Vecchi processi e nuove logiche di business

di Paolo Giardini – Direttore Osservatorio Privacy e Sicurezza Informatica

Il furto di identità è diventato una vera piaga sociale di questo inizio secolo, generalmente ciò accade a causa delle mancanze culturali o tecnologiche da parte delle stesse vittime ma, come descritto in questi casi di studio, ora non è più sufficiente aver ben protetto la propria identità o i propri sistemi in quanto molte delle nostre informazioni personali sono archiviate in sistemi di altri, siano essi i nostri clienti, le nostre banche o i nostri fornitori di servizi tecnologici. Oltre a questo la scarsa efficacia delle procedure di verifica dell’identità effettuate da parte degli istituti bancari e finanziari, a fronte di richieste di pagamento, come ad esempio il RID o i pagamenti con carte di credito, ha indubbiamente un proprio ruolo ed una propria responsabilità. Come Osservatorio sulla Privacy e Sicurezza Informatica (www.opsi.aipnet.it), abbiamo quindi voluto effettuare un semplice esperimento, raccogliendo le informazioni potenzialmente necessarie ad effettuare un furto di identità in meno di un’ora. Quello che segue è il resoconto di questo inusuale test.

Sfruttando il fatto che molti utenti di Internet non hanno particolari conoscenze informatiche, e permettono la condivisione dell’intero disco del proprio computer sulle reti peer to peer, abbiamo effettuato una ricerca su emule con chiave “fattura”. La prima ricerca ha individuato alcune centinaia di file il cui nome contiene la parola “fattura”. Abbiamo quindi individuato e scaricato un file con name “FATTURA_1100….PDF”, contente una fattura Mediaset Premium datata 4 agosto 2010, quindi recente e presumibilmente con dati reali e soprattutto aggiornati. Sulla fattura sono presenti nome, cognome, indirizzo, codice fiscale, numero tessera, numero contratto e numero di codice dell’utente. Inoltre sulla fattura viene riportata la modalità di pagamento con addebito su carta di credito, il che apre le porte anche ad un potenziale tentativo di carpire il numero della carta tramite tecniche di ingegneria sociale, telefonando semplicemente alla vittima e spacciandosi per un impiegato dell’ufficio amministrazione di Mediaset che effettua un controllo di routine, in questo caso il possesso da parte del truffatore di dati freschi ed esatti lo pone in ottima posizione di credibilità. Da notare inoltre che nelle fatture spesso si trovano i riferimenti dei conti correnti bancari necessari per i bonifici, rendendo il tutto ancora più semplice; in un’altra fattura, emessa da un architetto infatti, abbiamo individuato oltre ai dati anagrafici, al codice fiscale ed alla partita iva, anche il codice Iban e la filiale della banca. Per verificare la correttezza dei dati personali individuati, abbiamo cercato su motore di ricerca nome e cognome individuando, ad esempio, un annuncio su Ebay che conferma l’identità e l’attività lavorativa, mentre tramite una ricerca su elenchi telefonici online siamo anche risaliti al numero di telefono della vittima. A questo punto, avendo il codice fiscale, è possibile risalire facilmente a data e luogo di nascita della vittima (ad es. su http://www.nonsolocap.it/codice-fiscale/controllo/). Con i dati così recuperati si può aprire una casella e-mail fake (falsa) intestata alla vittima (ad es. su Katamail), aprire ad esempio un account su Facebook, attivare abbonamenti. Da qui in poi, è lasciato libero spazio alla fantasia del criminale e delle sue azioni che abbiamo qui simulato. Questo è solo un piccolo esempio di come sia possibile individuare su Internet i dati personali necessari per mettere a segno truffe e raggiri. Esistono decine di altri sistemi, da quelli ultra tecnologici, come i Bancomat truccati (skimmer via GSM, Wi-Fi, BlueTooth, etc) a quelli spiccatamente “manuali”, come il rubare la posta dalle cassette o frugare nella spazzatura alla ricerca di vecchi estratti conto bancari buttati nella carta straccia (tecnicamente chiamato “Trashing”o “Dumpster Diving”). Le tecniche potenzialmente usate nei casi di studio sono riassunti nella scheda. Tutto questo ci deve fare riflettere su una questione di cruciale importanza, allo stato delle cose non può essere solo il cliente o l’utente ad avere il dovere di proteggere i propri dati ma ogni organizzazioni che intenda dotarsi di un proprio sistema informativo e che tratti informazioni di altri. A questo teorema su cui tutti dobbiamo riflettere si associa un corollario, ovvero che le organizzazioni che possono provocare danni ad altri devono mettere in sicurezza i propri processi ed i propri sistemi.

Questa voce è stata pubblicata in furto identità. Contrassegna il permalink.

I commenti sono chiusi.