Truffa 2.0: attento alle informazioni che lasci su Internet
Jane Doe ha appena finito di cenare in un delizioso ristorante nel centro di New York e ha deciso di pagare con la sua nuova carta di credito. Questa viene clonata dal ristoratore e diverse informazioni personali sul suo conto, fra cui il suo nome e cognome, vengono memorizzate.
Per compiere la truffa e avere pieno accesso al conto in banca di Jan Doe, i pirati informatici hanno usato MySpace. Esatto, uno dei più usati social network a livello internazionale. Hanno trovato infatti la sua pagina personale su MySpace con moltissime informazioni: il nome del suo fidanzato, il nome del suo cane, il giorno della sua data di nascita, la città in cui è nata e diverse foto.
Armati di queste informazioni, i pirati informatici hanno chiamato la banca di Jane Doe dicendo che lei aveva perso la password di accesso al suo conto on-line e dimenticato il PIN della carta di credito.
La banca per verificare l’identità di chi stava chiamando ha chiesto la sua data di nascita e la risposta alla domanda Qual è il nome del tuo cane?. L’identità e il conto in banca di Jan Doe sono stati rubati.
(Foto Scary Identity Thief di CarbonNYC)
Sai che lasci su Internet tante informazioni sul tuo conto?
Internet è oramai entrato nell’età del Web 2.0 grazie al quale regna la condivisione delle informazioni e la possibilità di produrre e mettere on-line contenuti facilmente. Le informazioni che però lasciamo su Internet possono essere utilizzate per scopi fraudolenti e tracciare un profilo sul nostro conto.
Per un truffatore, conoscere tutto, o quasi tutto, di una persona da truffare se è attiva su Internet è oramai molto semplice. La prima cosa che il truffatore fa per sapere di più sul conto di una persona è digitare il nome e cognome della vittima su di un motore di ricerca, come Google.
Se ha a disposizione l’indirizzo e-mail della vittima, il truffatore lo digita pure sul motore di ricerca per escludere eventuali omonimie ed essere sicuro di avere trovato la persona corretta. Sfogliando i risultati delle pagine, può iniziare a raccogliere delle informazioni importanti.
Una di queste è ad esempio il nome utente usato nelle iscrizioni ai vari servizi Internet. Una ulteriore ricerca su un motore di ricerca del nome utente permette ad esempio di trovare i messaggi lasciati su di un forum e firmati con il nome utente. Detto in altre parole, il truffatore entra nella vita della persona da truffare.
Può farlo ulteriormente se la vittima pubblica, ad esempio, un blog personale o usa Twitter. In un blog personale è facile trovare foto della vittima, informazioni circa la sua formazione culturale, la sua routine, le sue passioni e la sua vita.
Twitter è un nuovo servizio Web 2.0 che permette di fare sapere agli altri cosa stiamo facendo in un certo momento: se è usato in modo assiduo e sconsiderato potrebbe permettere, facendo un confronto fra più giorni, di ricostruire la routine tipica di una persona. Non sono pochi gli utenti che pubblicano twitt come Sto andando in ufficio oppure Sto andando a fare la spesa.
La vera fonte di informazioni per i truffatori è costituita però dai social network, che sono fra i servizi più gettonati del Web 2.0. Ne è esistono di tutti i tipi: si va da quello con cui è possibile conoscere nuovi amici a quello con cui è invece possibile cercare contatti professionali. Cambia il contenuto dei social network, ma non la sostanza: i social network sono strapieni di informazioni personali che possono essere usate per scopi fraudolenti.
Nei profili dei social network, è infatti facile lasciare informazioni riservate, come la propria data di nascita, il luogo di nascita, dettagli sulla propria carriera scolastica o sul luogo in cui si vive solo per citare alcuni esempi. I profili della maggior parte dei social network sono liberamente accessibili da tutti, anche dagli utenti non registrati, e indicizzati dai motori di ricerca.
