Menu

Osservatorio Astrofisico di Arcetri

Accesso ad informazioni riservate

Luca Fini
Settembre 2005

I tentativi di accesso ad informazioni sensibili, ad esempio password, codici di accesso, indirizzi di posta elettronica, ecc., non hanno niente a che vedere con la tecnologia informatica, ma sono semplicemente l'attualizzazione di vecchissime tecniche usate nelle truffe più classiche: il truffatore si spaccia credibilmente per persona degna di fiducia e propone un affare assai vantaggioso, o un servizio di qualche tipo, allo scopo di mettere a segno vere e proprie truffe, o anche semplicemente di farsi rivelare informazioni più o meno sensibili.

L'aspetto particolare delle truffe proposte tramite la posta elettronica consiste nel fatto che, poiché i messaggi di proposta possono essere mandati a milioni di persone in pochissimo tempo ed a costi irrisori, non è necessario che siano particolarmente ben congegnati o che contengano informazioni veritiere su particolari persone o fatti: la semplice probabilità statistica garantisce che un certo numero di coloro che ricevono il messaggio vi possano trovare informazioni o dichiarazioni che lo fanno sembrare affidabile (vedere l'esempio in appendice).

Un tipico esempio di vera e propria truffa è diventato così diffuso da ricevere un nome specifico, Nigerian 419, e da meritare un trattamento speciale in tutti i sistemi per il filtraggio dei messaggi non desiderati. Il meccanismo consiste nella richiesta, da parte di un notabile di qualche paese remoto e travagliato, di appoggiare sul conto corrente del destinatario una somma enorme, per consentire un trasferimento all'estero a causa di qualche emergenza bellica. In cambio il corrispondente riceverà una percentuale della somma (per una cifra considerevole). Naturalmente tutto ciò serve a coprire un normalissimo tentativo di farsi consegnare denaro a titolo di garanzia o con altri trucchi ed il resto della procedura prevede normali contatti diretti con i truffatori e scambi di denaro vero. Cito questo esempio perché dopo molti anni, nonostante le numerose descrizioni pubblicate sui mezzi di informazione anche quotidiani, messaggi di questo tipo continuano ad arrivare a decine se non a centinaia ogni giorno, a dimostrazione che continuano ad essere inviati in gran numero.

Un meccanismo molto simile viene utilizzato per cercare di carpire password e codici di accesso a servizi di rete cosa che, nel caso di servizi bancari, può risultare assai dannosa per chi rimane coinvolto.

Il meccanismo è semplice. Il messaggio di posta elettronica appare inviato da un fornitore di servizi: il servizio di supporto di un provider, il servizio clienti di una banca, il gestore di un sito di aste via Internet, ecc.; il messaggio chiede di accedere ad un sito Internet, il cui nome può essere facilmente scambiato con quello di un sito legittimo, per modificare la password di accesso allo scopo di aumentare la sicurezza, scaricare qualche aggiornamento o risolvere un problema tecnico. Il sito in questione, il cui aspetto è molto simile a quello legittimo, contiene la richiesta di cambiare qualche password o codice di accesso, ma il risultato è quello di comunicare le vere password per l'accesso al servizio che non vengono, ovviamente, cambiate ma possono essere usate dai truffatori che hanno architettato il meccanismo.

Per riferimento, abbiamo raccolto alcuni esempi reali di messaggi di questo tipo.

Come difendersi

Molti messaggi sono facilmente riconoscibili, spesso perchè il destinatario non ha mai utilizzato il servizio in questione o perchè i messaggi sono inconsistenti o evidentemente contraffatti, ad ogni buon conto è opportuno ricordare alcuni accorgimenti:

  • Le banche ed gli altri servizi finanziari non chiedono mai ad un cliente password o codici di accesso, né per posta elettronica, né per telefono (e nemmeno ad uno sportello, se è per questo).
  • Prima di accedere ad un sito che offre un servizio, verificate attentamente l'indirizzo del sito, ricordando che alcuni nomi possono essere solo apparentemente corretti (ad esempio tutti i seguenti siti sono esistenti, ma non hanno niente a che fare con l'INAF: www.inaf.net, www.inaf.com, www.inaf.org).

Appendice

Un semplice esempio può servire a chiarire come l'"effetto statistico" possa indurre a pensare che il mittente abbia informazioni particolari. Supponiamo che un promotore finanziario senza scrupoli voglia tentare di allargare il numero dei propri clienti convincendoli della propria capacità di analizzare le tendenze del mercato. A questo scopo prepara due messaggi: nel messaggio A consiglia disinteressatamente al destinatario di investire nel titolo X, perché nel corso della settimana successiva ne prevede l'aumento (o almeno non una perdita); nel messaggio B consiglia di non investire, o ritirare l'investimento dal titolo X, perché ne prevede il crollo (o comunque un andamento non positivo). Ciacuno dei due messaggi viene inviato ad un congruo numero di indirizzi (diciamo 10000 + 10000).

Dopo una settimana, a seconda dell'andamento reale del titolo "osservato" uno dei due gruppi di 10000 persone ha ricevuto una "previsione" corretta. Questo gruppo viene diviso in due gruppi di 5000 persone ciascuno a cui mandare, rispettivamente, le lettere A e B. Al termine della seconda settimana avremo un gruppo di 2500 persone che hanno ricevuto una previsione corretta per due settimane consecutive; ripetendo l'operazione per tre volte ancora possiamo selezionare oltre trecento persone che hanno ricevuto per cinque settimane consecutive previsioni apparentemente corrette e che potrebbero essere indotte a servirsi del nostro consulente finanziario per i loro investimenti.

Naturalmente questo meccanismo non ha niente di specificamente legato alla tecnologia informatica, ma senza la possibilità di utilizzare la posta elettronica sarebbe assai meno efficiente e più costoso.