Jane Doe ha appena finito di cenare in un delizioso ristorante nel centro di New York e ha deciso di pagare con la sua nuova carta di credito. Questa viene clonata dal ristoratore e diverse informazioni personali sul suo conto, fra cui il suo nome e cognome, vengono memorizzate.

Per compiere la truffa e avere pieno accesso al conto in banca di Jan Doe, i pirati informatici hanno usato MySpace. Esatto, uno dei più usati social network a livello internazionale. Hanno trovato infatti la sua pagina personale su MySpace con moltissime informazioni: il nome del suo fidanzato, il nome del suo cane, il giorno della sua data di nascita, la città in cui è nata e diverse foto.

Armati di queste informazioni, i pirati informatici hanno chiamato la banca di Jane Doe dicendo che lei aveva perso la password di accesso al suo conto on-line e dimenticato il PIN della carta di credito.

La banca per verificare l’identità di chi stava chiamando ha chiesto la sua data di nascita e la risposta alla domanda Qual è il nome del tuo cane?. L’identità e il conto in banca di Jan Doe sono stati rubati.

Ecco come uso le informazioni raccolte per creare una truffa!

Le singole informazioni prese da sole e individuate su Internet non hanno significato. Lo assumono nel momento in cui vengono combinate insieme. I dati possono essere utilizzati per compiere delle truffe mirate, ad esempio, via e-mail.

Sappiamo di non doverci fidare delle e-mail che riceviamo dalla “nostra banca” via e-mail e che parlano di presunti problemi con il nostro account. Ma faremo lo stesso con una e-mail che ci dice tutto sul nostro conto?

Sicuramente noi ci fideremo di una e-mail truffaldina che dice provenire dalla nostra banca e che ci chiede delle informazioni riservate se questa ci saluta per nome e cognome, indicandoci la nostra data di nascita e l’indirizzo di casa. Le e-mail truffaldine mirate sono chiamate spear phishing.

Le informazioni raccolte potrebbero poi essere utilizzate per compiere attacchi di social engineering: il truffatore potrebbe chiamarci e, dopo essersi presentato come un funzionario bancario e acquistatosi la nostra fiducia perché sa tutto di noi, rubarci le (poche) informazioni personali che ancora non ha sul nostro conto, come la password del nostro account bancario.

O ancora il truffatore potrebbe usare le informazioni raccolte per rispondere alle domande necessarie per avere accesso al servizio on-line che gestisce le nostre e-mail e spiare le nostre conversazioni.

Potrebbe farsi mandare al nostro indirizzo e-mail la password di un altro servizio a cui siamo iscritto ed aumentare il raggio di informazioni sul nostro conto. Il truffatore potrebbe anche chiamare il fornitore di un servizio a cui siamo iscritti e spacciarsi, in virtù delle informazioni che ha, per noi.

Soluzioni al problema e approfondimenti

Sicuramente non c’è nessuna soluzione definitiva al problema! Per tutelarsi al meglio, basta però avere un po’ di accortezza nelle informazioni che lasciamo su Internet. E’ possibile approfondire l’argomento in questo articolo (in Inglese) da cui ho tratto spunto per questo intervento.

[fonte: Salvatore Aranzulla]