La pericolosità dei social network consiste poi nel motore di ricerca per trovare le altre persone: i motori di ricerca forniti sono così raffinati che è possibile stilare dei gruppi di potenziali vittime.
Ecco come uso le informazioni raccolte per creare una truffa!
Le singole informazioni prese da sole e individuate su Internet non hanno significato. Lo assumono nel momento in cui vengono combinate insieme. I dati possono essere utilizzati per compiere delle truffe mirate, ad esempio, via e-mail.
Sappiamo di non doverci fidare delle e-mail che riceviamo dalla “nostra banca” via e-mail e che parlano di presunti problemi con il nostro account. Ma faremo lo stesso con una e-mail che ci dice tutto sul nostro conto?
Sicuramente noi ci fideremo di una e-mail truffaldina che dice provenire dalla nostra banca e che ci chiede delle informazioni riservate se questa ci saluta per nome e cognome, indicandoci la nostra data di nascita e l’indirizzo di casa. Le e-mail truffaldine mirate sono chiamate spear phishing.
Le informazioni raccolte potrebbero poi essere utilizzate per compiere attacchi di social engineering: il truffatore potrebbe chiamarci e, dopo essersi presentato come un funzionario bancario e acquistatosi la nostra fiducia perché sa tutto di noi, rubarci le (poche) informazioni personali che ancora non ha sul nostro conto, come la password del nostro account bancario.
O ancora il truffatore potrebbe usare le informazioni raccolte per rispondere alle domande necessarie per avere accesso al servizio on-line che gestisce le nostre e-mail e spiare le nostre conversazioni.
Potrebbe farsi mandare al nostro indirizzo e-mail la password di un altro servizio a cui siamo iscritto ed aumentare il raggio di informazioni sul nostro conto. Il truffatore potrebbe anche chiamare il fornitore di un servizio a cui siamo iscritti e spacciarsi, in virtù delle informazioni che ha, per noi.
Soluzioni al problema e approfondimenti
Sicuramente non c’è nessuna soluzione definitiva al problema! Per tutelarsi al meglio, basta però avere un po’ di accortezza nelle informazioni che lasciamo su Internet. E’ possibile approfondire l’argomento in questo articolo (in Inglese) da cui ho tratto spunto per questo intervento.
Fake!
Le banche non fanno operazioni di questo tipo via telefono; ma scherziamo?
Lavoro in banca, quindi queste cose le so.
Per quanto riguarda il phishing, buona regola è di non credere mai alle mail, in tutti i casi. Ma penso che questo oramai sia assodato.
L’esempio è stato teorizzato dal responsabile sicurezza IBM: http://blogs.iss.net/archive/SocialNetworkHacking.html
SA
Secondo me non è solo questo il problema, infatti non si può non farsi conoscere con il proprio nome su internet, per esempio se devi registrare un indirizzo di posta non ti inventi un nome perchè sai che potresti non ricordarlo. Se mettiamo che il tuo professore fosse anche lui truffatore, potrebbe sapete proprio tutto di te, quindi magari che proteggiamo la nostra identità su internet sempre si può risalire anche se con altri modi. Comunque quello che hai detto tu è un problema serio, e siccome purtroppo non possiamo direnderci dobbiamo essere più attenti noi, ma i servizi come le banche ecc… dovrebbero usare sistemi di sicurezza più elevati.
Sempre meglio non usare il proprio nome per indirizzi e-mail a meno che non sia indispensabile e comunque non darlo in pasto a internet. Servizi come Twitter poi mi sembrano veramente assurdi: C’è proprio tanto bisogno di far sapere al mondo intero che stiamo facendo la spesa o che stiamo andando in ufficio?!?!
C’era da aspettarselo…cioè io truffatore posso risalire a tutti i tuoi dati attraverso tutti quei servizi di social netoworking…roba da matti
Splendida la foto :)
… ho lavorato per le banche, nessuno è in grado di risalire al pin. Inoltre le carte di credito hanno il vantaggio di essere *sempre* tracciabili e i titolari possono disconoscere determinati acquisti. Trovo la tua disamina un poco troppo fantasiosa. Ti rammento che “chi nasce tondo non muore quadro”, chi si fa fregare con sistemi simili si fa fregare molto peggio nella vita reale ;-)!
[...] Fonte [...]
Continua a leggere su Attenzione alle informazioni lasciate su Internet « Marco Lancini Weblog.D’accordissimo con Manfrys e Zan-shi: l’esempio è ridicolo, figuriamoci cosa gliene frega alle banche come si chiama il mio cane o la mia gatta!! In più come è già stato detto, le banche col cavolo che fanno le cose al telefono e basta… Questo postnon è all’altezza del bel lavoro che fai.
I sistemi di sicurezza delle banche sono a prova di bomba. Ricordate che si truffano le persone, non le banche.
Il responsabile della sicurezza IBM non ha fatto altre che fare un po’ di palco; un po’ come quando i telegironati parlavano dell’emergenza aviaria; si è poi visto nulla? Semplicemente perchè il pericolo non c’è mai stato.
E’ solo una trovata come un’altra per alzare l’audience.
La soluzione c’è, è nota da decenni e si chiama “segretezza delle password”!
Perché nell’articolo non hai fatto riferimento nemmeno una volta al fatto che MAI, a NESSUNO e per NESSUN MOTIVO bisogna comunicare le proprie password?
@Manfrys: la mamma degli imbecilli è sempre incinta! Purtroppo le tecniche descritte si possono scalare quasi all’infinito, quindi nella massa, qualche “ingenuo” lo becchi sempre. Il social engineering è un fenomeno abbastanza diffuso negli USA, meno da noi, ma il phishing mirato è una brutta bestia, soprattutto per i novizi. Devo dire, che le gli addetti alle banche non istruiscono mai bene i clienti. Viene esposto un avviso antiphishing che pochi leggono, ma quanto sarebbe utile se un impiegato, al momento di aprirti un conto, ti dicesse: “non rispondere mai a mail che ti chiedono di verificare i tuoi dati o simili. Ripeti con me: mai mai mai”. E cmq ho un sogno: l’identità elettronica inclonabile: chi lavora con internet, ha carte di credito, cont bancari, indirizzi email, host di siti web, social networking, Squidoo, etc. Naturalmente esistono dei programmi che mantengono tutti i login e pw in un “cassetto”, ma se questo cassetto viene aperto o perso, sono guai!
oh voi che lavorate nelle banche -> sappiate che i vostri sitemi di sicurezza dipendono esclusivamente dagli utenti interni che ci mettono mano!!
Mi è capitato spessissimo di fare assistenza a dei clienti che non riuscivano ad accedere al conto aziendale online, e interfacciandomi telefonicamente nella persona del mio cliente mi sono più volte reso conto di quanto sia facile ottenere informazioni riservate e di quanto sprovveduti siano alcuni banchieri.
Sicuramente non sarà il vostro caso ma vi incoraggio a riflettere sull’affidabilità dei vostri colleghi meno multimediali!!
Saluti a tutti
@Blochi: Mi spiace contraddirti, ma quando si apre un conto in banca ti dicono esplicitamente di non credere a nessuna mail, anzi, ti inviato ad informare sempre la banca nel caso dell’arrivo di qualsiasi messaggio.
Se poi uno continua a farsi fregare non è per scarsa informazione da parte della banca, ma per scarsa attenzione da parte dell’utente.
@Marco Motta: La banca tiene traccia di tutto, e ripeto TUTTO; quindi la possibilità di truffe diventa talmente remota da per essere tranquillamente accantonata.
Figurati che ho lavorato per un periodo per un’azienda che faceva assitenza ai supermercati e mi è capitato più di una volta che i cassieri cercassero di prendere una parte dell’incasso: venivano sempre scoperti (e non mi riferisco a grandi catene, ma anche a esercizi con una/due casse). Per quanto riguarda i tecnici, non ci provavano nemmeno perchè sapevano che sarebbero stati scoperti pure loro (le casse registrano i movimenti in pile di sola scrittura che non può essere manomessa).
Per quanto una persona abbia accesso ai tuoi dati e anche potenzialmente possa rubarti dei soldi “dall’interno” le operazioni che esegue saranno sempre tracciate e quindi sarà sempre possibile risalire a chi ha commesso il misfatto.
L’unico modo possibile per “fregare” le banche è quello di mettere le mani su un programma che gira sui mainframe facendo in modo che trasferisca i soldi da un determinato conto ad un altro, ma anche in questo caso le operazioni restano tracciate.
Tempo fa è successo; un dirigente ha fatto una cosa del genere e si è dileguato prima che lo scoprissero. Ma oramai queste cose non sono più realizzabili.
Io lavoro come programmatore, non come impiegato, quindi conosco tutto l’iter che deve fare un processo prima di girare in banca.
Può dare delle anomalie, ma questo sono tutte raccolte e segnalate e c’è un giro di controlli incrociati che impedisce a chiunque di spostare i soldi virtuali da un conto all’altro.
Mi dispiace contraddirti ma i sistemi di sicurezza bancari sono tra i più affidabili, a prova di impiegato-scimmia dato che per quanto possa sembrare impossibile, non ha il potere di fare un tubo.
Anche io nei primi tempi di lavoro pensavo che le misure di sicurezza fossero dei colabrodi; poi mi sono accorto che sono al limite del paranoico.
@Zan-shi ti ringrazio davvero per le informazioni che ci hai dato, mi sono sempre chiesto se appunto si potess fregare il sistema
in ogni caso penso che quello di Salvatore sia solo una specie di “proverbio”, il cui messaggio è ci preoccupiamo tanto della privacy ma poi alla fine siamo noi stessi a rendere pubbliche certe informazioni.
mm perchè queste cose non si sapevano?
….. la notizia è interessante ma non mi allarmo come avrei fatto una volta.
Intanto myspace e simili non permettono l’accesso se non sei registrato, ok, i “cattivi” si registrano con un nome falso, in questo caso è possibile permettere l’accesso solo ai tuoi amici.
Quanto alla banca che ti fornisce i dati per telefono ho letto che c’è qualche dubbio se effettivamente lo fanno o no (io dopo aver verificato manderei i dati per posta, che ne so.. o manderei un sms al cellulare, il che scongiurerebbe problemi di questo tipo!)
Ammettiamo che sia possibile, se la domanda fosse “cosa stavi recitando quando sei caduto e ti sei sbucciato un ginocchio all’età di 4 anni?” cosa faccio ? Gli rispondo “Fido”? :))
In ogni caso sta al buon senso di chi crea un blog o uno spazio personale non dire come si chiama il cane se questa informazione è usata per ricavare dati sensibili!!
Inoltre i “cattivi” dovrebbero spendere tanto tempo nella ricerca di questi dati personali, e poi ad incrociarli, per cui per loro sarebbe meglio non lasciare il lavoro che hanno!
Dimenticavo, per quel poco che so delle banche, che per fare un’operazione danno anche un codice che cambia ogni volta che si usa, in alcuni casi è proprio un oggetto che cambia il codice ogni 60 secondi, insomma, è vero che bisogna stare attenti, basta non farsi prendere dal panico.
[...] [fonte: Salvatore Aranzulla] [...]
Continua a leggere su Truffa 2.0: attento alle informazioni che lasci su Internet | Truffe on line.[...] Truffa 2.0: attento alle informazioni che lasci su Internet (via Salvatore Aranzulla) [...]
Continua a leggere su Links della settimana (11).[...] Fonte [...]
Continua a leggere su Attenzione alle informazioni lasciate su Internet « La Guida Informatica.ma lo sappiamo gia che dobbiamo stare attenti non ce bisogno che lo dite pure voi!!!!!!!!!!!!