QUESTI SITO USA I COOKIES E TECNOLOGIE SIMILARI (vedi dettagli)

Se non cambi la configurazione del browser, sei d'accordo. 

Da qualche tempo tutti parlano del phishing come del nuovo virus informatico che screditera' fino in fondo la traballante sicurezza percepita in rete. Ma e' proprio vero? Si sta facendo di tutto per evitare tutto cio'? Ecco alcune semplici regole che nessuno ancora segue .....

La maggior parte delle banche hanno un set di attrezzi informatici per creare dei siti web che fanno paura. C'e' chi ha comperato i pacchetti di CRM o chi ha indotto i suoi fornitori informatici a farlo. Altri hanno dei tool presi un po' da dovunque, anche per non poter essere svelati i segreti di attacco al sito.


In questi anni molto si è fatto per far diventare il sito sicuro, inattaccabile da parte di hacker ed altri malintenzionati, pero' poco si e' fatto per evitare la duplicazione di pezzi del sito allo scopo di catturare nomi di utenti e le relative password. Questo è "IL" problema phishing.


Un aiuto alla soluzione finale sta nel fatto di ancorare la visualizzazione della pagina al fatto che la pagina stessa risieda su un ben definito server. Vediamo un semplice esempio.


Se la "BancaX" possiede il dominio bancax.it e sullo stesso effetua anche il servizio di home banking, basterebbe inserire in un programma compilato (andrebbero bene i programmi .cgi) del codice di controllo che testasse che l'esecuzione del programma si stia effettivamente verificando sul dominio bancax.it. Nel caso contrario, il programma non mostra la pagina, ma prende una strada diversa (reindirizzamento verso una pagina di avviso o addirittura chiusira dell'applicazione, a scelta).


Per non semplificare il lavoro ai phishers, la banca potrebbe anche usare la tecnica dei frame, inserendo il codice richiesto in diverse finestre, con controlli multipli sulla loro esecuzione.


Un altro modo di procedere sarebbe quello di verificare la provenienza del cliente della banca che usa il home banking. Generalmente il cliente arriva da un ben specificato range di indirizzi IP (p.es. 212.145.25.1) da casa oppure dal PC lavorativo. Basterebbe aggiungere alla password normale una domanda che il cliente si pone a se stesso (p.es. qual'e' il nome del tuo gatto?), e del quale ha inserito la risposta durante il primo ingresso nella procedura. Queste procedure sono molto seguite specialmente negli USA, quando di perde unadeterminata password e si vuole essere sicuri che chi la richiede sia la persona che ne fa effettivamente uso.


Non oso pensare agli effetti devastanti (guardando dal punto di vista degli hacker !) che avrebbero le due misure messe assieme sullo stesso sito .....

Miran Pecenik



Partita Iva: IT01123460329 // mail legalizzata: mmasistemisrl@pec.it