Phishing, sbancati i database Epsilon: rubati i dati American Express, Visa, BestBuy e di molti altri

“Hanno rubato solo nomi e indirizzi email”: è questa la “difesa d’ufficio” che la Epsilon, importante azienda statunitense per la salvaguardia dei dati online, ha diffuso dopo il recente furto di dati sensibili dai suoi database. come se i clienti potessero per questo rasserenarsi!

Anche se il furto a riguardato solo il 2% dell’immenso patrimonio informativo, a scorgere l’elenco di alcune delle aziende clienti derubate si resta letteralmente basiti, quasi che i cracker sapessero bene quali dati prendere e quali lasciare: American Express, BestBuy, Borders, Capital One, Citibank, Disney, The Home Shopping Network, JP Morgan Chase, Marriott Rewards, Hilton Worldwide, Ritz Carlton, TiVo, US Bank, Verizon e Visa. Come ha fatto notare Rik Ferguson, Director Security Research & Communication EMEA, le stesse rassicurazioni di Epsilon sono altamente ingenue:

I criminali non solo conoscono il nome e la email degli utenti, ma sanno anche dove fanno acquisti, dove hanno il conto bancario, quali hotel prenotano e molto altro ancora. Se gli utenti sono stati così sfortunati da ricevere più messaggi di avviso, si può immaginare il tipo di profilo che gli hacker in questo momento hanno a disposizione su di loro

Infatti, gli “attaccanti” potranno d’ora in poi tempestare di email trabocchetto gli utenti, sapendo benissimo chi essi siano (e come ingannarli). Qui sotto potete leggere un elenco stilato dalla Trend Micro per difendersi da questa situazione. Inutile dire che il rischio di errore è davvero molto alto:

- Prestare la massima attenzione ai messaggi che si riceveranno nei prossimi mesi, se non addirittura anni.

- Non fornire mai informazioni personali a un sito Web senza aver usato un bookmark per arrivarci o senza aver digitato direttamente il link (ad esempio non seguite i link indicati nelle email).

- Prima di fornire dati personali, assicurarsi che la connessione sia cifrata con SSL. Ciò si capisce se l’indirizzo inizia con “https://”. Se non è crittografato, non fornire informazioni.

- Leggere attentamente la documentazione relativa alla privacy prima di comunicare un qualsiasi dato personale. Se ci sono elementi che non convincono, sospendere l’operazione.

- Per tutelarsi da simili inconvenienti optare per indirizzi diversi per ciascun servizio.

- Per tutte le società che si occupano di gestire, archiviare o trasmettere i dati personali dei loro utenti …ricorrere alla CRITTOGRAFIA. Le aziende hanno il dovere di tutelare i dati dei propri clienti!

Fonte: Oneitsecurity - Autore: Guido Grassadonio