MasterNewMedia Italia
Scopri i migliori tool per comunicare,
collaborare e fare marketing
   
Curated by: Luigi Canali De Rossi
 


4 ottobre 2005

Sicurezza In Rete: Come Proteggersi Da Phishing, Pharming E Truffe Informatiche

Malicious software, Phishing, Pharming, virus: proteggere il tuo computer e il tuo portafoglio sta divenendo davvero difficile, e l'abilità delle persone non tecniche di riconoscere questi pericoli sul Web è ancora poco sviluppata.

La sicurezza internet è importante. Pochi riconoscono questi pericoli per la sicurezza web, questi rischi per la nostra sicurezza informatica.

Un virus può accedere al tuo computer attraverso pagine Web o email rubando le tue informazioni più preziose. La protezione dati è fondamentale.

sicurezza dati personali
Photo credit: Alex Maher

Sappiamo troppo poco sulle queste trappole online insidiano la sicurezza dati e la privacy dei nostri utenti.

La mancanza di indizi reali che abbiamo imparato ad utilizzare nel mondo fisico per capire frodi ed inganni ci rende ancora più vulnerabili.

Ecco qui gli interessanti risultati di un studio sulla sicurezza internet tenuto dal Dott. Eric Shaffer intitolato "Rischi delle frodi su Internet: Un'indagine empirica sulla credibilità e l'inganno di consumatori internet esperti."

 



PHISHING, PHARMING e Truffe Informatiche

L'abilità di riconoscere le persone che desiderano approfittare di te è la chiave per la sopravvivenza.
I ricercatori nel campo della Psicologia Cognitiva suggeriscono che noi iniziamo a capire "gli algoritmi della truffa e dell'inganno" dai tipi di inganni che ci accadono giorno dopo giorno (Cosmides and Tooby, 1989; Cheng and Holyoak, 1985; Vasek, 1986).

In generale impariamo dall'incongruenza tra quello che sta accadendo e quello che ci saremmo aspettati.

Al momento,l'abilità dei consumatori di capire le frodi online non è buona.
Che cos'è il Phishing ?
Che cos'è il Pharming ?

Guardiamo le definizioni di Wikipedia:

- Phishing: (anche carding e spoofing) In ambito informatico si definisce phishing una tecnica di cracking, ed in particolare di ingegneria sociale, utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità mediante l'utilizzo di messaggi di posta elettronica fasulli, oppurtunamente creati per apparire autentici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc.

- Pharming:
Tecniche che permettono di sfruttare le vulnerabilità di server DNS controllando il dominio di un sito e utilizzandolo per redirigere il traffico da quel sito ad un'altro.

Eccone ancora:

- Page-jacking e mouse-trapping: tecniche utilizzate dagli utenti per ridirigere gli utenti Internet dalle loro pagine Web (page-jacking) e per disabilitare il tasto indietro, quello avanti o quello di chiusura del browser.(mouse-trapping).

Oltre a queste tecniche ci sono delle vere e proprie truffe.

Le truffe online sono diverse da quelle del mondo reale. E' difficile capire con chi si attuano le transazioni.

La vittima media delle frodi via internet perde intorno ai 700$ senza contare le perdite di tempo.

La buona notizia è che più i consumatori divengono esperti, più imparano il modo di evitare queste truffe.

La sfida è aiutare i consumatori a capire dove guardare

Organizzazioni come Consumer WebWatch, la versione internet di Consumers Union, hanno pubblicato un report attraverso il quale identificare le caratteristiche di un sito Internet credibile.

Il problema sta nel fatto che questi report vengono poco letti e chi le legge non controlla a fondo gli indizi.
L'altro problema è che questi report sono letti invece dai truffatori.

Altre informazioni arrivano da ricercatori come Grazioli Grazioli, Pubblicazioni di Grazioli (e il suo lavoro insieme a colleghi come Jarvenpaa) che analizzano la differenze di comportamento tra coloro che hanno successo nel trovare le inganni e chi non ci riesce.

I Consumatori che scoprono l'inganno online tendono a verificare indizi differenti da coloro che invece vengono ingannati.

Grazioli ha osservato queste differenze in uno studio controllato sulla scoperta dell'inganno.

In questo studio, a 80 partecipanti, elementi del business e IT, è stato chiesto di visitare uno specifico sito di laptop usati e decidere se comprare un laptop da quel particolare sito Web fosse una buona idea. (essenzialmte per dare una seconda opinione rispetto alla credibilità del sito)
Se il partecipante sapprezzava il sito, poteva poi comprare il laptop utilizzando la carta di credito dell'amico.
La metà dei partecipanti dello studio visitava un sito vero, l'altra un sito dove le pagine erano "page-jacked" e reindirizzate verso un sito truffa.

Il sito truffa era praticamente identico tranne che per 6 indizi.(Yamagishi and Yamagishi, 1994).

