Il phishing si può fermare

Sicurezza

Questa piaga sta preoccupando sempre più, ma è possibile combatterla rinforzarzando la sicurezza dei propri sistemi

Il problema del phishing continua a crescere a un ritmo preoccupante. Lo scopo di quest’attività, è di ottenere denaro o informazioni confidenziali da utenti di Internet per mezzo di e-mail che li dirigono verso falsi siti Web, i quali replicano in tutto e per tutto quelli ufficiali di noti istituti di credito e associazioni varie. Le vittime ricevono un messaggio spedito apparentemente da una banca, un provider di servizi Internet o un altro tipo di servizio on-line. Il messaggio chiede all’utente, adducendo come scusa dei problemi di sicurezza, di confermare i propri dati di accesso. Se l’utente fa clic sul collegamento contenuto nel messaggio, viene diretto su un falso sito Web che riproduce perfettamente il sito dell’istituzione o dell’azienda sotto tiro. Data la diffusione del problema, sono state introdotte soluzioni basate sull’impiego di metodi di autenticazione sicuri (per esempio l’autenticazione del nome del dominio, come nel progetto Yahoo Domain Keys, oppure l’utilizzo di sistemi basati su una doppia chiave, privata e pubblica). Alcune banche e fornitori di servizi stanno sviluppando nuove tecniche per fornire ai propri clienti un accesso più sicuro ai loro account on-line.

Autenticazione forte Uno dei principali sistemi per contrastare il fenomeno del phishing è dato dalla possibilità di certificare l’effettiva identità di chi ha inviato un determinato messaggio o dell’autore di un particolare sito. Il metodo utilizzato dal phishing è quello di attirare gli utenti spacciandosi per qualcos’altro, ma se viene fornito un sistema di autenticazione sicuro il sito finto non disporrà degli strumenti per riutilizzare i dati carpiti. Ecco quindi che i sistemi di password monouso e di autenticazione forte possono risultare particolarmente efficaci per combattere il fenomeno del phishing. L’autenticazione forte, per esempio, aiuta a contrastare il phishing permettendo alle aziende e ai consumatori di verificare più accuratamente l’identità del mittente di un’e-mail, dei siti Web, dei dispositivi e degli altri utenti. L’autenticazione forte a due fattori soddisfa la necessità di livelli avanzati di verifica dell’identità ed è essenziale per conservare la fiducia nel commercio e nella comunicazione online. Chiedendo agli utenti di presentare qualcosa che conoscono (come una combinazione di nome utente e password o un Pin) insieme a qualcosa che possiedono (un token, un certificato digitale o una smart card), l’autenticazione forte consente di prevenire il furto di identità e permette alle imprese di aprire la propria rete a fornitori, clienti e partner commerciali, nonché di proteggere i dispositivi degli utenti e i servizi Web. Queste possibilità favoriscono a loro volta la creazione di una rete affidabile, dove le aziende possono far evolvere nuove opportunità commerciali e partnership strategiche, aumentando la redditività degli investimenti esistenti e sfruttando in modo più proficuo i servizi ad alto valore aggiunto come VoIp, la gestione online delle catena di distribuzione, lo scambio di contenuti elettronici e il commercio elettronico. Chiavi hardware Un’alternativa è offerta da alcune varianti dei sistemi di protezione delle licenze software, dove alcuni programmi, per poter essere utilizzati richiedono la presenza di apposite chiavi hardware sulle porte parallele/seriali o usb del sistema sul quale sono installati. Per aumentare la sicurezza delle password, alcune banche stanno quindi pensando di inserire un ulteriore meccanismo di identificazione basato sull’utilizzo di carte con microchip o chiavi Usb. Per accedere ai propri account on-line, i clienti dovranno non solo digitare una password ma anche inserire in un apposito lettore una carta dotata di microchip, oppure inserire una chiave USB nel computer. In tal modo, diventa impossibile tentare un phishing per accedere al conto on-line, a meno che non si entri in possesso della carta o della chiave. Il sistema delle carte con microchip ha anch’esso i suoi svantaggi: è costoso e non può essere usato senza un lettore speciale. Il metodo delle chiavi Usb sembra fornire una soluzione migliore per l’impiego da parte del pubblico più ampio. Hashing della password Un’altra tecnica consigliata anche dall’Anti-Phishing Working Group consiste nell’hashing della password. Questo metodo ricalcola la password e aggiunge informazioni specifiche per il sito in cui essa deve essere utilizzata. Il sistema è trasparente dal punto di vista dell’utente, il quale deve semplicemente digitare una password nel campo apposito di una pagina del sito. Il browser poi converte questa password e aggiunge ad essa altre informazioni. Ciò significa che la password completa inserita dall’utente non è la stessa che risulta visibile dal sito di destinazione, il quale riceve invece una password “hashed” e consente l’accesso utilizzando lo stesso meccanismo di ricalcolo utilizzato dal lato dell’utente. In termini pratici, questo metodo significa che anche se l’utente rivelasse la password a un sito fraudolento, gli hacker non la potrebbero utilizzare. Conclusioni Il phishing è contemporaneamente uno degli argomenti più di moda del momento, e uno dei rischi più concreti per la sicurezza online. Molto si è fatto e molto resta ancora da fare per contrastare efficacemente il fenomeno. Le principali tecnologie che permettono di proteggersi dal phishing prevedono un aumento del livello di sicurezza nel riconoscimento dell’identità. Poiché il phishing tenta di ottenere disonestamente i dati e i codici personali degli utenti online, sistemi di riconoscimento che prevedono l’utilizzo di dispositivi hardware fisicamente in possesso dell’utente o dell’istituto di credito potrebbero rappresentare una valida contromisura.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore