (com a operador financer o gestor financer ), que consisteix a proporcionar les dades bancàries del vostre compte en línia per rebre el crèdit de les sumes que després es reembossaran. a l’estranger mitjançant sistemes de transferència de diners (Western Union o Money Gram), retenint un percentatge de l’import, que pot arribar a xifres molt elevades. En realitat, es tracta de diners robats a través de phishing , per als quals el titular del destinatari del compte en línia, sovint de bona fe, comet el delicte de blanqueig de diners . Aquesta activitat implica per al phisher la pèrdua d’un percentatge determinat del que va aconseguir robar, però encara hi ha interès a dispersar els diners robats en molts comptes corrents i a fer retransferències a diferents països, perquè d’aquesta manera es fa més difícil per rastrejar la identitat del cibercriminal i reconstruir completament el mecanisme il·lícit. A més, si les transferències impliquen diversos països, s’allarguen els temps per a la reconstrucció de les transaccions bancàries, ja que sovint és necessària una carta de cartes i l’obertura d’un procediment amb la justícia local de cada país interessat [29] .

Llista de tipus de pesca

Phishing
El phishing és un tipus d’ estafa realitzada a Internet mitjançant la qual un atacant intenta obtenir informació personal, dades financeres o codis d’accés fent-se passar per una entitat de confiança en una comunicació digital.
Spear phishing
Un atac dirigit a una persona o empresa s’ha anomenat spear phishing . [30] Els atacants poden buscar informació sobre l'objectiu per augmentar les probabilitats d'èxit. Aquesta tècnica és, a la llarga, la més estesa a Internet, amb un 91% d’atacs. [31]
Clonar la pesca
És un tipus de pesca en què es modifica un correu electrònic legítim en fitxers adjunts o enllaços i es torna a enviar als destinataris, afirmant que és una versió actualitzada. Les parts modificades del correu electrònic estan destinades a enganyar el destinatari. Aquest atac aprofita la confiança que es té en reconèixer un correu electrònic rebut prèviament.
La caça de balenes
Darrerament, molts atacs de pesca han estat dirigits a figures destacades d’empreses o organitzacions, i el terme caça de balenes s’ha encunyat per a aquest tipus d’atacs. [32] S'enmascara un correu / pàgina web per obtenir les credencials d'un administrador. El contingut s’adapta a la finalitat, sovint s’escriu com a citació legal, com a problema administratiu o com a reclamació del client. També es van utilitzar correus electrònics idèntics als de l’FBI intentant obligar el destinatari a descarregar i instal·lar programari. [33]

Manipulació d'enllaços

La majoria dels mètodes de pesca utilitzen explotacions tècniques per fer que els enllaços dels correus electrònics semblin autèntics. Altres trucs habituals són l'ús d'URL mal escrits o l'ús de subdominis com http://www.tuabanca.it.esempio.com /, pot semblar a primera vista un lloc legítim, però en realitat apunta a un subdomini d'un altre lloc. Una altra metodologia és registrar un domini treballant en lletres visualment similars, per exemple "a" i "e" o, mitjançant el mateix domini, canviar el sufix de ".it" a ".com".

Filtres de derivació

Amb el pas del temps, els phishers han començat a emmascarar el text inserint-lo a les imatges, cosa que fa més difícil identificar les amenaces per als filtres de phishing. [34] D' altra banda, això ha conduït a una evolució dels filtres, ara capaços de trobar text en imatges. Aquests filtres utilitzen OCR ( reconeixement òptic de caràcters )

Falsificació d’un lloc web

Quan una víctima visita un lloc de pesca, l’atac no s’ha acabat. De fet, la pàgina pot contenir ordres de JavaScript per modificar la barra d’adreces. [35] Es pot fer col·locant una imatge a la barra d'adreces o bé tancant la finestra i obrint-ne una de nova amb l'adreça legítima. [36]

