Il Blog sta subendo alcuni interventi di manutenzione e aggiornamento, pertanto nei prossimi giorni si potrebbero riscontrare rallentamenti o malfunzionamenti.Ci scusiamo per il disagio.

Non abboccare all’amo del phisher: usa la carta di identità

Il web, si sa, è un campo minato. Ogni giorno riceviamo falsi messaggi della banca, delle poste (o dei promotori di improbabili concorsi a premi),  in cui ci si chiede di cliccare su un link per perfezionare il nostro conto corrente o l’account. Chi abbocca è perduto perché apre la porta ai criminali, che useranno i dati personali trafugati per compiere reati a nostro nome. Gli utenti più esperti sanno come difendersi dal phishing, cioè dalle sirene che cercano di allettarli con falsi messaggi che conducono a siti-trappola pieni zeppi di codice maligno. Come la mettiamo però con i meno avvezzi alle insidie della rete? Ci vorrebbe una carta di identità per i siti, che ne attesti la veridicità e renda la vita difficile a delinquenti e burloni. Semmai automatica, affidata a un plug-in che agisca sui browser e sappia distinguere il grano dal loglio, il sito-trappola da quello genuino.

Ecco un messaggio di phishing fresco fresco, arrivato oggi. Mi si invita ad aprire un allegato, certamente pieno zeppo di codice maligno. Il phisher è pure ignorante: ha scritto "alegato" con una elle...subito nel cestino

Ecco un messaggio di phishing fresco fresco, arrivato oggi. Mi si invita ad aprire un allegato, certamente pieno zeppo di codice maligno. Il phisher è pure ignorante: ha scritto “alegato” con una elle…subito nel cestino!

Alla Royal Holloway University di Londra ci stanno lavorando. Il professor Chris Mitchell, che coordina l’Information Security Group, ha elaborato il sistema Uni-IDM per gestire il processo di identificazione del sito web. Mitchell e il ricercatore Haitham Al-Sinani ne descrivono il funzionamento in una pubblicazione dal titolo “A universal client-based identity management tool“.

Uni-IDM permette agli utenti di creare una carta d’identità elettronica per i siti web visitati. Se il sito è falso, appare un segnale di pericolo e il sistema impedisce di visualizzare il nome utente e la password. Per verificare l’autenticità del sito, il plug-in va a cercare eventuali frequentazioni precedenti. Se, ad esempio, si finisce su un fake di Amazon, il sistema mette a confronto le visite fatte in passato sul sito vero e fa scattare l’allarme.

Il sistema non è perfetto: il plug-in deve “imparare” quali siti sono reali e quali sono trappole. Se non ci sono precedenti navigazioni, il sistema è cieco e non riesce a stabilire la differenza. Il professor Mitchell ammette questo limite di efficacia, ma sostiene che già così, in attesa di future implementazioni, Uni-IDM può dare filo da torcere ai phisher.

D’altronde il fenomeno è in aumento costante. I furti di identità e gli altri reati connessi al phishing sono aumentati del 300 per cento nell’ultimo anno, con 37, 3 milioni di vittime in tutto il mondo soltanto nel 2012.

Uno dei più comuni messaggi di phishing

“L’obiettivo di questo lavoro, scrive Chris Mitchell, è proporre un nuovo approccio al problema dell’autenticazione dell’utente, senza che sia necessario elaborare nuovi protocolli o infrastrutture. Si tratta di rendere più sicuri e facili da usare i sistemi già esistenti, grazie al rafforzamento della privacy con un’interfaccia utente che preveda il consenso esplicito dell’utente nel corso di tutta la procedura”.

Per chi vuole approfondire, lo studio dell’Information Security Group della Royal Holloway University è disponibile su questo link.

Pino Bruno

Scrivo per passione e per dovere, sono direttore di Tom's Hardware Italy, ho fatto il giornalista all'Ansa e alla Rai e scrivo di digital life per Mondadori Informatica e Sperling&Kupfer

Alcune delle mie Pubblicazioni
Stay in Touch

Sono presente anche sui seguenti social networks :

Calendario
Agosto 2013
L M M G V S D
 1234
567891011
12131415161718
19202122232425
262728293031