Gli indizi alterati erano:

  • Un'assicurazione Better Business Bureau falsificata
  • Una garanzia troppo elevata per essere vera
  • Informazioni sulla locazione del business false
  • News falsificate da giornali professionali
  • Statistiche della compagnia totalmente esagerate
  • Testimonianze positive iperboliche

Dopo aver visto il sito e comprato il laptop i partecipanti completavano un sondaggio che per verificare se essi avessero percepito il sito come ingannevole o no e se si fossero accorti dell'inganno.

I Partecipanti ottenevano il successo se si erano insospettiti del sito ingannevole o se avevano riconosciuto il sito reale come credibile.

I Partecipanti che non ottenevano il successo erano coloro che fallivano nell'individuazione dell'inganno oppure vedevano l'inganno dove non c'era, cioè nel sito credibile.

In generale questo target di utenti IT e business non era stato in grado di discriminare tra sito credibile e sito ingannevole.

Il 55% dei partecipanti aveva creduto al sito ingannevole (30% aveva sospettato correttamente; 15% non era sicuro). Solamente il 38% aveva creduto correttamente al sito regolare. (il 32% era stato sospettoso; 30% non era sicuro).

Avete mai guardato dietro lo specchio ma non dentro ?

In questo studio gli indizi dell'inganno erano notevoli ed i partecipanti potevano scoprirli attraverso:

  • Un controllo incrociato del sito.
    Sebbene cliccando sul simbolo dell'assicurazione si arrivava ad un report dettagliato di una compagnia assicurativa credibile, il report era fasullo.L'unico modo per sapere se questa compagnia credibile aveva un rapporto con il sito era quello di controllare il website della compagnia credibile.
  • Leggendo e valutando le promesse ed i servizi in maniera realistica.
  • Controllando il tempo della garanzia.
    Se si parla di un pieno rimborso in qualsiasi momento e per sempre, tutto ciò è poco credibile.
  • Valutando le statistiche delle vendite
    Ad esempio 25.000 unità vendute con un inventario di sole 5 unità sembra improbabile.
  • Controllando il numero di telefono e l'indirizzo. Nell'esempio la compagnia era di Seattle ma aveva il codice postale della California. Inoltre la foto dell'ufficio mostrava anch'essa un indirizzo diverso.
  • Controllando recensioni, news professionali o giudizi altrui. Verificate i giudizi nei confronti di un'azienda setacciando la rete.
  • Verificando i testimonial. Se non è possibile sospettate.

Dove concentrarsi

Nel suo studio, Grazioli ha notato che chi scopriva l'inganno si concentrava su elementi diversi da chi non lo scopriva.
Chi scopriva la truffa online verificava elementi come la garanzia o l'indirizzo.

Chi non scopriva l'inganno, si concentrava sui testimonial. Per capire la verità dovete concentrarvi sulla compagnia.

Sicuramente ci vuole un pò di tempopoichè il modo più sicuro per verificare l'autenticità di una compagnia è non limitarsi a verificarne il sito ma approfondendo all'esterno.
Nel mondo fisico possiamo andare direttamente nel posto e verificarlo parlando con gli impiegati o controllando con le proprie mani la garanzia. Su Internet questo non si può fare.

Dobbiamo trovare degli indizi pratici che indicano l'autenticità e credibilità di un sito e di un venditore.
Guardiamo come.

Organizzazioni come EBay e PayPal forniscono immediato accesso alle informazioni del venditore e un'immediato feedback al compratore.
Questo permette istantaneamente di verificare la veridicità di un venditore.

Tuttavia questo non basta poichè dobbiamo affinare le nostre strategie online soprattutto con la crescente offerta di informazioni, di servizi e di pari passo di truffatori.



Tratto da un articolo originalmente intitolato:
Phishing and Pharming and Phraud, oh my

Pubblicato la prima volta nel settembre 2005
nella HFI User Interface Design Update Newsletter, una newsletter dedicata all' usabilità. Per saperne di più sull' user-centered design, è presente un corso HFI Putting Research into Practice.

http://www.humanfactors.com/downloads/sep05.asp

by The Pragmatic Ergonomist di Dr. Eric Schaffer CEO e fondatore di Human Factors International.

Il Dr Shaffer è membro della Human Factors and Ergonomics Society e Certified Professional Ergonomist; ha lavorato nelle risorse umane dal 1977 ed è tra gli esperti del settore che per primi hanno riconosciuto nell'età dell'informazione l'enorme ruolo ricoperto dall'usabilità e da un'esperienza centrata sull'utente ."

 
 
 
 
 
Commenti    
blog comments powered by Disqus

 

 

 

 

4193
 



 

Risorse Consigliate

 

 

I Toolkit di Robin


 









 

 

 

 

  • RSS Feed

          Mail
    Nome:
    Email:
     



     
     

     

    Web Analytics