Oggi avere un conto in banca online è diventato comune a tantissime persone e gia in un altro articolo abbiamo provato a vedere quali sono i migliori conti correnti online in Italia.
Purtroppo bisogna anche aggiungere che i conti online su internet sono soggetti al rischio di infiltrazione degli hacker e lo testimonia il fatto che, ogni giorno, sulla nostra casella di posta elettronica, si ricevono numerose mail ingannevoli in cui viene richiesta la password del proprio conto di banca online.
Questo è il motivo per cui è importante che ogni utente che usa un conto di banca online sappia e conosca come mantenere sicuro il proprio account e come fermare le minacce di intrusione.
Prima di tutto è importante sapere che la maggior parte delle attività di un hacker non derivano da capacità tecniche fuori dal normale, essi si fanno forti grazie all'ignoranza delle persone ed alla loro ingenuità nell'uso di un pc connesso a internet.
Intanto non è chiudendosi a casa che si evita di essere rapinati; sinceramente mi viene da sorridere quando sento persone che hanno paura di usare carte di credito su internet o, addirittura, che non si fidano delle banche online.
L'obiettivo è essere liberi di poter usare il proprio conto in banca online come si vuole e, nello stesso tempo, avere piena sicurezza che non ci siano rischi di essere derubati.
Posso assicurare che per soddisfare questo obiettivo, non c'è alcuna necessità di diventare esperti di computer o fare corsi speciali di qualche tipo, basta solo una buona dose di accortezza, prudenza e attenzione.
Prendendo spunto dall'articolo generale su come si ricevono virus che infettano i computer via Email, vediamo allora quali sono riportati i più comuni metodi criminali che tendono a voler entrare nel conto di banca delle persone:
1) Nei casi più frequenti gli hacker (usiamo questa parola per trovare un termine comprensibile anche se "hacker" non significa criminale informatico) non fanno altro che creare una pagina web identica a quella che presenta una banca online famosa come Banco Posta, Banca Intesa-San Paolo, Fineco, UBI Banca, CartaSI, Poste Pay Barclay's e cosi via.
Poi mandano messaggi mail a destinatari casuali, usando gli indirizzi email che vengono trovati su internet, sfruttando la statistica che uno su 10 probabilmente sarà cliente di, ad esempio, Banco Posta, e che, almeno un paio di coloro che ricevono la mail, cascheranno nel tranello.
Nella mail, vi sarà scritta una scusa per cui, il correntista, dovrà immettere la password del proprio conto.
La scusa può essere un problema di sicurezza, la vittoria per l'estrazione di un premio, un bonus fedeltà, una operazione da confermare e cosi via.
2) Una mail con immagini o allegati provenienti sempre da indirizzi mail falsi che riconducono a una banca.
3) Peggiore dei casi, una mail proveniente da un indirizzo conosciuto, la mail di un amico, che contiene un allegato dal formato sconosciuto.
Nei casi 2 e 3 l'operazione di infiltrazione è molto più forte perchè, dietro una immagine o un allegato si può nascondere un software chiamato KeyLogger.
Il keylogger software viene installato sul PC e tenta di catturare ogni lettera battuta sulla tastiera, memorizza tutto cio che viene scritto sul pc infetto e invia i dati a un computer remoto connesso a Internet, dove l'hacker può analizzare, tutte le parole digitate e risalire alle password di banca.
Non finisce qui, anche se non si passa per il sito della banca, il keylogger può catturare la password di un indirizzo mail, andare al sito del conto corrente online, richiedere una reimpostazione della password, e poi accedere alla tua e-mail al fine di recuperare la nuova password al conto senza che l'utente malcapitato si accorga di nulla.
Queste tecniche sono tipiche del Phishing e, anche se la maggior parte dei conti correnti online non inviano le password via mail, altri servizi monetari su internet lo fanno e gli esempi più popolari sono Ebay e, soprattutto Paypal, oggi usatissimo per i pagamenti online.
