Truffe per gli acquisti online, attenti al 'pishing': ecco come funziona

Sono sempre più numerosi coloro che si affidano alla Rete per effettuare acquisti di vario genere e soprattutto ora che il Natale è sempre più vicino, cercare tra gli scaffali virtuali i doni da mettere sotto l'albero è una prassi che verrà esercitata da almeno 10 milioni di italiani.

Ma i malintezionati che si aggirano in sordina nel web, pronti a truffare gli ignari consumatori, sono, purtroppo, sempre in agguato e a riprova di ciò, Accomazzi.net - una società milanese specializzata nella sicurezza informatica e nello sviluppo di siti per il commercio elettronico - ha scoperto e già segnalato all'azienda una grave falla di sicurezza sul sito CartaSì che potrebbe essere usata dagli impostori per carpire dati e/o denaro.

In pratica, l'errore consente a chiunque di usare facilmente il sito CartaSì per truffare i navigatori tramite il 'phishing', una forma di truffa che, tramite un link contenuto in un messaggio di posta o posizionato su un sito, invita il navigatore su un sito web maliziosamente contraffatto per somigliare a quello di una banca o di un ente e lì gli fa commettere l'imprudenza di rivelare il suo numero di carta di credito o le credenziali per l'accesso al conto corrente.

Per quanto ormai molti navigatori sappiano riconoscere i più semplici tentativi di phishing, ben diversa è la situazione quando si finisce o si viene portati, come in questo caso, su sito un mal concepito al punto che chiunque può far apparire un proprio messaggio, senza essere un hacker, per cui l'attenzione deve essere massima.

Per una dimostrazione pratica e impressionante di cosa sia possibile fare grazie all'errore di progettazione, è sufficiente guardare ll'immagine seguente:

Come noteranno immediatamente i più attenti, questo è davvero il sito di Cartasì, con tanto di certificato VeriSign che dichiara sicura la connessione e scritta verde che verifica che l'azienda è stata certificata da un'autorità, per cui il navigatore medio non può certo immaginare che in realtà sta leggendo una pagina concepita da qualcun altro.

Gli esperti di Accomazzi.net suggeriscono a tutti i navigatori alcune semplici regole per limitare fortemente la possibilità di finire truffati, ovvero:  
1.  Non seguire i link (trovati in posta e sul web) per raggiungere un sito di commercio elettronico, ma digitarne il nome da zero. L'accorgimento impedisce al navigatore di finire su siti maligni dal nome ingannevolmente simile a siti onesti.

2.  Accertarsi che tutte le pagine web su cui si lasciano i propri dati siano contrassegnate dal lucchetto chiuso, che deve trovarsi nella barra degli indirizzi e non sotto. Non scrivere mai in una mail le proprie credenziali di accesso (ID e password) e in generale dati sensibili.

3.  La presenza del lucchetto in colore verde, o del nome del sito in colore verde, indica che un'autorità ha recentemente verificato che l'azienda esiste da almeno cinque anni e non ha in corso procedura di fallimento.

4.  Mantenere aggiornato il programma con cui si naviga sul web. Alcuni, come Firefox e Google Chrome, si aggiornano automaticamente se viene dato il permesso.

Per le aziende che hanno un sito di commercio elettronico, i consigli di Accomazzi.net sono:
1.  Dotarsi di certificazione https e usarla per erogare tutte le pagine del sito, non soltanto quelle dove viene mostrato il carrello o richiesti i dati anagrafici del cliente;
2.  Utilizzare un software dedicato e non una soluzione generica per siti web (come Wordpress o Joomla) nel quale viene installata una estensione per il commercio elettronico;
3.  Nello sviluppo e hosting del proprio sito web appoggiarsi solo a un fornitore con provata competenza nella sicurezza informatica, che contrattualmente dovrà monitorare il sito e mantenere aggiornato il software;

4.  Verificare che chi sviluppa e/o eroga il sito abbia fatto verificare la propria realizzazione a una azienda terza, o far eseguire direttamente un controllo del genere.