Un atacant també pot utilitzar vulnerabilitats en un lloc de confiança i inserir els seus scripts maliciosos. [37] Aquest tipus d'atacs, coneguts com a scripts entre llocs, són particularment problemàtics perquè tot sembla legítim, inclosos els certificats de seguretat. En realitat, tot es fa ad hoc per dur a terme l'atac, cosa que fa que sigui molt difícil identificar-lo sense coneixements especialitzats. Un d'aquests atacs es va utilitzar el 2006 contra PayPal . [38]

Alguns programes, per gratuïts que siguin, us permeten crear un lloc web "clonat". En uns quants passos, prenen l'estructura i les imatges de la mateixa manera que l'original sense cap esforç i / o sense cap coneixement informàtic. Només en aquest moment, l'atacant inserirà l'inici de sessió per capturar les credencials d'accés, dirigint les credencials a la seva base de dades o més simplement a un fitxer de text. Generalment adopten dos principis: acceptar totes les contrasenyes, sense cap correcció de la informació introduïda o rebutjar totes les contrasenyes, proposant així recuperar la contrasenya oblidada.

Phishing telefònic

La pesca no sempre implica l’ús d’un lloc web ni d’un correu electrònic, de fet s’envien missatges de text als usuaris que diuen que hi ha hagut problemes amb els seus comptes bancaris. [39] Quan es crida el número indicat (manipulat pel phisher, normalment és un número de veu sobre IP ) al missatge, es demana a l'usuari el seu PIN. Vishing (phishing per veu) de vegades utilitza un número de trucada fals per donar l’aspecte d’una organització de confiança. [40] En alguns casos, el phisher intenta obtenir de manera fraudulenta mitjançant WhatsApp , no dades financeres ni codis PIN, sinó còpies de documents d'identitat que després utilitzarà per a estafes posteriors. [41]

Anti-phishing

Fins al 2007, l'adopció d'estratègies antifishing per protegir les dades personals i financeres era baixa. [42] Ara hi ha moltes tècniques per combatre el phishing, incloses les lleis i les tecnologies creades específicament per a la protecció. Aquestes tècniques inclouen passos que poden ser utilitzats tant per persones com per organitzacions.

Els telèfons, llocs web i correus electrònics de pesca poden informar-se a les autoritats, tal com es descriu aquí .

Instrucció

Una de les estratègies per combatre el phishing és formar persones per reconèixer els atacs i tractar-los. L'educació pot ser molt eficaç, especialment si es subratllen certs conceptes [43] [44] i se'ls dóna retroalimentació directa. [45]

El Grup de Treball Anti-Phishing , una agència de seguretat, ha suggerit que les tècniques convencionals de pesca poden quedar obsoletes en el futur, amb una creixent consciència de les persones sobre les tècniques d’ enginyeria social que fan servir els phishers . [46] També va predir que la farmàcia i diversos usos de programari maliciós seran més comuns per robar informació.

Tothom pot ajudar el públic fomentant pràctiques segures i evitant les perilloses. Malauradament, fins i tot els jugadors més coneguts inciten els usuaris a pràctiques de risc, per exemple, obligant els seus usuaris a revelar les seves contrasenyes a serveis de tercers, com ara el correu electrònic. [47]

Resposta tècnica

S'han implementat mesures antifishing als navegadors, com a extensions o barres d'eines, i com a part dels procediments d'inici de sessió. [48] També hi ha programari antifishing. Sens dubte, és útil llegir atentament el correu electrònic rebut tant pel remitent com pel cos del missatge. L'atacant enviarà un text on les emocions es "colpejaran" i tendiran a ser precipitades en voler reparar el problema descrit. Per aquest motiu, la millor mesura contrària no és fer un seguiment del correu electrònic, sinó obrir una nova pàgina al navegador i contactar amb el lloc directament des de l’URL que coneixeu o cercar directament des del motor de cerca. Si per alguna raó, erròniament, seguim l’enllaç del correu electrònic, és útil recordar, tal com es descriu al paràgraf sobre falsificació d’un lloc web , per error voluntari de les credencials d’inici de sessió per comprovar si el lloc les ha d’acceptar de totes maneres. Per contra, si no s’accepten les contrasenyes correctes, no les recupereu immediatament, sinó que us connecteu directament al lloc interessat o des del motor de cerca. Si heu cedit les vostres credencials, canvieu-les ràpidament. Si les credencials corresponen a aspectes financers (com ara un compte bancari o postal), poseu-vos en contacte immediatament amb la policia postal i presenteu una queixa formal. Aquests són alguns dels principals enfocaments del problema.

Ajuda per identificar llocs legítims

La majoria de llocs objectiu que castiguen són SSL protegits amb xifratge fort, on s’utilitza l’URL del lloc web com a identificador. En teoria, això hauria de confirmar l'autenticitat del lloc, però a la pràctica és fàcil desplaçar-se. La vulnerabilitat explotada rau en la interfície d’usuari (IU) del navegador. La connexió utilitzada s'indica amb colors a l'URL del navegador (bloc verd per al certificat EV, https escrit en verd)

Navegadors que alerten l'usuari quan visita llocs de frau

Un altre enfocament popular per lluitar contra la pesca és mantenir una llista de llocs de pesca coneguts i comprovar si l'usuari els visita. Tots els navegadors populars incorporen aquest tipus de protecció. [48] [49] [50] [51] [52] Algunes implementacions d’aquest enfocament envien les URL visitades a un servei central, cosa que ha suscitat problemes de privadesa. [53] Aquesta protecció també es pot aplicar a nivell de DNS, filtrant les sol·licituds malintencionades, aquest enfocament es pot aplicar a qualsevol navegador [54] i és similar a l'ús d'un fitxer amfitrió (un fitxer en el qual definiu destinacions personalitzades per a dominis).

Argumentar els inicis de sessió de contrasenya

El lloc del Banc d’Amèrica [55] [56] és un dels molts llocs que ha adoptat aquest sistema, consisteix en permetre a l’usuari triar una imatge en registrar-se i mostrar aquesta imatge a cada inici de sessió posterior. D'aquesta manera, atès que la imatge només és coneguda per l'usuari i el lloc legítim en un possible atac de pesca, aquesta estaria absent o equivocada. Malauradament, però, molts estudis han suggerit que l'usuari ignora la manca de la seva imatge personal i introdueix la seva contrasenya de totes maneres. [57] [58]

Eliminació dels correus electrònics de pesca

Actuem sobre una de les fonts de pesca (suplantació d’identitat), concretament intentem eliminar els correus electrònics mitjançant filtres especialitzats contra el correu brossa, disminuir les amenaces disminueix les possibilitats de ser enganyats. Els filtres es basen en l’aprenentatge automàtic [59] i el processament del llenguatge natural per classificar els correus electrònics en risc. [60] [61] La verificació de l'adreça de correu electrònic és un nou enfocament. [62]

Seguiment i bloqueig

Moltes empreses ofereixen serveis de control i anàlisi per a bancs i organitzacions amb l’objectiu de bloquejar els llocs de pesca. [63] Les persones poden contribuir informant d'estafes de pesca [64] a serveis com Google. [65] [66] cyscon o PhishTank . [67] El tauler d’anuncis del Centre de denúncies d’Internet recopila i gestiona alertes de ransomware i phishing.

Verificació en dos passos de les transaccions

Abans d’autoritzar operacions confidencials, s’envia un missatge telefònic [68] amb un codi de verificació a introduir a més de la contrasenya.

