Data Protection, phishing e la truffa dei biglietti gratis
Anche quest’anno, come nel 2017, è partita la campagna “2 biglietti in regalo per festeggiare i 33 anni di Ryanair” e come nel 2017 sono già in tanti ad aver comunicato i propri dati nella convinzione che riceveranno i biglietti in regalo.
Ebbene, purtroppo per quanti ci hanno creduto, non è altro che un articolato tentativo di trafugare i vostri dati. Questo in gergo tecnico si chiama phishing e nella maggior parte dei casi è un reato penalmente perseguibile.
Parliamo dell’art. 167 del Codice della privacy, che prevede la pena della reclusione da sei a diciotto mesi per “chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali” e se i dati vengono comunicati o diffusi la pena aumenta e prevede la reclusione da sei a ventiquattro mesi.
Se a questa condotta associamo la volontà del phisher di ottenere un illecito guadagno, allora il reato diventa quello di truffa ex art.640, 1° comma del codice penale e qui la pena è della reclusione da 6 mesi a 3 anni e la multa da 51 a 1032 euro.
Ma come facciamo ad accorgerci che si tratta di phishing?
Tutto sommato è abbastanza semplice ed è alla portata di chiunque smanetti un po’ con smartphone o tablet. Intanto diciamo che di solito questi tentativi di truffa arrivano tramite social o sulla propria mail.
Il phisher non fa altro che creare una pagina uguale ad una esistente, utilizzando i loghi ed i banner pubblicitari dell’azienda che vuole utilizzare come vettore, tecnicamente typosquatting o “cybersquatting”.
In questo caso parliamo della RyanAir azienda molto conosciuta per i voli low cost.
Il truffatore o phisher utilizza un URL quasi simile a quello originale. Nel caso specifico questa volta hanno utilizzato il seguente http://ryanair.com.freetickets.review/Italian/ (non tentate di aprirlo) mentre la vera compagnia di volo utilizza il seguente https://www.ryanair.com/it/it/ .
La prima cosa che salta all’occhio è che nel caso del truffatore l’URL utilizza un protocollo aperto HTTP, quindi senza nessuna sicurezza, mentre come è ovvio, il sito ufficiale della RyanAir utilizza un protocollo sicuro in HTTPS.
Già solo questo piccolo dettaglio dovrebbe mettere in allarme e non far proseguire oltre il malcapitato ma poniamo che vada avanti e clicchi sulla pagina accettando di procedere con la richiesta di rispondere alle domande create ad hoc sulla pagina falsa.
Cliccando sul SI, compaiono altre due o tre domande al massimo. Di seguito ho riportato la prima domanda, ma queste possono cambiare di volta in volta. Il phisher usa una serie di domande standardizzate e ad ogni utente può arrivare una serie di due o tre domande diverse.
Rispondendo alle domande si apre una nuova pagina che dice “Complimenti, sei stato qualificato per ricevere due biglietti gratis” e spiega come procedere. Basta condividere il messaggio a 20 contatti tramite whatsApp. Attenzione però, la Legge non ammette ignoranza, quindi se lo fate, vi rendete complici di un reato.
Ovviamente, la tecnica utilizzata dal phisher che chiede di condividere con 20 contatti è fatta per evitare di interrompere la catena, quindi se su 20 persone 10 cestinano il messaggio, rimangono altri 10 che vanno avanti.
Finita tutta questa procedura, compare una pagina che dice “Inserisci i tuoi dati” e ti obbliga ad inserire “nome” “cognome” e “indirizzo mail”.
Fino a questo momento, il phisher può solamente verificare gli I.P. di provenienza con annessa località ma di fatto non ha ancora nessuna chiave per poter rubare i vostri dati. Li avrà appena voi inserirete i dati richiesti negli appositi campi formattati.
In pratica, i dati che inserite, permettono al phisher di avere il vostro indirizzo mail e I.P. di provenienza. Non deve fare altro che inviare una mail al vostro indirizzo con la quale vi viene richiesto di confermare i dati che avete inserito. Cliccando su “conferma i miei dati” state permettendo al phisher di effettuare lo sniffing dei vostri dati e la frittata è fatta.
Come prevenire questi attacchi informatici?
L’unico consiglio che posso dare, in mancanza di conoscenze tecniche specifiche, è di verificare sulle pagine ufficiali delle aziende che postano questi adverticement. Difficilmente troverete riscontro alla pubblicità ricevuta.
Ciò vuol dire che stanno cercando di rubarvi i dati…
A cura di: Giuseppe Spadafora
Docente Formatore in Security Management presso il KHC, Cyber expert ISO27001