Phishing

El phishing és un tipus d’ estafa realitzada a Internet mitjançant la qual un atacant intenta enganyar la víctima proporcionant informació personal, dades financeres o codis d’accés, fent-se passar per una entitat de confiança en una comunicació digital. [1] [2]
El terme phishing és una variant de la pesca (literalment "pescar" en anglès ), [3] probablement influït pel phreaking [4] [5] i al·ludeix a l'ús de tècniques cada vegada més sofisticades per "pescar" dades financeres i contrasenyes. A usuari. La paraula també es pot relacionar amb el llenguatge leet , en què la lletra f se sol substituir per ph. [6] La teoria popular és que es tracta d'un portmanteau de recollida de contrasenyes [7] , és un exemple de pseudoetimologia .
Descripció
Es tracta d’una activitat il·legal que explota una tècnica d’ enginyeria social : l’atacant realitza un enviament massiu de missatges que imiten, en aparença i contingut, missatges legítims dels proveïdors de serveis; aquests missatges fraudulents requereixen que proporcioneu informació confidencial com, per exemple, el vostre número de targeta de crèdit o contrasenya per accedir a un servei concret. En la seva major part, es tracta d’una estafa perpetrada mitjançant missatges de correu electrònic, però hi ha casos similars que exploten altres mitjans, com ara els missatges SMS.
La pesca és una amenaça actual, el risc és encara més gran a les xarxes socials com Facebook i Twitter . De fet, els pirates informàtics podrien crear un clon del lloc i demanar a l’usuari que introduïa la seva informació personal. Els pirates informàtics solen aprofitar que aquests llocs s’utilitzen a casa, a la feina i en llocs públics per obtenir informació personal o comercial.
Segons una enquesta realitzada el 2019, només el 17,93% dels enquestats seria capaç d’identificar tots els diferents tipus de pesca (inclosos els correus electrònics o missatges de text que contenen enllaços maliciosos o llocs web que repliquin pàgines legítimes). [8]
Història
Es va descriure detalladament una tècnica de pesca (suplantació d’identitat) en un tractat presentat el 1987 a l’International HP Users Group, Interex. [9]
La primera menció registrada del terme phishing es troba al grup de notícies Usenet alt.online-service.america-online el 2 de gener de 1996 [10] , tot i que el terme pot haver aparegut anteriorment a l'edició impresa de la revista hacker 2600 . [11]
Segons Ghosh, hi va haver 445'004 atacs el 2012, 258'461 el 2011 i 187'203 el 2010, cosa que demostra que l'amenaça de pesca està augmentant.
Curs | Gener | Febrer | Març | Abril | Maig | juny | Juliol | Agost | Setembre | Octubre | de novembre | Desembre | Total |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2005 | 12 845 | 13 468 | 12 883 | 14 411 | 14 987 | 15 050 | 14 135 | 13 776 | 13 562 | 15 820 | 16 882 | 15 244 | 173 063 |
2006 | 17 877 | 17 163 | 18 480 | 17 490 | 20 109 | 28 571 | 23 670 | 26 150 | 22 136 | 26 877 | 25 816 | 23 787 | 268 126 |
2007 | 29 930 | 23 610 | 24 853 | 23 656 | 23 415 | 28 888 | 23 917 | 25 624 | 38 514 | 31 650 | 28 074 | 25 683 | 327 814 |
2008 | 29 284 | 30 716 | 25 630 | 24 924 | 23 762 | 28 151 | 24 007 | 33 928 | 33 261 | 34 758 | 24 357 | 23 187 | 335 965 |
2009 | 34 588 | 31 298 | 30 125 | 35 287 | 37 165 | 35 918 | 34 683 | 40 621 | 40 066 | 33 254 | 30 490 | 28 897 | 412 392 |
2010 | 29 499 | 26 909 | 30 577 | 24 664 | 26 781 | 33 617 | 26 353 | 25 273 | 22 188 | 23 619 | 23 017 | 21 020 | 313 517 |
2011 | 23 535 | 25 018 | 26 402 | 20 908 | 22 195 | 22 273 | 24 129 | 23 327 | 18 388 | 19 606 | 25 685 | 32 979 | 284 445 |
2012 | 25 444 | 30 237 | 29 762 | 25 850 | 33 464 | 24 811 | 30 955 | 21 751 | 21 684 | 23 365 | 24 563 | 28 195 | 320 081 |
2013 | 28 850 | 25 385 | 19 892 | 20 086 | 18 297 | 38 100 | 61 453 | 61 792 | 56 767 | 55 241 | 53 047 | 52 489 | 491 399 |
2014 | 53 984 | 56 883 | 60 925 | 57 733 | 60 809 | 53 259 | 55 282 | 54 390 | 53 661 | 68 270 | 66 217 | 62 765 | 704 178 |
2015 | 49 608 | 55 795 | 115 808 | 142 099 | 149 616 | 125 757 | 142 155 | 146 439 | 106 421 | 194 499 | 105 233 | 80 548 | 1 413 978 |
2016 | 99 384 | 229 315 | 229 265 | 121 028 | 96 490 | 98 006 | 93 160 | 66 166 | 69 925 | 51 153 | 64 324 | 95 555 | 1 313 771 |
2017 | 96 148 | 100 932 | 121 860 | 87 453 | 93 285 | 92 657 | 99 024 | 99 172 | 98 012 | 61 322 | 86 547 | 85 744 | 1 122 156 |
2018 | 89 250 | 89 010 | 84 444 | 91 054 | 82 547 | 90 882 | 93 078 | 89 323 | 88 156 | 87 619 | 64 905 | 87 386 | 1 040 654 |
2019 | 34 630 | 35 364 | 42 399 | 37 054 | 40 177 | 34 932 | 35 530 | 40 457 | 42 273 | 45 057 | 42 424 | 45 072 | 475 369 |
Primeres accions de pesca a AOL
La pesca amb AOL estava estretament relacionada amb la comunitat de warez que comercialitzava programari sense llicència. AOHell, llançat a principis de 1995, era un programa destinat a atacar els usuaris d'AOL fent-se passar per un representant de l'empresa AOL. A finals de 1995, AOL va aplicar mesures per evitar l'obertura de comptes mitjançant targetes de crèdit falses generades algorítmicament. Els crackers van començar a atacar usuaris reals per obtenir els seus perfils.