Quando arriva una mail della propria banca, al giusto indirizzo di posta, quello effettivamente usato dall'utente per comunicare con la banca, gia dovrebbe suonare molto strano, perchè una banca non richiederà mai una password via mail.
Tuttavia, nel caso si sia curiosi di sapere se una mail è effettivamente stata inviata dalla propria banca, si può iniziare a guardare l'indirizzo di posta del mittente che, molto spesso, è storpiato.
Ad esempio, se sul campo "Da" vi è scritto "info@poste.it" ma poi l'indirizzo mail è info@posle.it, qualcosa non va...
Tuttavia, si può continuare ad analizzare la mail se non si notano stranezze sull'indirizzo e vedere quali link vi sono all'interno; esempio tipico:
Egregio Cliente,Sulle parole "Accedi ai servizi online" vi sarà un link visibile perchè sottolineato in blu e cliccabile con il mouse.
La preghiamo di esaminare con la massima serieta e immediatamente questo messaggio di posta elettronica che mostra le nuove misure di sicurezza.
Il reparto sicurezza della nostra banca le notifica che
sono state prese misure per accrescere il livello di
sicurezza dell'online banking, in relazione ai frequenti
tentativi di accedere illegalmente ai conti bancari.
Per ottenere l'accesso alla versione più sicura
dell'area clienti preghiamo di dare la sua
autorizzazione.
Accedi ai servizi online »
Se si posiziona il mouse sopra il link (senza fare clic su di esso!), si può vedere il link effettivo sul fondo pagina.
Mai e poi mai cliccare link all'interno di una mail che rimanda a conti bancari o servizi, come Paypal, che riguardano soldi.
Se si desidera controllare il proprio account, sempre meglio aprire una nuova finestra del browser, passare direttamente al sito e fare il log-in assicurandosi con l'occhio, che la pagina web del sito inizi con https e non con http.
Con Firefox, si può forzare la navigazione sui siti bancari in https, con un plugin.
Casi straordinari di virus piuttosto potenti e su computer non messi in sicurezza, possono portare all'installazione di software che ricercano le password del computer; la sola password della mail principale può essere usata in modi disastrosi.
Regola fondamentale di sicurezza è quindi di creare un proprio indirizzo mail usato soltanto e solamente per la registrazione al servizio bancario e non per altri usi nè per ricevere altro tipo di comunicazioni.
La password di questa mail deve essere forte e sicura e contenere almeno un numero e una lettera maiuscola; i più scrupolosi, possono aggiungere anche un simbolo.
Su un altro articolo abbiamo visto come testare la sicurezza di una password.
Per coloro che sono abituati a viaggiare e a consultare i propri dati bancari su computer di colleghi di lavoro, su pc aziendali o da internet point, è necessario che utilizzino una chiavetta USB protetta (leggi qui per proteggere una pen drive).
1) Sulla chiavetta USB bisogna portare un browser per internet "portatile" ossia che non si installa sul computer e che memorizza i dati di sessione sulla propria chiavetta USB senza lasciare tracce sul computer usato.
Cosi i cookies, la cronologia, le password digitate e memorizzate, vengono tutte salvate nella propria chiavetta protetta.
Esempi di browser internet portatili sono: Firefox e Opera
2) Usare un anti keylogger che impedisca a eventuali virus di registrare cio che viene scritto e battuto sulla tastiera.
Un anti keylogger può essere SnoopFree Privacy Shield da installare sul pc oppure, come applicazione portatile su pen drive, un bel tastierino numerico che si presenta sullo schermo come in figura.
Spero di non aver messo paura a nessuno, come visto, l'importante è stare attenti alle mail di phishing, poi tutte le banche e i servizi online di carte di credito o paypal, sono molto attenti alla sicurezza dei loro clienti e sviluppano pagine web molto protette.Tuttavia, per una maggior sicurezza dei dati è importante avere, un ottimo firewall, un antivirus aggiornato, uno anti spyware, un browser portatile e, come estrema sicurezza, un tastierino su schermo.
In un altro articolo, il discorso continua con i consigli per fare acquisti online sicuri su internet.
Con tutti questi strumenti, l'unico modo che ha un hacker di ottenere le password e i dati di un computer o di entrarci dentro e sfondare il muro di cemento armato messo su davanti al proprio computer, è una bomba atomica!
In un altro articolo, come proteggersi dalle truffe al bancomat o ai pos dei negozi per la clonazione delle carte.
06 novembre 2009 17:23
Ciao Claudio :)
Anch'io sono preda, purtroppo, di mail di phishing, sempre da uno pseudo-sito delle poste.
Puntualmente segnalo la mail alla polizia postale presso la quale mi si richiede l'IP del mittente (che non ho la più pallida idea di come visualizzare) e l'URL perverso (che io ottengo cliccando col tasto destro sullo stesso e selezionando "copia indirizzo"... o qualcosa del genere)
Dimmi che non sbaglio, ti prego !!!
(e se sì... come rimedio !)
Un'altra domanda è:
È possibile ricevere un virus o, in generale, permettere "intrusioni" al mio computer SOLO APRENDO la mail e SENZA cliccare sul link perverso ?
PS Non è che sai anche come fornire alla polizia l'IP del mittente della mail di phishing ?
Mi dici anche come funziona Snoopfield privacy shield ? È come un antivirus ? O che ne so... come Ccleaner... che ogni tanto lo devo avviare per fare pulizia ?
Rispondi a tutto, grazie :)
06 novembre 2009 17:28
Azz... Caludio...
sbaglio o Snoopfield è solo per XP ??
Così leggo dal sito che hai linkato per il download... !!
Come risolvo con Vista ??
06 novembre 2009 17:30
Va be'... si chiama Snoopfree :D
06 novembre 2009 18:21
ma lascia stare, troppa finezza, il firewall basta e semmai usi il tastierino numerico virtuale se usi pc pubblici.
Snoopfree serve a scoprire i virus cattura tasti ma un antivirus buono lo fa da solo.
06 novembre 2009 21:08
per trovare l'ip di un sito vai su http://whois.org/
10 giugno 2010 19:52
Ciao Claudio
A proposito di sicurezza delle banche online la Fineco usa solo http anziche' https. Inoltre la password e' di soli 8 caratteri ed il Pin di otto numeri.
Loro dicono che e' sicuro al 100%. Anni fa' avevo chiesto spiegazioni e mi avevano risposto che usavano dei frame, ma non ho capito cosa significa.
Infine, per evitare i Keylogger spia dei tasti digitati, io copio i codici da un foglio di word che poi elimino. Quindi li incollo nelle caselle del Login.
Al termine elimino sempre i file temporanei e quelli Temp con Ccleaner e Superantispyware.Tu Claudio cosa ne pensi?
Ritieni sufficienti queste precauzioni ?
Grazie
10 giugno 2010 21:10
per evitare i keylogger, usa la tastiera a video.
Mah, strana sta scelta della fineco ma confido che siano protetti altrimenti sarebbe uscita sul giornale
23 giugno 2010 18:32
Ciao scusate se non si vuole che il capo veda quello che fai a lavoro??? Temo che la mia capo mi spii, non che faccia chissà cosa, ma se voglio usare i miei dieci minuti di pausa per leggere le mail che male c'è?
Ciao ciao e Grazie... mi rispondereste a southmore@hotmail.com grazie
23 giugno 2010 18:38
haha, basta che leggi qui, ci sono tutti i trucchi per navigare su internet http://www.navigaweb.net/2008/11/navigare-su-internet-lavoro-per-eludere.html
20 agosto 2010 11:50
Ciao, Claudio, complimenti x il sito vermante utile e ben fatto !!!
Volevo segnalarti anch'io che con Fineco non mi accetta nella pagina iniziale https ...solo dopo il login si entra in una connessione criptata! secondo te è sicuro?
20 agosto 2010 13:33
certamente è sicuro altrimenti sai che casino! però questa cosa non è bella per loro, probabilmente usano altri tipi di protezioni nelle successive operazioni.