Límits de la resposta tècnica

Un article de Forbes de l’agost del 2014 argumenta que el phishing resisteix les tecnologies antifishing perquè una tecnologia no pot compensar totalment la incompetència humana ("un sistema tecnològic per mediar les debilitats humanes"). [69]

Casos judicials i primeres condemnes penals

El 2007, amb la sentència del Tribunal de Milà [70] , per primera vegada a Itàlia, hi va haver la condemna de membres d'una associació transnacional dedicada a la comissió de delictes de pesca [71] . Aquesta sentència es va confirmar al Tribunal Suprem el 2011.

El 2008, amb una sentència del Tribunal de Milà [72] , es va condemnar la primera vegada a Itàlia per blanqueig de capitals [73] d’assumptes que, com a gestors financers , s’havien prestat a la recaptació i a la transferència de sumes de diners procedents de phishing delictes en detriment dels titulars de comptes italians [74]

Per tant, aquestes dues frases han indicat quines regles es poden aplicar a aquest nou fenomen criminal, ja que en el moment a Itàlia suplantació d'identitat encara no estava regulada específicament, a diferència d'altres legislacions - En primer lloc l'americà -. Que tenen delictes ad hoc [75 ]

Només amb la modificació de l’art. 640-ter del Codi Penal (que va intervenir amb la Llei núm. 119, de 15 d'octubre de 2013), hi va haver una primera intervenció reguladora adequada per incloure aquest tipus particular de robatori d'identitat [76]

Compensació econòmica pels danys causats

Segons la legislació italiana, les institucions de crèdit no estan obligades a protegir els clients contra el frau informàtic. Per tant, no estan obligats a pagar cap indemnització per les quantitats retirades indegudament a causa d’una violació del compte d’ Internet dels clients o de la clonació dels seus caixers automàtics o targetes de crèdit. Una disposició recent del GUP de Milà , de 10 d’octubre de 2008 , establia que només l’existència d’una obligació contractual precisa per part de bCome hip de mantenir el client indemne de qualsevol tipus d’agressió a les quantitats dipositades podia atribuir a l’entitat qualificació danyada pel delicte.

Gràfic que mostra el nombre de "phishing" entre 2004 i 2005

Els contractes individuals d’obertura d’un compte corrent i banca a casa poden establir que, en casos específics, el banc estigui obligat a indemnitzar el client per les quantitats retirades indegudament. Sovint, l'entitat de crèdit està coberta pel risc de robatori o pèrdua de dades i targetes d'identificació. El cost d'aquesta reassegurança es repercuteix en els clients, que de vegades es beneficien de clàusules contractuals a favor seu per a aquest tipus de cobertura.

L’institut sol rebutjar una indemnització si el client, a més de perdre la targeta, també ha perdut el PIN d’ accés; de la mateixa manera, per a la banca a domicili, es nega a retornar les sumes si el client ha perdut la contrasenya d' accés junt amb el testimoni . Això configura la negligència per part del client i la possibilitat de frau i frau a l'entitat de crèdit: el client podria transferir les seves dades i targeta a tercers, que, d'acord amb el client, podrien fer retirades, mentre el propietari declara pèrdua o robatori.

No obstant això, el banc (o una altra institució o empresa) té la càrrega d’aplicar tant les mesures mínimes de seguretat establertes al Decret legislatiu 196/03 per protegir les dades personals del client, com d’implementar totes aquelles mesures preventives i adequades que, fins i tot en base fins al progrés tècnic, poden minimitzar els riscos. De fet, en cas de robatori de credencials, fins i tot si el banc acusa l’usuari de ser-ne responsable perquè pot haver respost als correus electrònics de pesca, s’ha de demostrar al jutge que ha implementat totes les mesures (tant les mínimes establertes i les adequades i preventives que s’han d’avaluar cas per cas amb una avaluació de riscos (obligatòria) i un document programàtic de seguretat) per minimitzar els riscos.

Si el banc no ha implementat mesures habituals en altres bancs per a la prevenció de fraus informàtics, accessos no autoritzats, etc., per exemple, podria exigir-se una indemnització per l'usuari. La Recomanació Europea n. El 489 de 1997 estableix que des de la data de la comunicació al banc d'haver patit una estafa (amb al·legació de l'informe policial), el titular del compte no es pot fer responsable de l'ús que hagin fet tercers del seu compte, per tant, dels diners robats se li ha de retornar.

Com protegir-se de la pesca (suplantació d'identitat)

La regla número u, que heu de tenir en compte quan navegueu per Internet, és parar molta atenció als enllaços i, en particular, a la forma d’escriure l’adreça ( URL ). Especialment quan l’enllaç se’ns presenta en un missatge enviat per correu electrònic o des de sistemes de missatgeria instantània, fins i tot de persones que coneixem i confiem. Aquests missatges es poden enviar des de comptes compromesos i els delinqüents solen utilitzar petits errors "ortogràfics" per enganyar el destinatari.

Si el lloc és notòriament segur i requereix la inclusió de dades personals o el número de la targeta de crèdit, sempre cal comprovar no només que la connexió és segura ( HTTPS ), sinó també que el lloc web és realment el lloc que afirma ser , comprovant acuradament l’adreça. Segons algunes investigacions, avui més del 70% dels llocs de pesca utilitzen connexions segures [77] .

Al web hi ha diversos portals que tracten sobre la lluita contra la desinformació i les estafes que es propaguen a través del web, que permeten mantenir-se informat sobre les estafes al seu lloc per evitar caure en les trampes dels estafadors.

