Non è una vulnerabilità in senso stretto, ma è un fenomeno diventato sempre più rilevante in questi mesi: parliamo del phishing. Il phishing è un problema tanto più critico quanto più bassa è la conoscenza informatica da parte dell’utente.

Non entreremo nel dettaglio del problema rimandando il lettore piuttosto a http://www.ngssoftware.com/papers/NISR-WP-Phishing.pdf dove è reperibile una guida sull’argomento molto completa, diciamo solo che sono tutte tecniche che si giocano sulla buona fede dell’utente di un servizio informatico, un tentativo serializzato di truffa per rubare l’identità digitale agli utenti.

Gli informatici professionisti molto difficilmente cadrebbero in una di queste trappole e possono sottovalutare il problema se sopravvalutano le competenze dei propri utenti.

Vittime secondarie del phishing sono gli esperti di comunicazione delle aziende che paradossalmente avrebbero le competenze migliori per contrastarlo ed i curatori dei siti internet che devono giornalmente confrontarsi con il rischio che il layout di qualche loro creazione sia clonata per tentare di truffare qualche utente.

Vogliamo prendere spunto da questo problema per fare due riflessioni: la prima legata alla consapevolezza di avere una propria identità digitale e della relazione tra questa e l’identità del “mondo reale”. A parte gli utenti informatici esperti, pochi sono a conoscenza di quello che si può fare di dannoso nel “mondo reale” assumendo l’identità digitale altrui e la mancata riservatezza della password o l’inserire con leggerezza in una form username e password, sono due facce dello stesso problema. I fornitori dei servizi presi di mira dovrebbero avere interesse a sviluppare questa awareness proprio per difendere i propri interessi. A questo proposito va citata una circolare inviata dalla Polizia postale all’ABI per invitare le banche ad avvertire i propri clienti di non digitare i propri codici personali nel caso dovessero ricevere questo tipo di e-mail. http://www.poliziadistato.it/pds/primapagina/cartedicredito/truffa_mail.htm

L’altra riflessione è legata ai possibili sviluppi delle tecniche di phishing. Un’evoluzione potrebbe non essere legata al tentativo di truffare l’utente, ma di poterne condizionare il comportamento con dei messaggi occulti. Potrebbero essere inseriti all’interno ad esempio di filmati flash dei fotogrammi o dei messaggi che spingano le persone a modificare il proprio pensiero o comportamento. Data la difficoltà di risalire agli autori delle animazioni, il senso di potenziale impunità potrebbe tentare qualcuno a percorrere questa strada. Se vi sembra la trama di un film pensate anche che nessuno di noi pensa di poter essere vittima del phishing, ma le statistiche sul numero delle truffe non sono d’accordo.