L'esperimento del phishing dal vivo

Falsi intervistatori hanno avvicinato turisti con la scusa di un sondaggio. Ecco come è andata.



[ZEUS News - www.zeusnews.it - 16-11-2005]

Foto di Teoman Yuksel

Basta una messinscena credibile e la promessa di un regalo per spingerci a fornire - senza farci troppe domande - informazioni di carattere personale a qualsiasi interlocutore dalla faccia onesta che ce le chieda. Eppure sono proprio queste le informazioni che quasi sempre usiamo per creare le password di accesso ai nostri conti correnti online o a portali di e-commerce di vario genere.

E' quanto ha dimostrato RSA Security con un semplice esperimento condotto a New York tra fine agosto e inizio settembre scorsi.

Armati di blocco e penna e indossando t-shirt con bene in vista la scritta "I LOVE NY", falsi intervistatori sono stati sguinzagliati a Central Park. Obiettivo: verificare quante informazioni riservate le persone erano disposte a fornire pensando di partecipare a un sondaggio sul turismo in città.

La messa in scena è stata deliberatamente costruita in modo da comunicare sicurezza e non generare sospetti sulla veridicità della situazione, esattamente come avviene nei "migliori" attacchi di phishing online, dove vengono usati marchi reali delle aziende e terminologia appropriata per trarre in inganno l'incauto navigatore.

L'esperimento è stato condotto tra il 24 agosto e il 6 settembre scorsi e le domande poste ai passanti - una volta verificato che si trattasse di turisti - erano del tipo più vario: dalle richieste più innocue e generiche - "E' la prima volta che visita New York?" - a domande più personali relativamente a nomi dei figli e degli animali domestici, cognome da nubile della madre, squadra del cuore, indirizzo completo, tecniche usate per creare le password, eccetera, per un totale di 18 domande. Gli intervistati sono stati 108.

I risultati dell'esperimento hanno dimostrato che la maggior parte delle persone fornisce senza problemi e con grande ingenuità informazioni personali. In particolare: - Oltre il 70% delle persone avvicinate ha fornito il nome da nubile della madre
- Oltre il 90% ha comunicato data e luogo di nascita
- Quasi l'85% ha fornito agli intervistatori nome, cognome, indirizzo ed email
- Quasi il 55% ha fornito dettagli sul come sceglie le password, senza chiedersi il motivo di una tale domanda nel contesto di un sondaggio sul turismo a New York

Interessante notare come le persone che non hanno accettato di fornire dettagli sulle modalità utilizzate per la scelta delle password abbiano motivato il rifiuto con il fatto che la richiesta era "troppo personale" o che non fornivano mai questo tipo di informazioni.

Eppure le stesse persone non hanno avuto alcun problema a fornire il nome della madre o la loro data di nascita, senza pensare che incrociando i dati personali e considerando che spesso le persone usano informazioni relative alla loro vita per creare le password (per facilitarne la memorizzazione o la riemissione in caso di smarrimento), un malintenzionato nemmeno troppo abile potrebbe usare tali informazioni per vari scopi illeciti su Internet.

Come proteggersi dunque? Vi consigliamo di: - non comunicare a nessuno le vostre password o le modalità con cui le create
- essere cauti nel fornire dati personali apparentemente innocui quali la data di nascita perché potrebbero essere usati per individuare le vostre password
- usare password diverse per i diversi conti online che possedete
- chiedere al vostro service provider (banca o Internet provider) se offre prodotti più sicuri delle password per proteggere i vostri conti dall'accesso non autorizzato.

(Nota: Al termine di ciascuna intervista, i dati raccolti sono stati immediatamente restituiti a chi li aveva forniti, svelando che non si trattava di un sondaggio reale).

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Commenti all'articolo (ultimi 5 di 7)

{utente anonimo}
del tipo "prmvlt6121987wow"?
29-11-2005 12:02

per le password importanti io utilizzo sempre dati personali, altrimenti le dimentico: trattasi di codici alfanumerici di 16 cifre composti da date di momenti importanti della mia vita e abbreviazioni di luoghi o oggetti peculiari che me li ricordano. facile no? Leggi tutto
29-11-2005 00:01

{utente anonimo}
e allora? Leggi tutto
28-11-2005 20:46

{utente anonimo}
dati personali Leggi tutto
16-11-2005 22:31

{ciaudamau}
pishing e balling Leggi tutto
16-11-2005 17:47

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A Milano l'Ecopass si è trasformato in congestion charge: si paga per accedere al centro anche se si ha un'auto poco inquinante. Sei d'accordo?
Sono favorevole a questo modello, per le grandi città: bisogna usare meno l'auto.
Sono contrario in generale: non serve, è solo una tassa per spillare quattrini ai cittadini.
Era meglio il vecchio modello, in cui le auto meno inquinanti non pagavano (o pagavano di meno).
Il problema non mi tocca: non vivo e non vado mai né a Milano né in altre grandi città.

Mostra i risultati (2275 voti)
Marzo 2020
La truffa della chiavetta Usb che arriva per posta
Windows 10, Pannello di Controllo verso la pensione
Windows 10, in un video un assaggio delle novità
Cellulari, app e privacy ai tempi della pandemia
Coronavirus Challenge, leccare una toilette per notorietà
Windows 10, patch di emergenza per evitare il nuovo WannaCry
L'open source contro il coronavirus
Windows 10, l'update KB4535996 mina le prestazioni
L'Unione Europea vuole un proprio sistema operativo
Addio, Dada.it
Febbraio 2020
Smartphone, la UE rivuole le batterie rimovibili
Il ransomware che prende di mira gli italiani
Il browser per navigare sempre in incognito
Equo compenso, raffica di aumenti per Pc, smartphone e schede Sd
Come provare Windows 10X in anteprima, gratis
Tutti gli Arretrati


web metrics