Truffa 2.0: Attento Alle Informazioni Che Lasci Su Internet
Jane Doe ha appena finito di cenare in un delizioso ristorante nel centro di New York e ha deciso di pagare con la sua nuova carta di credito. Questa viene clonata dal ristoratore e diverse informazioni personali sul suo conto, fra cui il suo nome e cognome, vengono memorizzate.
Per compiere la truffa e avere pieno accesso al conto in banca di Jan Doe, i pirati informatici hanno usato MySpace. Esatto, uno dei più usati social network a livello internazionale. Hanno trovato infatti la sua pagina personale su MySpace con moltissime informazioni: il nome del suo fidanzato, il nome del suo cane, il giorno della sua data di nascita, la città in cui è nata e diverse foto.
Armati di queste informazioni, i pirati informatici hanno chiamato la banca di Jane Doe dicendo che lei aveva perso la password di accesso al suo conto on-line e dimenticato il PIN della carta di credito.
La banca per verificare l’identità di chi stava chiamando ha chiesto la sua data di nascita e la risposta alla domanda Qual è il nome del tuo cane?. L’identità e il conto in banca di Jan Doe sono stati rubati.
(Foto Scary Identity Thief di CarbonNYC)
Sai che lasci su Internet tante informazioni sul tuo conto?
Internet è oramai entrato nell’età del Web 2.0 grazie al quale regna la condivisione delle informazioni e la possibilità di produrre e mettere on-line contenuti facilmente. Le informazioni che però lasciamo su Internet possono essere utilizzate per scopi fraudolenti e tracciare un profilo sul nostro conto.
Per un truffatore, conoscere tutto, o quasi tutto, di una persona da truffare se è attiva su Internet è oramai molto semplice. La prima cosa che il truffatore fa per sapere di più sul conto di una persona è digitare il nome e cognome della vittima su di un motore di ricerca, come Google.
Se ha a disposizione l’indirizzo e-mail della vittima, il truffatore lo digita pure sul motore di ricerca per escludere eventuali omonimie ed essere sicuro di avere trovato la persona corretta. Sfogliando i risultati delle pagine, può iniziare a raccogliere delle informazioni importanti.
Una di queste è ad esempio il nome utente usato nelle iscrizioni ai vari servizi Internet. Una ulteriore ricerca su un motore di ricerca del nome utente permette ad esempio di trovare i messaggi lasciati su di un forum e firmati con il nome utente. Detto in altre parole, il truffatore entra nella vita della persona da truffare.
Può farlo ulteriormente se la vittima pubblica, ad esempio, un blog personale o usa Twitter. In un blog personale è facile trovare foto della vittima, informazioni circa la sua formazione culturale, la sua routine, le sue passioni e la sua vita.
Twitter è un nuovo servizio Web 2.0 che permette di fare sapere agli altri cosa stiamo facendo in un certo momento: se è usato in modo assiduo e sconsiderato potrebbe permettere, facendo un confronto fra più giorni, di ricostruire la routine tipica di una persona. Non sono pochi gli utenti che pubblicano twitt come Sto andando in ufficio oppure Sto andando a fare la spesa.
La vera fonte di informazioni per i truffatori è costituita però dai social network, che sono fra i servizi più gettonati del Web 2.0. Ne è esistono di tutti i tipi: si va da quello con cui è possibile conoscere nuovi amici a quello con cui è invece possibile cercare contatti professionali. Cambia il contenuto dei social network, ma non la sostanza: i social network sono strapieni di informazioni personali che possono essere usate per scopi fraudolenti.
Nei profili dei social network, è infatti facile lasciare informazioni riservate, come la propria data di nascita, il luogo di nascita, dettagli sulla propria carriera scolastica o sul luogo in cui si vive solo per citare alcuni esempi. I profili della maggior parte dei social network sono liberamente accessibili da tutti, anche dagli utenti non registrati, e indicizzati dai motori di ricerca.
La pericolosità dei social network consiste poi nel motore di ricerca per trovare le altre persone: i motori di ricerca forniti sono così raffinati che è possibile stilare dei gruppi di potenziali vittime.
