Accedi per seguire   
Seguaci 0
cheyenne

Pishing dal vivo

3 messaggi in questa discussione

L'esperimento del phishing dal vivo

Falsi intervistatori hanno avvicinato turisti con la scusa di un sondaggio. Ecco come è andata.

[ZEUS News - www.zeusnews.it - 16-11-2005]

Foto di Teoman YukselBasta una messinscena credibile e la promessa di un regalo per spingerci a fornire - senza farci troppe domande - informazioni di carattere personale a qualsiasi interlocutore dalla faccia onesta che ce le chieda. Eppure sono proprio queste le informazioni che quasi sempre usiamo per creare le password di accesso ai nostri conti correnti online o a portali di e-commerce di vario genere.

E' quanto ha dimostrato RSA Security con un semplice esperimento condotto a New York tra fine agosto e inizio settembre scorsi.

Armati di blocco e penna e indossando t-shirt con bene in vista la scritta "I LOVE NY", falsi intervistatori sono stati sguinzagliati a Central Park. Obiettivo: verificare quante informazioni riservate le persone erano disposte a fornire pensando di partecipare a un sondaggio sul turismo in città.

La messa in scena è stata deliberatamente costruita in modo da comunicare sicurezza e non generare sospetti sulla veridicità della situazione, esattamente come avviene nei "migliori" attacchi di phishing online, dove vengono usati marchi reali delle aziende e terminologia appropriata per trarre in inganno l'incauto navigatore.

L'esperimento è stato condotto tra il 24 agosto e il 6 settembre scorsi e le domande poste ai passanti - una volta verificato che si trattasse di turisti - erano del tipo più vario: dalle richieste più innocue e generiche - "E' la prima volta che visita New York?" - a domande più personali relativamente a nomi dei figli e degli animali domestici, cognome da nubile della madre, squadra del cuore, indirizzo completo, tecniche usate per creare le password, eccetera, per un totale di 18 domande. Gli intervistati sono stati 108.

I risultati dell'esperimento hanno dimostrato che la maggior parte delle persone fornisce senza problemi e con grande ingenuità informazioni personali. In particolare: - Oltre il 70% delle persone avvicinate ha fornito il nome da nubile della madre

- Oltre il 90% ha comunicato data e luogo di nascita

- Quasi l'85% ha fornito agli intervistatori nome, cognome, indirizzo ed email

- Quasi il 55% ha fornito dettagli sul come sceglie le password, senza chiedersi il motivo di una tale domanda nel contesto di un sondaggio sul turismo a New York

Interessante notare come le persone che non hanno accettato di fornire dettagli sulle modalità utilizzate per la scelta delle password abbiano motivato il rifiuto con il fatto che la richiesta era "troppo personale" o che non fornivano mai questo tipo di informazioni.

Eppure le stesse persone non hanno avuto alcun problema a fornire il nome della madre o la loro data di nascita, senza pensare che incrociando i dati personali e considerando che spesso le persone usano informazioni relative alla loro vita per creare le password (per facilitarne la memorizzazione o la riemissione in caso di smarrimento), un malintenzionato nemmeno troppo abile potrebbe usare tali informazioni per vari scopi illeciti su Internet.

Come proteggersi dunque? Vi consigliamo di: - non comunicare a nessuno le vostre password o le modalità con cui le create

- essere cauti nel fornire dati personali apparentemente innocui quali la data di nascita perché potrebbero essere usati per individuare le vostre password

- usare password diverse per i diversi conti online che possedete

- chiedere al vostro service provider (banca o Internet provider) se offre prodotti più sicuri delle password per proteggere i vostri conti dall'accesso non autorizzato.

(Nota: Al termine di ciascuna intervista, i dati raccolti sono stati immediatamente restituiti a chi li aveva forniti, svelando che non si trattava di un sondaggio reale).

Fonte

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Interessante esperimento di ingegneria sociale... :up1: :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Accedi per seguire   
Seguaci 0