Transició a operacions més grans
Haver obtingut comptes AOL pot haver permès als phishers fer un ús indegut de les targetes de crèdit, però sobretot va suposar que els atacs als sistemes de pagament podrien ser viables. El primer atac directe conegut contra un sistema de pagament va ser contra E-Gold el juny del 2001, que va ser seguit per un "control d'identificació post-9/11". Tots dos es van veure com fracassos en aquell moment, però ara es poden veure com primers experiments per atacs més complexos contra bancs tradicionals. El setembre de 2003 es va produir el primer atac contra un banc, i va ser informat per The Banker en un article escrit per Kris Sangani titulat "Batalla contra el robatori d'identitat". [13] .
El 2004, el phishing era reconegut com una part totalment consolidada de l’economia del crim: van sorgir especialitzacions mundials per dur a terme operacions, que es van sumar per als atacs finals. [14] [15]
El 2011, una campanya de pesca de pesca xinesa es va dirigir als comptes de Gmail d’alts funcionaris governamentals i militars dels Estats Units i Corea del Sud, així com d’activistes xinesos. [16] El govern xinès ha negat qualsevol acusació que hagués participat en aquest atac des del seu territori, però hi ha proves que l' Exèrcit d'Alliberament Popular va ajudar al desenvolupament del programari de ciberatac. [17]
Tècniques de pesca
Atacs de pesca rellevants
Data | Víctima | Detalls de l'atac |
---|---|---|
2013/11 | Objectiu (botigues) | 110 milions de serveis públics, inclosa la targeta de crèdit robada per pesca d'un compte de subcontractista. [18] El CEO i el personal de seguretat informàtica han estat acomiadats. [19] |
2011/03 | Seguretat RSA | El personal intern de RSA va patir phishing [20], cosa que va provocar l' accés principal de claus i el robatori de tots els tokens RSA SecureID, que més tard es van utilitzar per incomplir els venedors de defensa nord-americans. [21] |
2014/09 | Home Depot | La informació de la targeta de crèdit personal i de més de 100 milions de clients de 2200 Home Depots es va posar a la venda en llocs de pirateria. [22] |
2014/11 | ICANN | Es va obtenir accés administratiu al sistema de dades de zones centralitzades , que permetia als atacants accedir a fitxers de zones i dades d’usuari del sistema. A més d'això, també es va obtenir al wiki, al bloc i al portal d'informació de whois del comitè assessor governamental públic d' I CANN . [23] |
El servei d’intercanvi de fitxers RapidShare ha estat víctima de pesca per obtenir credencials de compte premium, que no tenen restriccions quant a la velocitat i el nombre de descàrregues. [24]
Els atacants que van accedir a la base de dades de TD Ameritrade que contenia 6,3 milions d’adreces de correu electrònic van llançar posteriorment un atac de pesca contra els esmentats correus electrònics per obtenir un nom d’usuari i una contrasenya. [25]
Gairebé la meitat dels robatoris de credencials a través de phishing el 2006 van ser comesos per grups que operaven a través de la xarxa empresarial russa amb seu a Sant Petersburg . [26]
Al tercer trimestre del 2009, el Grup de Treball Anti-Phishing va informar de tenir 115.370 informes de correus electrònics de pesca de consumidors nord-americans amb la Xina que allotjava més del 25% de les pàgines ofensives. [27]
Des de desembre de 2013, el ransomware Cryptolocker ha infectat 250.000 ordinadors. Inicialment, l'objectiu era els usuaris empresarials i s'utilitzava un arxiu Zip adjunt a un correu electrònic que afirma que provenia d'una queixa del consumidor i, a continuació, passava a un públic més ampli mitjançant un correu electrònic sobre un problema amb un xec. El programari de rescat va xifrar els fitxers i va exigir un rescat per obtenir la clau de desxifratge (perquè poguessin recuperar els fitxers). Segons Dell SecureWorks, més del 0,4% dels infectats han pagat el rescat. [28]
Mètode general d'atac
El procés estàndard de les metodologies d'atac de pesca es pot resumir en les següents etapes:
- l'usuari maliciós ( phisher ) envia un missatge de correu electrònic a un usuari que simula, en gràfics i contingut, el d'una institució coneguda pel destinatari (per exemple, el seu banc, el seu proveïdor web, un lloc de subhastes en línia al qual està inscrit) .
- el correu electrònic conté gairebé sempre avisos de situacions o problemes concrets que es produeixen amb el vostre compte / compte corrent (per exemple, un dèbit enorme, la caducitat del compte, etc.) o una oferta de diners.
- el correu electrònic convida el destinatari a seguir un enllaç, present al missatge, per evitar que se li cobri i / o regularitzi la seva posició amb l’entitat o l’empresa el gràfic i el disseny del qual simuli el missatge (Fake login).
- no obstant això, l'enllaç proporcionat no condueix al lloc web oficial, sinó a una còpia fictícia aparentment similar al lloc web oficial, situat en un servidor controlat pel phisher, amb la finalitat de sol·licitar i obtenir dades personals particulars del destinatari, normalment amb la confirmació de l’excusa o la necessitat d’autenticar el sistema; aquesta informació l’emmagatzema el servidor gestionat pel phisher i, per tant, acaba en mans de l’atacant.
- el phisher utilitza aquestes dades per comprar béns, transferir diners o, fins i tot, com a "pont" per a nous atacs.
De vegades, el correu electrònic conté una invitació per aprofitar una nova "oportunitat de feina" (com a operador financer o gestor financer ), que consisteix a proporcionar les dades bancàries del vostre compte en línia per rebre el crèdit de les sumes que després es reembossaran. a l’estranger mitjançant sistemes de transferència de diners (Western Union o Money Gram), retenint un percentatge de l’import, que pot arribar a xifres molt elevades. En realitat, es tracta de diners robats a través de phishing , per als quals el titular del destinatari del compte en línia, sovint de bona fe, comet el delicte de blanqueig de diners . Aquesta activitat implica per al phisher la pèrdua d’un percentatge determinat del que va aconseguir robar, però encara hi ha interès a dispersar els diners robats en molts comptes corrents i a fer retransferències a diferents països, perquè d’aquesta manera es fa més difícil per rastrejar la identitat del cibercriminal i reconstruir completament el mecanisme il·lícit. A més, si les transferències impliquen diversos països, s’allarguen els temps per a la reconstrucció de les transaccions bancàries, ja que sovint és necessària una carta de cartes i l’obertura d’un procediment amb la justícia local de cada país interessat [29] .
Llista de tipus de pesca
- Phishing
- El phishing és un tipus d’ estafa realitzada a Internet mitjançant la qual un atacant intenta obtenir informació personal, dades financeres o codis d’accés fent-se passar per una entitat de confiança en una comunicació digital.
- Spear phishing
- Un atac dirigit a una persona o empresa s’ha anomenat spear phishing . [30] Els atacants poden buscar informació sobre l'objectiu per augmentar les probabilitats d'èxit. Aquesta tècnica és, a la llarga, la més estesa a Internet, amb un 91% d’atacs. [31]
- Clonar la pesca
- És un tipus de pesca en què es modifica un correu electrònic legítim en fitxers adjunts o enllaços i es torna a enviar als destinataris, afirmant que és una versió actualitzada. Les parts modificades del correu electrònic estan destinades a enganyar el destinatari. Aquest atac aprofita la confiança que es té en reconèixer un correu electrònic rebut prèviament.
- La caça de balenes
- Darrerament, molts atacs de pesca han estat dirigits a figures destacades d’empreses o organitzacions, i el terme caça de balenes s’ha encunyat per a aquest tipus d’atacs. [32] S'enmascara un correu / pàgina web per obtenir les credencials d'un administrador. El contingut s’adapta a la finalitat, sovint s’escriu com a citació legal, com a problema administratiu o com a reclamació del client. També es van utilitzar correus electrònics idèntics als de l’FBI intentant obligar el destinatari a descarregar i instal·lar programari. [33]
Manipulació d'enllaços
La majoria dels mètodes de pesca utilitzen explotacions tècniques per fer que els enllaços dels correus electrònics semblin autèntics. Altres trucs habituals són l'ús d'URL mal escrits o l'ús de subdominis com http://www.tuabanca.it.esempio.com /,
pot semblar a primera vista un lloc legítim, però en realitat apunta a un subdomini d'un altre lloc. Una altra metodologia és registrar un domini treballant en lletres visualment similars, per exemple "a" i "e" o, mitjançant el mateix domini, canviar el sufix de ".it" a ".com".
Filtres de derivació
Amb el pas del temps, els phishers han començat a emmascarar el text inserint-lo a les imatges, cosa que fa més difícil identificar les amenaces per als filtres de phishing. [34] D' altra banda, això ha conduït a una evolució dels filtres, ara capaços de trobar text en imatges. Aquests filtres utilitzen OCR ( reconeixement òptic de caràcters )
Falsificació d’un lloc web
Quan una víctima visita un lloc de pesca, l’atac no s’ha acabat. De fet, la pàgina pot contenir ordres de JavaScript per modificar la barra d’adreces. [35] Es pot fer col·locant una imatge a la barra d'adreces o bé tancant la finestra i obrint-ne una de nova amb l'adreça legítima. [36]
Un atacant també pot utilitzar vulnerabilitats en un lloc de confiança i inserir els seus scripts maliciosos. [37] Aquest tipus d'atacs, coneguts com a scripts entre llocs, són particularment problemàtics perquè tot sembla legítim, inclosos els certificats de seguretat. En realitat, tot es fa ad hoc per dur a terme l'atac, cosa que fa que sigui molt difícil identificar-lo sense coneixements especialitzats. Un d'aquests atacs es va utilitzar el 2006 contra PayPal . [38]
Alguns programes, per gratuïts que siguin, us permeten crear un lloc web "clonat". En uns quants passos, prenen l'estructura i les imatges de la mateixa manera que l'original sense cap esforç i / o sense cap coneixement informàtic. Només en aquest moment, l'atacant inserirà l'inici de sessió per capturar les credencials d'accés, dirigint les credencials a la seva base de dades o més simplement a un fitxer de text. Generalment adopten dos principis: acceptar totes les contrasenyes, sense cap correcció de la informació introduïda o rebutjar totes les contrasenyes, proposant així recuperar la contrasenya oblidada.
Phishing telefònic
La pesca no sempre implica l’ús d’un lloc web ni d’un correu electrònic, de fet s’envien missatges de text als usuaris que diuen que hi ha hagut problemes amb els seus comptes bancaris. [39] Quan es crida el número indicat (manipulat pel phisher, normalment és un número de veu sobre IP ) al missatge, es demana a l'usuari el seu PIN. Vishing (phishing per veu) de vegades utilitza un número de trucada fals per donar l’aspecte d’una organització de confiança. [40] En alguns casos, el phisher intenta obtenir de manera fraudulenta mitjançant WhatsApp , no dades financeres ni codis PIN, sinó còpies de documents d'identitat que després utilitzarà per a estafes posteriors. [41]
Anti-phishing
Fins al 2007, l'adopció d'estratègies antifishing per protegir les dades personals i financeres era baixa. [42] Ara hi ha moltes tècniques per combatre el phishing, incloses les lleis i les tecnologies creades específicament per a la protecció. Aquestes tècniques inclouen passos que poden ser utilitzats tant per persones com per organitzacions.
Els telèfons, llocs web i correus electrònics de pesca poden informar-se a les autoritats, tal com es descriu aquí .
Instrucció
Una de les estratègies per combatre el phishing és formar persones per reconèixer els atacs i tractar-los. L'educació pot ser molt eficaç, especialment si es subratllen certs conceptes [43] [44] i se'ls dóna retroalimentació directa. [45]
El Grup de Treball Anti-Phishing , una agència de seguretat, ha suggerit que les tècniques convencionals de pesca poden quedar obsoletes en el futur, amb una creixent consciència de les persones sobre les tècniques d’ enginyeria social que fan servir els phishers . [46] També va predir que la farmàcia i diversos usos de programari maliciós seran més comuns per robar informació.
Tothom pot ajudar el públic fomentant pràctiques segures i evitant les perilloses. Malauradament, fins i tot els jugadors més coneguts inciten els usuaris a pràctiques de risc, per exemple, obligant els seus usuaris a revelar les seves contrasenyes a serveis de tercers, com ara el correu electrònic. [47]
Resposta tècnica
S'han implementat mesures antifishing als navegadors, com a extensions o barres d'eines, i com a part dels procediments d'inici de sessió. [48] També hi ha programari antifishing. Sens dubte, és útil llegir atentament el correu electrònic rebut tant pel remitent com pel cos del missatge. L'atacant enviarà un text on les emocions es "colpejaran" i tendiran a ser precipitades en voler reparar el problema descrit. Per aquest motiu, la millor mesura contrària no és fer un seguiment del correu electrònic, sinó obrir una nova pàgina al navegador i contactar amb el lloc directament des de l’URL que coneixeu o cercar directament des del motor de cerca. Si per alguna raó, erròniament, seguim l’enllaç del correu electrònic, és útil recordar, tal com es descriu al paràgraf sobre falsificació d’un lloc web , per error voluntari de les credencials d’inici de sessió per comprovar si el lloc les ha d’acceptar de totes maneres. Per contra, si no s’accepten les contrasenyes correctes, no les recupereu immediatament, sinó que us connecteu directament al lloc interessat o des del motor de cerca. Si heu cedit les vostres credencials, canvieu-les ràpidament. Si les credencials corresponen a aspectes financers (com ara un compte bancari o postal), poseu-vos en contacte immediatament amb la policia postal i presenteu una queixa formal. Aquests són alguns dels principals enfocaments del problema.
Ajuda per identificar llocs legítims
La majoria de llocs objectiu que castiguen són SSL protegits amb xifratge fort, on s’utilitza l’URL del lloc web com a identificador. En teoria, això hauria de confirmar l'autenticitat del lloc, però a la pràctica és fàcil desplaçar-se. La vulnerabilitat explotada rau en la interfície d’usuari (IU) del navegador. La connexió utilitzada s'indica amb colors a l'URL del navegador (bloc verd per al certificat EV, https escrit en verd)
Navegadors que alerten l'usuari quan visita llocs de frau
Un altre enfocament popular per lluitar contra la pesca és mantenir una llista de llocs de pesca coneguts i comprovar si l'usuari els visita. Tots els navegadors populars incorporen aquest tipus de protecció. [48] [49] [50] [51] [52] Algunes implementacions d’aquest enfocament envien les URL visitades a un servei central, cosa que ha suscitat problemes de privadesa. [53] Aquesta protecció també es pot aplicar a nivell de DNS, filtrant les sol·licituds malintencionades, aquest enfocament es pot aplicar a qualsevol navegador [54] i és similar a l'ús d'un fitxer amfitrió (un fitxer en el qual definiu destinacions personalitzades per a dominis).
Argumentar els inicis de sessió de contrasenya
El lloc del Banc d’Amèrica [55] [56] és un dels molts llocs que ha adoptat aquest sistema, consisteix en permetre a l’usuari triar una imatge en registrar-se i mostrar aquesta imatge a cada inici de sessió posterior. D'aquesta manera, atès que la imatge només és coneguda per l'usuari i el lloc legítim en un possible atac de pesca, aquesta estaria absent o equivocada. Malauradament, però, molts estudis han suggerit que l'usuari ignora la manca de la seva imatge personal i introdueix la seva contrasenya de totes maneres. [57] [58]
Eliminació dels correus electrònics de pesca
Actuem sobre una de les fonts de pesca (suplantació d’identitat), concretament intentem eliminar els correus electrònics mitjançant filtres especialitzats contra el correu brossa, disminuir les amenaces disminueix les possibilitats de ser enganyats. Els filtres es basen en l’aprenentatge automàtic [59] i el processament del llenguatge natural per classificar els correus electrònics en risc. [60] [61] La verificació de l'adreça de correu electrònic és un nou enfocament. [62]
Seguiment i bloqueig
Moltes empreses ofereixen serveis de control i anàlisi per a bancs i organitzacions amb l’objectiu de bloquejar els llocs de pesca. [63] Les persones poden contribuir informant d'estafes de pesca [64] a serveis com Google. [65] [66] cyscon o PhishTank . [67] El tauler d’anuncis del Centre de denúncies d’Internet recopila i gestiona alertes de ransomware i phishing.
Verificació en dos passos de les transaccions
Abans d’autoritzar operacions confidencials, s’envia un missatge telefònic [68] amb un codi de verificació a introduir a més de la contrasenya.
Límits de la resposta tècnica
Un article de Forbes de l’agost del 2014 argumenta que el phishing resisteix les tecnologies antifishing perquè una tecnologia no pot compensar totalment la incompetència humana ("un sistema tecnològic per mediar les debilitats humanes"). [69]
Casos judicials i primeres condemnes penals
El 2007, amb la sentència del Tribunal de Milà [70] , per primera vegada a Itàlia, hi va haver la condemna de membres d'una associació transnacional dedicada a la comissió de delictes de pesca [71] . Aquesta sentència es va confirmar al Tribunal Suprem el 2011.
El 2008, amb una sentència del Tribunal de Milà [72] , es va condemnar la primera vegada a Itàlia per blanqueig de capitals [73] d’assumptes que, com a gestors financers , s’havien prestat a la recaptació i a la transferència de sumes de diners procedents de phishing delictes en detriment dels titulars de comptes italians [74]
Per tant, aquestes dues frases han indicat quines regles es poden aplicar a aquest nou fenomen criminal, ja que en el moment a Itàlia suplantació d'identitat encara no estava regulada específicament, a diferència d'altres legislacions - En primer lloc l'americà -. Que tenen delictes ad hoc [75 ]
Només amb la modificació de l’art. 640-ter del Codi Penal (que va intervenir amb la Llei núm. 119, de 15 d'octubre de 2013), hi va haver una primera intervenció reguladora adequada per incloure aquest tipus particular de robatori d'identitat [76]
Compensació econòmica pels danys causats
Segons la legislació italiana, les institucions de crèdit no estan obligades a protegir els clients contra el frau informàtic. Per tant, no estan obligats a pagar cap indemnització per les quantitats retirades indegudament a causa d’una violació del compte d’ Internet dels clients o de la clonació dels seus caixers automàtics o targetes de crèdit. Una disposició recent del GUP de Milà , de 10 d’octubre de 2008 , establia que només l’existència d’una obligació contractual precisa per part de bCome hip de mantenir el client indemne de qualsevol tipus d’agressió a les quantitats dipositades podia atribuir a l’entitat qualificació danyada pel delicte.
Els contractes individuals d’obertura d’un compte corrent i banca a casa poden establir que, en casos específics, el banc estigui obligat a indemnitzar el client per les quantitats retirades indegudament. Sovint, l'entitat de crèdit està coberta pel risc de robatori o pèrdua de dades i targetes d'identificació. El cost d'aquesta reassegurança es repercuteix en els clients, que de vegades es beneficien de clàusules contractuals a favor seu per a aquest tipus de cobertura.
L’institut sol rebutjar una indemnització si el client, a més de perdre la targeta, també ha perdut el PIN d’ accés; de la mateixa manera, per a la banca a domicili, es nega a retornar les sumes si el client ha perdut la contrasenya d' accés junt amb el testimoni . Això configura la negligència per part del client i la possibilitat de frau i frau a l'entitat de crèdit: el client podria transferir les seves dades i targeta a tercers, que, d'acord amb el client, podrien fer retirades, mentre el propietari declara pèrdua o robatori.
No obstant això, el banc (o una altra institució o empresa) té la càrrega d’aplicar tant les mesures mínimes de seguretat establertes al Decret legislatiu 196/03 per protegir les dades personals del client, com d’implementar totes aquelles mesures preventives i adequades que, fins i tot en base fins al progrés tècnic, poden minimitzar els riscos. De fet, en cas de robatori de credencials, fins i tot si el banc acusa l’usuari de ser-ne responsable perquè pot haver respost als correus electrònics de pesca, s’ha de demostrar al jutge que ha implementat totes les mesures (tant les mínimes establertes i les adequades i preventives que s’han d’avaluar cas per cas amb una avaluació de riscos (obligatòria) i un document programàtic de seguretat) per minimitzar els riscos.
Si el banc no ha implementat mesures habituals en altres bancs per a la prevenció de fraus informàtics, accessos no autoritzats, etc., per exemple, podria exigir-se una indemnització per l'usuari. La Recomanació Europea n. El 489 de 1997 estableix que des de la data de la comunicació al banc d'haver patit una estafa (amb al·legació de l'informe policial), el titular del compte no es pot fer responsable de l'ús que hagin fet tercers del seu compte, per tant, dels diners robats se li ha de retornar.
Com protegir-se de la pesca (suplantació d'identitat)
La regla número u, que heu de tenir en compte quan navegueu per Internet, és parar molta atenció als enllaços i, en particular, a la forma d’escriure l’adreça ( URL ). Especialment quan l’enllaç se’ns presenta en un missatge enviat per correu electrònic o des de sistemes de missatgeria instantània, fins i tot de persones que coneixem i confiem. Aquests missatges es poden enviar des de comptes compromesos i els delinqüents solen utilitzar petits errors "ortogràfics" per enganyar el destinatari.
Si el lloc és notòriament segur i requereix la inclusió de dades personals o el número de la targeta de crèdit, sempre cal comprovar no només que la connexió és segura ( HTTPS ), sinó també que el lloc web és realment el lloc que afirma ser , comprovant acuradament l’adreça. Segons algunes investigacions, avui més del 70% dels llocs de pesca utilitzen connexions segures [77] .
Al web hi ha diversos portals que tracten sobre la lluita contra la desinformació i les estafes que es propaguen a través del web, que permeten mantenir-se informat sobre les estafes al seu lloc per evitar caure en les trampes dels estafadors.
Nota
- ↑ Ramzan, Zulfikar, Phishing attack and countermeasures , a Stamp, Mark & Stavroulakis, Peter (eds), Handbook of Information and Communication Security , Springer, 2010, ISBN 978-3-642-04117-4 .
- ↑ Van der Merwe, AJ, Loock, M, Dabrowski, M. (2005), Característiques i responsabilitats implicades en un atac de pesca, Simposi internacional d'hivern sobre tecnologies de la informació i la comunicació, Ciutat del Cap, gener de 2005.
- ^ Spam Slayer: parles correu brossa? , a pcworld.com .
- ^ Oxford English Dictionary Online, "phishing, n". OED en línia, març de 2006, Oxford University Press. , a dictionary.oed.com .
- ^ Phishing , a itre.cis.upenn.edu .
- ^ Anthony Mitchell, A Leet Primer , a http://www.technewsworld.com/story/47607.html . , TechNewsWorld, 12 de juliol de 2005.
- ^ Coneix el teu enemic: pesca , a honeynet.org . Consultat el 8 de juliol de 2006 (arxivat de l' original el 20 de març de 2018) .
- ^ Phishing i xifratge: entre les bones intencions per al 2020 també posem seguretat IT , a lastampa.it .
- ↑ Felix, Jerry i Hauck, Chris, System Security: A Hacker Perspective , el 1987 Interex Proceedings , vol. 8, setembre de 1987, pàg. 6.
- ^ "phish, v." OED en línia, març de 2006, Oxford University Press. Oxford English Dictionary Online , a dictionary.oed.com .
- ^ Ollmann, Gunter, The Phishing Guide: Understanding and Preventing Phishing Attacks , at technicalinfo.net .
- ^ APWG Phishing Attack Trends Reports , a apwg.org . URL consultato il 21 aprile 2015 .
- ^ Kris Sangani, The Battle Against Identity Theft , in The Banker , vol. 70, n. 9, September 2003, pp. 53-54.
- ^ In 2005, Organized Crime Will Back Phishers , su IT Management , 23 dicembre 2004 (archiviato dall' url originale il 31 gennaio 2011) .
- ^ Abad, Christopher , The economy of phishing: A survey of the operations of the phishing market , su First Monday , September 2005. URL consultato il 30 giugno 2016 (archiviato dall' url originale il 21 novembre 2011) .
- ^ Keizer, Greg, Suspected Chinese spear-phishing attacks continue to hit Gmail users , su Computer World . URL consultato il 4 dicembre 2011 .
- ^ Ewing, Philip, Report: Chinese TV doc reveals cyber-mischief , su Dod Buzz . URL consultato il 4 dicembre 2011 (archiviato dall' url originale il 26 gennaio 2017) .
- ^ Liz O'Connell, Report: Email phishing scam led to Target breach , su BringMeTheNews.com . URL consultato il 15 settembre 2014 .
- ^ Paul Ausick, Target CEO Sack , su 247wallst.com . URL consultato il 15 settembre 2014 .
- ^ Anatomy of an RSA attack , su RSA.com , RSA FraudAction Research Labs. URL consultato il 15 settembre 2014 (archiviato dall' url originale il 6 ottobre 2014) .
- ^ Christopher Drew e John Markoff, Data Breach at Security Firm Linked to Attack on Lockheed , The New York Times, 27 maggio 2011. URL consultato il 15 settembre 2014 .
- ^ Michael Winter, Data: Nearly All US Home Depot Stores Hit , su USA Today . URL consultato il 16 marzo 2016 .
- ^ ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented , su icann.org . URL consultato il 18 dicembre 2014 .
- ^ 1-Click Hosting at RapidTec — Warning of Phishing! , su rapidshare.de . URL consultato il 21 dicembre 2008 (archiviato dall' url originale il 30 aprile 2008) .
- ^ Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims , su sophos.com (archiviato dall' url originale il 5 maggio 2009) .
- ^ [ https://www.washingtonpost.com/wp-dyn/content/story/2007/10/12/ST2007101202661.html?hpid=topnews Shadowy Russian Firm Seen as Conduit for Cybercrime , by Brian Krebs, Washington Post , October 13, 2007
- ^ APWG, Phishing Activity Trends Report ( PDF ), su apwg.org . URL consultato il 4 novembre 2013 (archiviato dall' url originale il 3 ottobre 2012) .
- ^ Leo Kelion, Cryptolocker ransomware has 'infected about 250,000 PCs' , in BBC , 24 dicembre 2013. URL consultato il 24 dicembre 2013 .
- ^ F.Cajani, G. Costabile, G. Mazzaraco, Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè , 2008.
- ^ What is spear phishing? , su Microsoft Security At Home . URL consultato l'11 giugno 2011 (archiviato dall' url originale il 6 agosto 2011) .
- ^ Debbie Stephenson, Spear Phishing: Who's Getting Caught? , su firmex.com , Firmex. URL consultato il 27 luglio 2014 .
- ^ Fake subpoenas harpoon 2,100 corporate fat cats , su theregister.co.uk , The Register. URL consultato il 17 aprile 2008 (archiviato dall' url originale il 31 gennaio 2011) .
- ^ What Is 'Whaling'? Is Whaling Like 'Spear Phishing'? , su netforbeginners.about.com , About Tech. URL consultato il 28 marzo 2015 ( archiviato il 28 marzo 2015) .
- ^ Mutton, Paul, Fraudsters seek to make phishing sites undetectable by content filters , su Netcraft ( archiviato il 31 gennaio 2011) .
- ^ Mutton, Paul, Phishing Web Site Methods , su FraudWatch International . URL consultato il 14 dicembre 2006 (archiviato dall' url originale il 31 gennaio 2011) .
- ^ Phishing con hijacks browser bar , BBC News, 8 aprile 2004.
- ^ Krebs, Brian, Flaws in Financial Sites Aid Scammers , in Security Fix . URL consultato il 28 giugno 2006 (archiviato dall' url originale il 31 gennaio 2011) .
- ^ Mutton, Paul, PayPal Security Flaw allows Identity Theft , su Netcraft . URL consultato il 19 giugno 2006 ( archiviato il 31 gennaio 2011) .
- ^ Antone Gonsalves, Phishers Snare Victims With VoIP , Techweb, 25 aprile 2006 (archiviato dall' url originale il 28 marzo 2007) .
- ^ Identity thieves take advantage of VoIP , Silicon.com, 21 marzo 2005 (archiviato dall' url originale il 24 marzo 2005) .
- ^ Richiesta di documenti tramite WhatsApp? Attenti alle truffe! | Tellows Blog , su blog.tellows.it . URL consultato il 17 luglio 2019 .
- ^ Emiley Baker, Wade Baker e John Tedesco, Organizations Respond to Phishing: Exploring the Public Relations Tackle Box , in Communication Research Reports , vol. 24, n. 4, 2007, p. 327, DOI : 10.1080/08824090701624239 .
- ^ Nalin Arachchilage, Steve Love e Michael Scott, Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks' , in International Journal for e-Learning Security , vol. 2, n. 1, Infonomics Society, 1º giugno 2012, pp. 127-132. URL consultato il 1º aprile 2016 .
- ^ Michael Scott, Gheorghita Ghinea e Nalin Arachchilage, Assessing the Role of Conceptual Knowledge in an Anti-Phishing Educational Game ( PDF ), Proceedings of the 14th IEEE International Conference on Advanced Learning Technologies , IEEE, 7 luglio 2014, p. 218, DOI : 10.1109/ICALT.2014.70 . URL consultato il 1º aprile 2016 .
- ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge, Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System ( PDF ), su Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. , November 2006. URL consultato il 14 novembre 2006 (archiviato dall' url originale il 30 gennaio 2007) .
- ^ Dawn Kawamoto, Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats. , ZDNet India, 4 agosto 2005 (archiviato dall' url originale il 30 novembre 2005) .
- ^ Social networking site teaches insecure password practices , in Blog.anta.net , 9 novembre 2008, ISSN 1797-1993 . URL consultato il 9 novembre 2008 (archiviato dall' url originale il 7 gennaio 2009) .
- ^ a b Safe Browsing (Google Online Security Blog) , su googleonlinesecurity.blogspot.jp . URL consultato il 21 giugno 2012 .
- ^ Franco, Rob, Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers , su IEBlog . URL consultato il 20 maggio 2006 ( archiviato il 17 gennaio 2010) .
- ^ Bon Echo Anti-Phishing , su Mozilla . URL consultato il 2 giugno 2006 (archiviato dall' url originale il 23 agosto 2011) .
- ^ Safari 3.2 finally gains phishing protection , su Ars Technica , 13 novembre 2008. URL consultato il 15 novembre 2008 ( archiviato il 23 agosto 2011) .
- ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows , 3Sharp, 27 settembre 2006. URL consultato il 20 ottobre 2006 (archiviato dall' url originale il 14 gennaio 2008) .
- ^ Two Things That Bother Me About Google's New Firefox Extension , su Nitesh Dhanjani on O'Reilly ONLamp . URL consultato il 1º luglio 2007 (archiviato dall' url originale il 15 ottobre 2007) .
- ^ Higgins, Kelly Jackson, DNS Gets Anti-Phishing Hook , su Dark Reading . URL consultato l'8 ottobre 2006 ( archiviato il 18 agosto 2011) .
- ^ Bank of America, How Bank of America SiteKey Works For Online Banking Security , su bankofamerica.com . URL consultato il 23 gennaio 2007 ( archiviato il 23 agosto 2011) .
- ^ Bill Brubaker, Bank of America Personalizes Cyber-Security , Washington Post, 14 luglio 2005.
- ^ Brad Stone, Study Finds Web Antifraud Measure Ineffective , New York Times, 5 febbraio 2007. URL consultato il 5 febbraio 2007 .
- ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer, The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies ( PDF ), su IEEE Symposium on Security and Privacy, May 2007 , May 2007. URL consultato il 5 febbraio 2007 (archiviato dall' url originale il 6 aprile 2008) .
- ^ Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira, Obtaining the Threat Model for E-mail Phishing ( PDF ), su Applied Soft Computing , July 2011, DOI : 10.1016/j.asoc.2011.06.016 . URL consultato il 30 giugno 2016 (archiviato dall' url originale il 2 gennaio 2013) .
- ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya, Phishing E-mail Detection Based on Structural Properties ( PDF ), su NYS Cyber Security Symposium , March 2006 (archiviato dall' url originale il 16 febbraio 2008) .
- ^ Ian Fette, Norman Sadeh, Anthony Tomasic, Learning to Detect Phishing Emails ( PDF ), su Carnegie Mellon University Technical Report CMU-ISRI-06-112 , June 2006.
- ^ Landing another blow against email phishing (Google Online Security Blog) , su googleonlinesecurity.blogspot.jp . URL consultato il 21 giugno 2012 .
- ^ Anti-Phishing Working Group: Vendor Solutions , su Anti-Phishing Working Group . URL consultato il 6 luglio 2006 (archiviato dall' url originale il 31 gennaio 2011) .
- ^ Robert McMillan, New sites let users find and report phishing , LinuxWorld, 28 marzo 2006 (archiviato dall' url originale il 19 gennaio 2009) .
- ^ "Report phishing" page, Google
- ^ How to report phishing scams to Google Archiviato il 14 aprile 2013 in Archive.is . Consumer Scams.org
- ^ Bruce Schneier , PhishTank , su Schneier on Security , 5 ottobre 2006. URL consultato il 7 dicembre 2007 ( archiviato il 31 gennaio 2011) .
- ^ Using the smartphone to verify and sign online banking transactions , SafeSigner.
- ^ Joseph Steinberg , Why You Are At Risk Of Phishing Attacks , su Forbes . URL consultato il 14 novembre 2014 .
- ^ Tribunale di Milano, sentenza del 10.12.2007 - est. Gamacchio (Giudice per l'udienza preliminare): cfr. R. Flor, Frodi identitiarie e diritto penale , in Riv. giurisp. econ. az. , 2008, 4, p. 184; A. Sorgato, I l reato informatico: alcuni casi pratici , in Giur. pen. , 2008, 11, p. 40
- ^ L. Fazzo, «Ecco come noi hacker romeni vi svuotiamo i conti bancari» , in Il Giornale , 11 dicembre 2007
- ^ Tribunale di Milano, sentenza del 29.10.2008, est. Luerti (Giudice per l'udienza preliminare) in Corr. Mer. , 2009, 3, pp. 285 e ss. con nota di F. Agnino, Computer crime e fattispecie penali tradizionali: quando il phishing integra il delitto di truffa
- ^ L. Ferrarella , Soldi trasferiti online. «È riciclaggio» , in Corriere della Sera , 7 gennaio 2009
- ^ F. Tedeschi, Lotta al cybercrime. Intervista esclusiva al magistrato a caccia delle nuove mafie
- ^ S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, Computer Forensics e indagini digitali , Experta, 2011
- ^ F. Cajani, La tutela penale dell'identità digitale alla luce delle novità introdotte dal dl 14 agosto 2013 n. 93 (convertito con modificazioni dalla l. 15 ottobre 2013, n. 119) , in Cassazione penale , 3, 2014, pp. 1094 ss.
- ^ Anti-Phishing Working Group - Reports , su apwg.org .
Voci correlate
- Truffa alla nigeriana
- Scam
- Skimmer
- Pharming
- Vishing
- Trashing
- Whaling
- Tabnabbing
- Keylogger
- Script kiddie
- Cracker (informatica)
- Cracking (informatica)
- Ingegneria sociale
- Social Network Poisoning
Altri progetti
-
Wikimedia Commons contiene immagini o altri file su phishing
Collegamenti esterni
- HOAX.IT - Tutto su Bufale, Leggende Metropolitane, Verifica Hoax e Appelli Umanitari, Sicurezza Informatica, Phishing, Truffe, News , su hoax.it .
- Anti-Phishing Italia , su anti-phishing.it .
- SicurezzaInformatica.it - Categoria Phishing e Truffe , su sicurezzainformatica.it . URL consultato il 29 ottobre 2005 (archiviato dall' url originale il 3 dicembre 2005) .
- Truffe on-line: news ed informazioni sulle frodi, trappole, inganni, raggiri ed insidie perpetrate in Rete e nel mondo reale , su truffeonline.it .
- ( EN ) Anti-Phishing Working Group , su apwg.org . URL consultato il 17 agosto 2004 (archiviato dall' url originale il 22 novembre 2003) .
- ( EN ) Safe Browsing for Enterprise Users How Enterprises can make web browsing safer by using free software applications.
- dirittodellinformatica.it Segnalazioni di casi di phishing
- diritto penale e diritto penale dell'informatica Riferimenti bibliografici e articoli sui profili penali del phishing , su robertoflor.blogspot.com . URL consultato il 3 maggio 2019 (archiviato dall' url originale il 23 gennaio 2019) .
- Prevenzione Svizzera della Criminalità - Phishing , su conosco-il-trucco.ch . URL consultato il 12 novembre 2008 (archiviato dall' url originale il 10 aprile 2009) .
- Procura della Repubblica presso il Tribunale di Milano - reati informatici
- Come riconoscere un sito truffa - Trovalost.it , su trovalost.it .
Controllo di autorità | LCCN ( EN ) sh2005003206 · GND ( DE ) 7515821-8 |
---|