Da tempo immemore le Banche si pongono come interlocutore privilegiato per le esigenze di tutela (del patrimonio, del futuro proprio e della famiglia, degli affari, etc.) di individui ed aziende: la comunicazione a volte eccessivamente fredda (non è un caso che si ricorra oggi a “Più Susanna, meno Banca” e similari) è stata spesso intesa come garanzia di “freddezza professionale”, di capacità di astrarsi dalle contingenze per poter svolgere meglio il proprio compito.
Agli estremi, questo approccio di “terza parte fidata” (traduzione alla meno peggio dall’inglese) è stata la motivazione per cui, ad esempio, in molti paesi Europei (Italia in primis) gli Istituti Bancari sono stati incaricati di garantire i flussi di comunicazione tramite firma digitale, potendo svolgere un ruolo “istituzionale” ma al tempo stesso “indipendente” in situazioni quali le controversie tra pubblico e privato.
C’è poco da meravigliarsi, dunque, che una persona apra un’e-mail inviata da un indirizzo riconducibile alla propria Banca: proprio perché magari rarissima, potrebbe essere una comunicazione interessante o importante. Tuttavia, quando si leggono messaggi del genere:
«Siamo spiacenti di annunciare che negli ultimi giorni hackers hanno trasmesso fraudolenti e-mail chiedono le parole di accesso dei nostri clienti. D’ora in poi una nuova misura di sicurezza sarà attivata. Tutti i clienti sono sospesi. Per riattivare il vostro cliente dovete seguire il collegamento e fornirci nuove informazioni di sicurezza per verifica soltanto»
forse dovrebbe sorgere qualche dubbio sulla legittimità della provenienza e della destinazione linkata, per quanto il messaggio ed il sito possano presentare template riconducibili alla grafica ufficiale dell’Istituto.
Una cosa è essere vittima di un attacco keylogging via trojan: un’altra è convincersi che UniCredit o Banca Intesa possano scrivere messaggi in lingua straniera e poi tradurli con il traduttore automatico… Più che mala o buona fede, il phishing si basa sulla stupidità di fondo: non si può nemmeno invocare il fattore emozionale, trattandosi di comunicazioni commerciali da parte di Banche!
Ma ora sei a Milano? Uere?
Ed invece il fattore emozionale c’entra, eccome. Mi pare che una delle regole del social engineering abbia a che fare con la paura dell’autorità. Direi che qui si dà quel caso: il raziocinio vacilla.
D’accordo sul nuovo pay-off Sanpaolo: emotivamente puntuale.
Un saluto
Ho ricevuto una mail di chi ha fatto phishing con UnicreditBanca (o UnicreditsBanca come indicano loro). Non ho trovato errori da traduttore automatico, ma da correttore automatico (ondine invece che online ecc…), il che mi fa pensare che si tratti di un “operatore” italiano nemmeno tanto sveglio.
Alla base ho comunque riscontrato un’intuizione strategica interessante: la mail non si rivolge ai clienti consumer, ma ai clienti azienda. Notoriamente, le aziende medio piccole che attivano l’home banking lo fanno per “necessità” più che per effettiva capacità di utilizzo e hanno due tipi di utilizzatori: le segretarie (nel caso della mia azienda molto stordite) che impostano i dati di pagamento e i vertici (sempre nel mio caso, non meno storditi delle segretarie) che autorizzano i pagamenti. Spesso senza nemmeno controllare.
Insomma, un po’ come rubare le caramelle ai bambini…
Ottime osservazioni… Per inciso, quanti documenti di lavoro avete visto in vita vostra con scritto “ondine” al posto di “online” o “ciccare” al posto di “cliccare”?
Pingback: Pingback dall'articolo » La Cuccia di ex-xxcz » L’Avvocato Giordano Lanza colpisce ancora
Pingback: Pingback dall'articolo » La Cuccia di ex-xxcz » Il phishing onnipresente delle finte Poste Italiane