Clickjacking: quando un click nasconde la truffa

Marco è un gran appassionato di calcio. Ogni giorno segue le notizie della sua squadra preferita su siti diversi, da quelli ufficiali a quelli di nicchia. Probabilmente è il momento della giornata che ama di più, ma lo sarà per sempre? Durante una delle sue navigazioni nel web, Marco è attratto da un link che riporta una notizia strepitosa che riguarda la sua squadra. Preso dall’euforia ci clicca e non succede nulla. “Sarà un problema del sito” pensa. Invece no. Pochi giorni dopo Marco riceve una mail con una sua foto in pigiama e con un messaggio: “Ho tante foto come questa, posso spiarti, ma se mi paghi finirò di farlo”.

(Gli attacchi di Clickjacking possono permettere di accedere alla web cam ed al microfono modificando le impostazioni del software Adobe Flash)

Wikipedia dice: Durante una normale navigazione web, l’utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilità sfrutta Javascript o Iframe.

Pharming: sito originale o pagina web creata ad hoc?

Giuseppe passa molte ore davanti al pc, soprattutto sui social-network. Gli piace condividere link, guardare le foto degli amici, commentare la pagina fan del suo cantante preferito e chattare con la sua dolce metà. Peccato che Giuseppe abbia solo 14 anni e sia un po’ ingenuo. Mentre naviga, nel suo browser si apre una pagina che sembra l’home page di Facebook, ma non il vero Facebook. Giuseppe inserisce i suoi dati ed effettua l’accesso: in un baleno l’hacker della porta possiede nickname e password dell’account, ed entrando all’interno, crea situazioni a dir poco imbarazzanti…

Wikipedia dice: Si definisce Pharming una tecnica di cracking, utilizzata per ottenere l’accesso ad informazioni personali e riservate, con varie finalità. Grazie a questa tecnica, l’utente è ingannato e portato a rivelare inconsapevolmente a sconosciuti i propri dati sensibili, come numero di conto corrente, nome utente, password, numero di carta di credito etc.

Pishing: abboccare come i pesci alla trappola dell’hacker

Giovanni lavora come infermiere nell’ospedale della sua città. Il suo sogno è sempre stato quello di aiutare la gente, di curarla, sostenerla nel momento del bisogno. Le sue giornate sono così intense che, tornato a casa dopo le estenuanti ore di lavoro, desidera solo stendersi sul letto e controllare le sue e-mail in tutta tranquillità. Una sera arriva una mail dalle Poste: “Stiamo verificando la sicurezza degli account dei nostri clienti, inserisca qui i suoi dati d’accesso, verificheremo se il suo account è sicuro!”. La stanchezza, i pensieri, non fanno capire a Giovanni della grave truffa alla quale sta andando incontro. Inserisce i dati e il suo conto svanisce in pochissimo tempo.

Wikipedia dice: Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: attraverso l’invio casuale di messaggi di posta elettronica che imitano la grafica di siti bancari o postali, un malintenzionato cerca di ottenere dalle vittime la password di accesso al conto corrente, le password che autorizzano i pagamenti oppure il numero della carta di credito.

Morale della favola

Marco dovrà installarsi un browser aggiornato per non ricadere nella stessa truffa. E’ bene ricordare: “Mai accettare i dolcetti dagli sconosciuti”

Giuseppe dovrà procurarsi un buon antivirus e controllare su ogni sito dove inserisce dati personali, se viene fornito un certificato di sicurezza o viene utilizzato il protocollo https (http secure).

Giovanni dovrà capire che nessuna banca e nemmeno le Poste chiederanno mai dati sensibili via e-mail. Inoltre stando attenti al link del sito, si potrà notare che sicuramente differisce dall’originale, anche per un solo simbolo!

Related posts