Mondo

La sicurezza informatica (e non solo)

L’altro giorno parlavo con un conoscente, che mi diceva “eh, lo so, a me piacerebbe utilizzare qualche servizio bancario online, ma non mi fido… mi rubano tutto”. Al che avevo iniziato a spiegargli che, sì, ci sono delle cose a cui stare attenti, ma con un po’ di attenzione non c’è molto di cui preoccuparsi, ma mi sono subito sentito ribattere: “no, no non mi fido…”. E mi veniva da domandare “ok, non ti fidi.. ma di cosa non ti fidi, visto che non sai di cosa stai parlando?”. Se ci pensate, è una assurdo perdere delle occasioni (non solo quando si parla di soldi o investimenti!) semplicemente perché non si vuole fare un minimo sforzo per capire come funzionano le cose, eppure quanta gente si comporta così. Non è che uno dopo essersi informato deve per forza dire “sì”, ma è importante a mio parere una scelta consapevole (nel caso specifico, uno può benissimo dire, non uso servizi di banche online perché dopo avere capito come funzionano, il livello di sicurezza non lo giudico adeguato).
Eh… vabbé, ma torniamo a noi. Come avrete capito, oggi volevo parlarvi di sicurezza informatica, spiegare a chi non lo sa come funziona, i rischi e alcune precauzioni da prendere.


Allora, l’aspetto della sicurezza informatica, se uno decide di utilizzare servizi bancari, investire, o “muovere” i propri soldi via web è assolutamente fondamentale. Ormai, per quanto ho visto io, il livello di sicurezza è molto elevato, e la possibilità che qualcuno riesca a “violare” il vostro conto senza conoscere i codici di accesso sono estremamente basse. E se qualcuno fosse in grado di violare i sistemi di sicurezza della banca e cambiare gli importi nei conti a proprio piacimento? Allora, il fatto che abbiate un conto online o meno è irrilevante, dato che comunque tutti i dati di tutti i conti sono memorizzati sui computer della banca. Ma lo sforzo che tutto questo richiede lo rende molto poco conveniente per il ladro… molto meglio una “tradizionale” rapina in banca.

Quindi possiamo stare del tutto tranquilli? Beh, quasi. Il punto debole… siamo noi. I pirati informatici hanno scoperto che il modo più semplice per rubare i codici di accesso agli utenti è chiederglieli. Stiamo parlando del cosiddetto Phishing, che consiste nel far fingere di essere un soggetto autorevole che ha diritto di conoscere le informazioni che sta chiedendo. Di solito, invia una mail con la grafica della banca di cui vuole truffare i clienti, che invita a inserire i propri dati in una pagina web di cui riporta il link (solitamente con la scusa di un aggiornamento, o una verifica a causa di un accesso non autorizzato – motivazione quest’ultima che ha lo scopo di mettere in apprensione chi riceve la mail e non dargli il tempo di sospettare). I dati che vengono inseriti in questa pagina fittizia, che riprende anch’essa la grafica del sito “reale” finiscono direttamente nelle mani dei phisher, che in genere utilizzeranno queste informazioni per fare addebiti di piccole dimensioni (le transazioni più grandi sono solitamente tracciabili, non assicurando pertanto il necessario anonimato ai truffatori, che in genere preferiscono pertanto puntare sulla quantità di “truffati” anziché spolpare un singolo), spesso per ricaricare carte prepagate di qualche prestanome – o addirittura di utenti ignari, che hanno fornito i loro codici – che poi vengono utilizzate per fare acquisti sfruttando il maggiore anononimato che queste offrono.

Per prevenire tutto ciò, ricordatevi che:

  1. Falsificare il mittente di un messaggio di posta elettronica è una cosa di una facilità estrema, dato che il protocollo della posta in internet non prevede la validazione del mittente. Le informazioni relative a quest’ultimo sono quindi un banalissimo campo di testo il cui contenuto può essere impostato a piacimento (nelle opzioni del programma di posta, ad esempio) ed è un parametro impostabile a piacere nella funzione mail o simile di qualunque linguaggio di programmazione per il web (come mai, chiedete? In fondo questo protocollo di posta era nato per le esigenze dei ricercatori universitari… perchè qualcuno avrebbe dovuto falsificare il mittente?). Quindi, regola n°1: non siate sicuri che un messaggio viene dalla vostra banca solo perché dice di venire dalla vostra banca.
  2. È possibile anche far sembrare che i link puntino ad un indirizzo diverso da quello che sembra. Quindi, regola n°2: evitate di cliccare sui link che ricevete via mail, soprattutto se sono particolarmente lunghi e complicati. Se proprio dovete seguire il link, ri-digitate l’indirizzo nel browser web.
  3. Un buon amministratore di un sistema informatico (e, di solito, le banche lo hanno) non ha bisogno di conoscere le vostre password per nessun motivo. Normalmente le guide all’uso del servizio indicano chiaramente quando e come vengono richieste le password e quali. Di conseguenza la regola n° 3: se vi chiedono i vostri codici (anche per telefono, soprattutto se non avete chiamato voi!) in contesti diversi da quelli indicati, evitate di rivelarli.

In ogni caso, molte banche hanno strutturato i loro sistemi in modo da ridurre al minimo le conseguenze di un’eventuale azione di phishing ai danni dei loro client, adottando il sistema delle tripla chiave. Il meccanismo è molto semplice: oltre alle classiche UserID e Password per accedere al servizio, all’utente viene assegnata un ulteriore codice differente (la cosiddetta password dispositiva) che l’utente deve usare nel momento in cui ordina un’operazione. Quindi, nel caso un utente cada in una trappola di phishing e consegni la sua UserID e Password, viene salvata la password dispositiva (che non ha motivo di essere utilizzata dato che ovviamente l’utente, inserite le prime due, si accorge che qualcosa non va, dato che non può vedere i dati del suo conto – dato che il phisher non è ovviamente in grado di simulare). Di conseguenza, in questo caso il phisher potrebbe riuscire al massimo a vedere i dati del conto dell’utente a cui ha carpito i dati, ma non potrebbe disporre alcuna operazione.

Ci sono alcune varianti di questo meccanismo a tripla chiave, ad esempio è possibile che una password aggiuntiva (non “dispositiva” in senso stretto, in questo caso) venga chiesta al momento dell’accesso, però in una pagina, successiva a quella iniziale, in cui vengono evidenziate alcune informazioni personali non critiche dell’utente (ad es. l’ultimo accesso e il nome di battesimo) che permettano all’utente di capire che è stato riconosciuto e quindi è sul sito “vero”.

In ogni caso, questi nuovi sistemi di sicurezza non devono far dimenticare le “regole” di prudenza che abbiamo citato prima: le password sono un po’ come le chiavi di casa o della macchina, e non è quindi il caso di lasciarle cadere in mano ad estranei, magari dalle dubbie intenzioni.

Banche e Risparmio [http://www.banknosie.com]

Loading...