Nota

  1. Ramzan, Zulfikar, Phishing attack and countermeasures , a Stamp, Mark & ​​Stavroulakis, Peter (eds), Handbook of Information and Communication Security , Springer, 2010, ISBN 978-3-642-04117-4 .
  2. Van der Merwe, AJ, Loock, M, Dabrowski, M. (2005), Característiques i responsabilitats implicades en un atac de pesca, Simposi internacional d'hivern sobre tecnologies de la informació i la comunicació, Ciutat del Cap, gener de 2005.
  3. ^ Spam Slayer: parles correu brossa? , a pcworld.com .
  4. ^ Oxford English Dictionary Online, "phishing, n". OED en línia, març de 2006, Oxford University Press. , a dictionary.oed.com .
  5. ^ Phishing , a itre.cis.upenn.edu .
  6. ^ Anthony Mitchell, A Leet Primer , a http://www.technewsworld.com/story/47607.html . , TechNewsWorld, 12 de juliol de 2005.
  7. ^ Coneix el teu enemic: pesca , a honeynet.org . Consultat el 8 de juliol de 2006 (arxivat de l' original el 20 de març de 2018) .
  8. ^ Phishing i xifratge: entre les bones intencions per al 2020 també posem seguretat IT , a lastampa.it .
  9. Felix, Jerry i Hauck, Chris, System Security: A Hacker Perspective , el 1987 Interex Proceedings , vol. 8, setembre de 1987, pàg. 6.
  10. ^ "phish, v." OED en línia, març de 2006, Oxford University Press. Oxford English Dictionary Online , a dictionary.oed.com .
  11. ^ Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks , at technicalinfo.net .
  12. ^ APWG Phishing Attack Trends Reports , a apwg.org . URL consultato il 21 aprile 2015 .
  13. ^ Kris Sangani, The Battle Against Identity Theft , in The Banker , vol. 70, n. 9, September 2003, pp. 53-54.
  14. ^ In 2005, Organized Crime Will Back Phishers , su IT Management , 23 dicembre 2004 (archiviato dall' url originale il 31 gennaio 2011) .
  15. ^ Abad, Christopher , The economy of phishing: A survey of the operations of the phishing market , su First Monday , September 2005. URL consultato il 30 giugno 2016 (archiviato dall' url originale il 21 novembre 2011) .
  16. ^ Keizer, Greg, Suspected Chinese spear-phishing attacks continue to hit Gmail users , su Computer World . URL consultato il 4 dicembre 2011 .
  17. ^ Ewing, Philip, Report: Chinese TV doc reveals cyber-mischief , su Dod Buzz . URL consultato il 4 dicembre 2011 (archiviato dall' url originale il 26 gennaio 2017) .
  18. ^ Liz O'Connell, Report: Email phishing scam led to Target breach , su BringMeTheNews.com . URL consultato il 15 settembre 2014 .
  19. ^ Paul Ausick, Target CEO Sack , su 247wallst.com . URL consultato il 15 settembre 2014 .
  20. ^ Anatomy of an RSA attack , su RSA.com , RSA FraudAction Research Labs. URL consultato il 15 settembre 2014 (archiviato dall' url originale il 6 ottobre 2014) .
  21. ^ Christopher Drew e John Markoff, Data Breach at Security Firm Linked to Attack on Lockheed , The New York Times, 27 maggio 2011. URL consultato il 15 settembre 2014 .
  22. ^ Michael Winter, Data: Nearly All US Home Depot Stores Hit , su USA Today . URL consultato il 16 marzo 2016 .
  23. ^ ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented , su icann.org . URL consultato il 18 dicembre 2014 .
  24. ^ 1-Click Hosting at RapidTec — Warning of Phishing! , su rapidshare.de . URL consultato il 21 dicembre 2008 (archiviato dall' url originale il 30 aprile 2008) .
  25. ^ Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims , su sophos.com (archiviato dall' url originale il 5 maggio 2009) .
  26. ^ [ https://www.washingtonpost.com/wp-dyn/content/story/2007/10/12/ST2007101202661.html?hpid=topnews Shadowy Russian Firm Seen as Conduit for Cybercrime , by Brian Krebs, Washington Post , October 13, 2007
  27. ^ APWG, Phishing Activity Trends Report ( PDF ), su apwg.org . URL consultato il 4 novembre 2013 (archiviato dall' url originale il 3 ottobre 2012) .
  28. ^ Leo Kelion, Cryptolocker ransomware has 'infected about 250,000 PCs' , in BBC , 24 dicembre 2013. URL consultato il 24 dicembre 2013 .
  29. ^ F.Cajani, G. Costabile, G. Mazzaraco, Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè , 2008.
  30. ^ What is spear phishing? , su Microsoft Security At Home . URL consultato l'11 giugno 2011 (archiviato dall' url originale il 6 agosto 2011) .
  31. ^ Debbie Stephenson, Spear Phishing: Who's Getting Caught? , su firmex.com , Firmex. URL consultato il 27 luglio 2014 .
  32. ^ Fake subpoenas harpoon 2,100 corporate fat cats , su theregister.co.uk , The Register. URL consultato il 17 aprile 2008 (archiviato dall' url originale il 31 gennaio 2011) .
  33. ^ What Is 'Whaling'? Is Whaling Like 'Spear Phishing'? , su netforbeginners.about.com , About Tech. URL consultato il 28 marzo 2015 ( archiviato il 28 marzo 2015) .
  34. ^ Mutton, Paul, Fraudsters seek to make phishing sites undetectable by content filters , su Netcraft ( archiviato il 31 gennaio 2011) .
  35. ^ Mutton, Paul, Phishing Web Site Methods , su FraudWatch International . URL consultato il 14 dicembre 2006 (archiviato dall' url originale il 31 gennaio 2011) .
  36. ^ Phishing con hijacks browser bar , BBC News, 8 aprile 2004.
  37. ^ Krebs, Brian, Flaws in Financial Sites Aid Scammers , in Security Fix . URL consultato il 28 giugno 2006 (archiviato dall' url originale il 31 gennaio 2011) .
  38. ^ Mutton, Paul, PayPal Security Flaw allows Identity Theft , su Netcraft . URL consultato il 19 giugno 2006 ( archiviato il 31 gennaio 2011) .
  39. ^ Antone Gonsalves, Phishers Snare Victims With VoIP , Techweb, 25 aprile 2006 (archiviato dall' url originale il 28 marzo 2007) .
  40. ^ Identity thieves take advantage of VoIP , Silicon.com, 21 marzo 2005 (archiviato dall' url originale il 24 marzo 2005) .
  41. ^ Richiesta di documenti tramite WhatsApp? Attenti alle truffe! | Tellows Blog , su blog.tellows.it . URL consultato il 17 luglio 2019 .
  42. ^ Emiley Baker, Wade Baker e John Tedesco, Organizations Respond to Phishing: Exploring the Public Relations Tackle Box , in Communication Research Reports , vol. 24, n. 4, 2007, p. 327, DOI : 10.1080/08824090701624239 .
  43. ^ Nalin Arachchilage, Steve Love e Michael Scott, Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks' , in International Journal for e-Learning Security , vol. 2, n. 1, Infonomics Society, 1º giugno 2012, pp. 127-132. URL consultato il 1º aprile 2016 .
  44. ^ Michael Scott, Gheorghita Ghinea e Nalin Arachchilage, Assessing the Role of Conceptual Knowledge in an Anti-Phishing Educational Game ( PDF ), Proceedings of the 14th IEEE International Conference on Advanced Learning Technologies , IEEE, 7 luglio 2014, p. 218, DOI : 10.1109/ICALT.2014.70 . URL consultato il 1º aprile 2016 .
  45. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge, Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System ( PDF ), su Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. , November 2006. URL consultato il 14 novembre 2006 (archiviato dall' url originale il 30 gennaio 2007) .
  46. ^ Dawn Kawamoto, Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats. , ZDNet India, 4 agosto 2005 (archiviato dall' url originale il 30 novembre 2005) .
  47. ^ Social networking site teaches insecure password practices , in Blog.anta.net , 9 novembre 2008, ISSN 1797-1993 ( WC · ACNP ) . URL consultato il 9 novembre 2008 (archiviato dall' url originale il 7 gennaio 2009) .
  48. ^ a b Safe Browsing (Google Online Security Blog) , su googleonlinesecurity.blogspot.jp . URL consultato il 21 giugno 2012 .
  49. ^ Franco, Rob, Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers , su IEBlog . URL consultato il 20 maggio 2006 ( archiviato il 17 gennaio 2010) .
  50. ^ Bon Echo Anti-Phishing , su Mozilla . URL consultato il 2 giugno 2006 (archiviato dall' url originale il 23 agosto 2011) .
  51. ^ Safari 3.2 finally gains phishing protection , su Ars Technica , 13 novembre 2008. URL consultato il 15 novembre 2008 ( archiviato il 23 agosto 2011) .
  52. ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows , 3Sharp, 27 settembre 2006. URL consultato il 20 ottobre 2006 (archiviato dall' url originale il 14 gennaio 2008) .
  53. ^ Two Things That Bother Me About Google's New Firefox Extension , su Nitesh Dhanjani on O'Reilly ONLamp . URL consultato il 1º luglio 2007 (archiviato dall' url originale il 15 ottobre 2007) .
