• Announcements

    • Lord Zaku III

      Regolamento Generale

      In Questo Posto Regnano Pace E Tranquillità Chi Disturba La Quiete Verrà Punito Severamente La Community di Lega-Z.com è posto a disposizione degli utenti della Rete per interagire tra di loro. E' vietato inserire contenuti che possano violare diritti di terzi o comunque essere illegittimi. L'inserimento di contenuti in dette aree presuppone la presa visione e piena accettazione delle regole di Netiquette, regole applicate e rispettate all'interno di questo sito web. Lo Staff di Lega-Z.com non si assume alcuna responsabilità per i contenuti che vengano immessi nel forum in quanto, nonostante ogni ragionevole sforzo per essere costantemente presenti, non si è nella possibilità materiale di esercitare un controllo approfondito sugli stessi. Ci sono delle regole che devono essere rispettate per una civile convivenza: -Non sono consentiti messaggi che violino leggi dello stato. -Non è consentito usare un linguaggio volgare, razzista o che possa offendere la moralità. -Non è consentito aprire topic che possano risultare in qualche modo offensivi nei confronti di un utente del forum o che comunque possano creare una simile impressione. -Le dimensioni della firma non devono superare i 400x100 pixel e nelle firme non sono ammesse più di quattro frasi -Rispettate sempre le opinioni altrui, siete liberi di criticare e di non essere daccordo su qualsiasi cosa ma sempre nel rispetto reciproco. In caso contrario i moderatori sono autorizzati a intervenire. Detto questo buon divertimento Per qualsiasi disguido o lamentela in seguito al non rispetto del manifesto segnalate il tutto a un moderatore. Saremo lieti di sistemare ogni cosa che possa offendere la sensibilità altrui Lo Staff Di Lega-Z.com
    • Lord Zaku III

      Vuoi creare e gestire un tuo blog personale gratuito in maniera semplice? Clicca qua!   05/02/2019

      Per leggere la guida su come creare e gestire un tuo blog personale gratuito in maniera semplice andate qua! E' facile, devi solo eseguire la guida e aprire un tuo blog. Se hai difficoltà invia una eMail o altrimenti inviami un pm personale Se ti impegnerai potrai persino aspirare a diventare moderatore di sezione o entrare nel prestigioso staff di Lega-Z.com
    • Lord Zaku III

      Vuoi inserire/uppare finalmente le tue immagini preferite su un multi images hosting infinito e per sempre? Clicca qua!   05/02/2019

      Per leggere la guida su come inserire e gestire immagini personali (e non). In maniera gratuita e semplice andate qua! E' facile, devi solo eseguire la guida e caricare le tue immagini preferite. Se hai difficoltà invia una eMail o altrimenti inviami un pm personale Se ti impegnerai potrai persino aspirare a diventare moderatore di sezione o entrare nel prestigioso staff di Lega-Z.com
    • Lord Zaku III

      Come si fa a partecipare sulla community di Lega-Z.com? Come si fa a rimanere sempre aggiornati? Clicca qua!   05/02/2019

      Per leggere la guida sul Come posso partecipare sulla community di Lega-Z.com? Come si fa a rimanere aggiornati sulla community di Lega-Z.com? andate qua! E' facile, devi solo eseguire la guida e potrai finalmente iniziare a scrivere commenti anche tu. Se hai difficoltà invia una eMail o altrimenti inviami un pm personale Se ti impegnerai potrai persino aspirare a diventare moderatore di sezione o entrare nel prestigioso staff di Lega-Z.com Buona partecipazione a tutti!
    • Lord Zaku III

      Aiutaci a tradurre o dai una mano alla crescita   05/02/2019

      Ti piacerebbe tradurre? Ti piace scrivere? Ti piacerebbe dare una mano? Vorresti un bel passatempo? Bravo, invia subito una eMail a o altrimenti invia un pm (personal message - messaggio personale) a Lord Zaku III Se ti impegnerai potrai persino aspirare a diventare una fenice, un moderatore di sezione o entrare nel prestigioso staff di Lega-Z.com
Sign in to follow this  
Followers 0
Lord Zaku III

[PHISHING] Cosa E' Il Phishing O Pishing?

1 post in this topic

Phishing o Pishing : La nuova truffa informatica

Il Phishing è un sistema illegale per raccogliere dati sensibili come le informazioni sulla propria carta di credito o accessi ad account bancari. La modalità con cui si realizza questa truffa è molto semplice e consiste nell'invio di false e-mail con grafica e loghi ufficiali di eBay, PayPal, ma anche di servizi di Bancari e di Carte di Credito, chiedendo di riempire un modulo su una pagina web con indirizzo internet presente nella stessa E-mail. L'aspetto simpatico è che non utilizzo Paypal e ricevo questa E-mail perché questo indirizzo è sul sito ma è utilizzato per raccogliere Posta indesiderata e Virus e non per segnarsi a servizi internet.

In ambito informatico il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

La prima menzione registrata del termine phishing è sul newsgroup di Usenet alt.online-service.america-online il 2 gennaio 1996,[1] malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per hacker 2600.[2] Il termine phishing è una variante di fishing (letteralmente "pescare" in lingua inglese),[3] probabilmente influenzato da phreaking[4][5] e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio leet, nel quale la lettera f è comunemente sostituita con ph.[6] La popolare teoria che si tratti di un portmanteau di password harvesting[7] è un esempio di pseudoetimologia.

Metodologia di attacco:

Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).

l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).

l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.

il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro", a dare le coordinate bancarie del proprio conto on line per ricevere l'accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto on line.

Si tratta del denaro rubato con il phishing, per il quale il titolare del conto on line, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perchè diviene più difficile risalire al suo conto e dati identificativi.

Se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poichè serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato.

Difesa:

Una preoccupazione frequente degli utenti che subiscono il phishing è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. In realtà, normalmente il phisher non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di phishing.

Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a posteriori ed è necessaria un'azione preventiva.

Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona (a forma di lucchetto in tutti i browser) che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL). La pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet.

Esistono programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail (vedi sezione Collegamenti esterni). Questi programmi e i più comuni browser non si avvalgono di whitelist contenenti gli indirizzi logici e IP delle pagine di autenticazione di tutti gli istituti di credito, che sarebbe un filtro anti-phishing sicuramente utile.

Se l'utente non è titolare di un conto corrente on-line e riceve gli estratti conto periodici per posta ordinaria (non via e-mail), può impostare il filtro anti-spam sull'indirizzo dell'istituto di credito. In questo modo, le e-mail contenenti un indirizzo del mittente o un link nel testo alla banca, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle sospette.

Gli utenti di Internet Explorer possono utilizzare un filtro anti-phishing che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.

Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).

L'oscuramento di un sito di phishing non è un'operazione semplice, se questo è ospitato come sottodominio di un altro indirizzo web. In quel caso, è necessario l'oscuramento del dominio ospitante, poiché la "falsa" pagina di autenticazione non è presente nell'elenco ICANN, ma in locale sul server. Il sito oscurato può essere comunque velocemente associato ad un altro indirizzo web.

E' possibile associare ad una pagina di un sito di phishing un indirizzo simile, ma non identico a quello del sito "copiato". Due pagine web, infatti, non possono avere lo stesso indirizzo IP né lo stesso indirizzo logico, che è associato ad un solo indirizzo IP.

All'utente medio resta comunque difficile distinguere un sito di phishing da quello dell'istituto di credito preso di mira. La barra degli indirizzi può contenere un indirizzo del tipo "Nome della Banca.autethicationPage.php@indirizzo del dominio ospitante", l'indirizzo del dominio ospitante nel corrispondente indirizzo IP, il simbolo "@" nella codifica ASCII, o nell'equivalente binario o esadecimale, rendendo l'indirizzo della risorsa di "phishing" simile e poco più lungo di quello che è stato falsificato.

Edited by Lord Zaku III

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0