Ecco come uso le informazioni raccolte per creare una truffa!
Le singole informazioni prese da sole e individuate su Internet non hanno significato. Lo assumono nel momento in cui vengono combinate insieme. I dati possono essere utilizzati per compiere delle truffe mirate, ad esempio, via e-mail.
Sappiamo di non doverci fidare delle e-mail che riceviamo dalla “nostra banca” via e-mail e che parlano di presunti problemi con il nostro account. Ma faremo lo stesso con una e-mail che ci dice tutto sul nostro conto?
Sicuramente noi ci fideremo di una e-mail truffaldina che dice provenire dalla nostra banca e che ci chiede delle informazioni riservate se questa ci saluta per nome e cognome, indicandoci la nostra data di nascita e l’indirizzo di casa. Le e-mail truffaldine mirate sono chiamate spear phishing.
Le informazioni raccolte potrebbero poi essere utilizzate per compiere attacchi di social engineering: il truffatore potrebbe chiamarci e, dopo essersi presentato come un funzionario bancario e acquistatosi la nostra fiducia perché sa tutto di noi, rubarci le (poche) informazioni personali che ancora non ha sul nostro conto, come la password del nostro account bancario.
O ancora il truffatore potrebbe usare le informazioni raccolte per rispondere alle domande necessarie per avere accesso al servizio on-line che gestisce le nostre e-mail e spiare le nostre conversazioni.
Potrebbe farsi mandare al nostro indirizzo e-mail la password di un altro servizio a cui siamo iscritto ed aumentare il raggio di informazioni sul nostro conto. Il truffatore potrebbe anche chiamare il fornitore di un servizio a cui siamo iscritti e spacciarsi, in virtù delle informazioni che ha, per noi.
Soluzioni al problema e approfondimenti
Sicuramente non c’è nessuna soluzione definitiva al problema! Per tutelarsi al meglio, basta però avere un po’ di accortezza nelle informazioni che lasciamo su Internet. E’ possibile approfondire l’argomento in questo articolo (in Inglese) da cui ho tratto spunto per questo intervento.
ma lo sappiamo gia che dobbiamo stare attenti non ce bisogno che lo dite pure voi!!!!!!!!!!!!
[...] Fonte [...]
. Leggi il resto[...] Truffa 2.0: attento alle informazioni che lasci su Internet (via Salvatore Aranzulla) [...]
. Leggi il resto[...] [fonte: Salvatore Aranzulla] [...]
. Leggi il resto….. la notizia è interessante ma non mi allarmo come avrei fatto una volta.
Intanto myspace e simili non permettono l’accesso se non sei registrato, ok, i “cattivi” si registrano con un nome falso, in questo caso è possibile permettere l’accesso solo ai tuoi amici.
Quanto alla banca che ti fornisce i dati per telefono ho letto che c’è qualche dubbio se effettivamente lo fanno o no (io dopo aver verificato manderei i dati per posta, che ne so.. o manderei un sms al cellulare, il che scongiurerebbe problemi di questo tipo!)
Ammettiamo che sia possibile, se la domanda fosse “cosa stavi recitando quando sei caduto e ti sei sbucciato un ginocchio all’età di 4 anni?” cosa faccio ? Gli rispondo “Fido”? :))
In ogni caso sta al buon senso di chi crea un blog o uno spazio personale non dire come si chiama il cane se questa informazione è usata per ricavare dati sensibili!!
Inoltre i “cattivi” dovrebbero spendere tanto tempo nella ricerca di questi dati personali, e poi ad incrociarli, per cui per loro sarebbe meglio non lasciare il lavoro che hanno!
Dimenticavo, per quel poco che so delle banche, che per fare un’operazione danno anche un codice che cambia ogni volta che si usa, in alcuni casi è proprio un oggetto che cambia il codice ogni 60 secondi, insomma, è vero che bisogna stare attenti, basta non farsi prendere dal panico.
mm perchè queste cose non si sapevano?