  54. ^ Higgins, Kelly Jackson, DNS Gets Anti-Phishing Hook , su Dark Reading . URL consultato l'8 ottobre 2006 ( archiviato il 18 agosto 2011) .
  55. ^ Bank of America, How Bank of America SiteKey Works For Online Banking Security , su bankofamerica.com . URL consultato il 23 gennaio 2007 ( archiviato il 23 agosto 2011) .
  56. ^ Bill Brubaker, Bank of America Personalizes Cyber-Security , Washington Post, 14 luglio 2005.
  57. ^ Brad Stone, Study Finds Web Antifraud Measure Ineffective , New York Times, 5 febbraio 2007. URL consultato il 5 febbraio 2007 .
  58. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer, The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies ( PDF ), su IEEE Symposium on Security and Privacy, May 2007 , May 2007. URL consultato il 5 febbraio 2007 (archiviato dall' url originale il 6 aprile 2008) .
  59. ^ Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira, Obtaining the Threat Model for E-mail Phishing ( PDF ), su Applied Soft Computing , July 2011, DOI : 10.1016/j.asoc.2011.06.016 . URL consultato il 30 giugno 2016 (archiviato dall' url originale il 2 gennaio 2013) .
  60. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya, Phishing E-mail Detection Based on Structural Properties ( PDF ), su NYS Cyber Security Symposium , March 2006 (archiviato dall' url originale il 16 febbraio 2008) .
  61. ^ Ian Fette, Norman Sadeh, Anthony Tomasic, Learning to Detect Phishing Emails ( PDF ), su Carnegie Mellon University Technical Report CMU-ISRI-06-112 , June 2006.
  62. ^ Landing another blow against email phishing (Google Online Security Blog) , su googleonlinesecurity.blogspot.jp . URL consultato il 21 giugno 2012 .
  63. ^ Anti-Phishing Working Group: Vendor Solutions , su Anti-Phishing Working Group . URL consultato il 6 luglio 2006 (archiviato dall' url originale il 31 gennaio 2011) .
  64. ^ Robert McMillan, New sites let users find and report phishing , LinuxWorld, 28 marzo 2006 (archiviato dall' url originale il 19 gennaio 2009) .
  65. ^ "Report phishing" page, Google
  66. ^ How to report phishing scams to Google Archiviato il 14 aprile 2013 in Archive.is . Consumer Scams.org
  67. ^ Bruce Schneier , PhishTank , su Schneier on Security , 5 ottobre 2006. URL consultato il 7 dicembre 2007 ( archiviato il 31 gennaio 2011) .
  68. ^ Using the smartphone to verify and sign online banking transactions , SafeSigner.
  69. ^ Joseph Steinberg , Why You Are At Risk Of Phishing Attacks , su Forbes . URL consultato il 14 novembre 2014 .
  70. ^ Tribunale di Milano, sentenza del 10.12.2007 - est. Gamacchio (Giudice per l'udienza preliminare): cfr. R. Flor, Frodi identitiarie e diritto penale , in Riv. giurisp. econ. az. , 2008, 4, p. 184; A. Sorgato, I l reato informatico: alcuni casi pratici , in Giur. pen. , 2008, 11, p. 40
  71. ^ L. Fazzo, «Ecco come noi hacker romeni vi svuotiamo i conti bancari» , in Il Giornale , 11 dicembre 2007
  72. ^ Tribunale di Milano, sentenza del 29.10.2008, est. Luerti (Giudice per l'udienza preliminare) in Corr. Mer. , 2009, 3, pp. 285 e ss. con nota di F. Agnino, Computer crime e fattispecie penali tradizionali: quando il phishing integra il delitto di truffa
  73. ^ L. Ferrarella , Soldi trasferiti online. «È riciclaggio» , in Corriere della Sera , 7 gennaio 2009
  74. ^ F. Tedeschi, Lotta al cybercrime. Intervista esclusiva al magistrato a caccia delle nuove mafie
  75. ^ S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali , Experta, 2011
  76. ^ F. Cajani, La tutela penale dell'identità digitale alla luce delle novità introdotte dal dl 14 agosto 2013 n. 93 (convertito con modificazioni dalla l. 15 ottobre 2013, n. 119) , in Cassazione penale , 3, 2014, pp. 1094 ss.
  77. ^ Anti-Phishing Working Group - Reports , su apwg.org .

Voci correlate

Altri progetti

Collegamenti esterni

Controllo di autorità LCCN ( EN ) sh2005003206 · GND ( DE ) 7515821-8
Sicurezza informatica Portale Sicurezza informatica : accedi alle voci di Wikipedia che trattano di sicurezza informatica