Pagine

Visualizzazioni totali

venerdì 18 settembre 2009

Phishing via chat, malware via web 2.0


Ingegneria sociale in tempo reale online, per catturare informazioni preziose per accedere ai conti bancari. In Rete non ci si può più fidare di nessuno, men che meno all'interno di un social network.
Quando il phishing tradizionale non basta più, i cyber-criminali sono costretti a inventarsi nuove tipologie di truffa telematica per rubare password, informazioni finanziarie e dati sensibili. Di una di queste "innovazioni" parla il FraudAction Research Lab di RSA, mettendo in luce quelli che i ricercatori definiscono attacchi di tipo "chat-in-the-middle", parafrasando i più comuni attacchi "man-in-the-middle". Nel nuovo stratagemma individuato da RSA, gli ignoti truffatori hanno messo in piedi un sito web fasullo che si spaccia per essere una banca con base negli States. Piuttosto che limitarsi a proporre un form da riempire con password e informazioni sensibili, però, il sito lancia una sessione di chat in tempo reale che serve sostanzialmente allo stesso scopo con la non trascurabile differenza che questa volta a condurre la truffa sono in criminali in carne e ossa - benché dietro lo scudo di un computer e una connessione camuffata. Il truffatore di turno si presenta come rappresentante del dipartimento frodi della banca in oggetto, chiedendo poi all'utente di spifferare nome, numeri telefonici, indirizzi email e altro in funzione di un'operazione di validazione degli account da parte del falso istituto finanziario. Tutte le informazioni comunicate vengono naturalmente prese "in ostaggio" dai criminali, e anche se RSA sostiene di non avere individuato ancora nessuna attività sospetta, i dati potrebbero facilmente servire ad accedere agli account bancari o a richiedere denaro per via telefonica.