Anti-Phishing

Hanno condannato una banca a risarcire i soldi rubati ad un suo cliente che era stato oggetto di un attacco basato su “phishing”:

http://zeusnews.com/index.php3?ar=stampa&cod=13688&numero=999

Dovrei dire “finalmente!”?

Non credo.

Di sicuro, però, qualcosa si può fare per proteggere i clienti dal phishing.

Per esempio, si può utilizzare una misura che viene già utilizzata da molti siti, tra cui PassPack (https://www.passpack.com/): l’uso di una frase di riconoscimento (insieme alla protezione HTTPS della connessione). Il sistema funziona così:

  1. La connessione tra il web browser del client ed il server della banca DEVE essere protetta crittograficamente, via SSL 3.0 (cioè HTTPS). Questo per evitare attacchi MITM (Man-In-The-Middle).
  2. Al momento in cui l’utente si registra per il servizio, egli DEVE scegliere una frase di riconoscimento che il sito web della banca userà in seguito per presentarsi.
  3. Ad ogni connessione, il sito web della banca presenta questa frase. Ovviamente, il sito fasullo dell’hacker NON potrebbe conoscere e presentare questa stessa frase.

Troppo complicato?

Badate bene: NON si tratta di una contromisura insuperabile. Tuttavia, è sicuramente qualcosa che può limitare ulteriormente le già scarse chance di successo dell’hacker.

Alessandro Bottoni

L’immagine di copertina proviene da Flickr ed è coperta da CC:

flickr.com/photos/upnorthmemories/920461139/

Comments
One Response to “Anti-Phishing”
  1. Gianfranco scrive:

    Ciao e complimenti per l’articolo.

    Volevo farti notare l’uso improprio del termine hacker.
    Termine che usi correttamente, per esempio, qui:
    https://alessandrobottoni.wordpress.com/2010/12/16/una-backdoor-di-fbi-in-openbsd/

    Saluti e auguri!

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: