Sono milioni le persone che si avvalgono di servizi bancari on line, e tutto sembra filare liscio. Ciononostante, ogni anno molte persone cadono vittima di frodi informatiche perpetrate con mezzi sempre più sofisticati, che hanno in comune l’intento di sfruttare la credulità umana.

“Il crimine informatico è economicamente fruttuoso, oltre che a basso rischio: sono piuttosto scarse, infatti, le probabilità che un cybercriminale venga intercettato”, osserva Kelly Martin, direttore di Security Focus, la rivista on line dell’americana Symantec, tra i leader mondiali nel campo della sicurezza informatica, che ha sede a Cupertino, in California.

Ogni tentativo di phishing – attuato attraverso l’invio di e-mail che simulano messaggi provenienti da istituzioni note, quali la propria banca, con richiesta di informazioni personali e codici di accesso – od ogni messaggio inviato da un sedicente despota africano in cerca di 45 milioni di dollari da versare all’Occidente, si basa sul fatto che ci sarà sempre qualcuno, da qualche parte nel mondo, pronto ad abboccare.

Sono innumerevoli i rapporti stilati dai media che documentano la presenza su Internet di un fiorente traffico di dati personali trafugati a malcapitati, oltre che di veri e propri furti d’identità.

Stando a un resoconto della rivista Consumer Reports, nel 2005 negli Stati Uniti gli utilizzatori di Internet hanno perso oltre 8 miliardi di dollari a causa di virus, spyware e truffe informatiche varie.

Altri reportage denunciano la presenza di forum e di veri e propri “negozi” on line, dove i cybercriminali commerciano in numeri di carte di credito, codici di accesso a conti bancari, numeri di previdenza sociale, PIN e password, tutti rigorosamente sottratti a ignari utenti. Sebbene molti di questi siti vengano fatti chiudere appena scoperti, come nel caso di carderplanet.com, ne sbucano subito di nuovi pronti a sostituirli.

L’appropriazione dei dati altrui avviene attraverso mezzi sempre più sofisticati, che possono persino arrivare a registrare tutto ciò che viene digitato sulla tastiera del computer – numeri di conti correnti, password, etc. – per essere successivamente vagliato dagli hacker, che provvedono a sfruttare le informazioni utili.

David Thomas, ex hacker oggi informatore dell’FBI, ha spiegato su Wired Magazine come fu organizzato un raggiro di questo tipo. Dopo aver rubato il numero di una carta di credito valida, alcuni criminali ucraini acquistarono on line prodotti per un valore di 30.000 dollari e li spedirono a una casella postale negli Stati Uniti. Lo stesso Thomas si occupò di prelevarli e di rimetterli in vendita su eBay, tenendo per sé il 40% e inviando il rimanente in Russia.

Altro genere di truffa è quella raccontata nel luglio 2006 dal New York Times, il quale riferì di come Shiva Brent Sharma avesse acquistato on line l’accesso a numeri di carte di credito rubate, avesse modificato i dati dei possessori e avesse trasferito a suo favore somme di denaro utilizzando patenti falsificate.

Il ventiduenne Sharma, che ha dichiarato di guadagnare in questo modo anche 20.000 dollari al giorno, sta oggi scontando una condanna a quattro anni presso il Mohawk Correctional Facility di Rome, nello Stato di New York.

“Stanare frodatori così ingegnosi è come catturare i terroristi in Afghanistan”, osserva Yohai Einav, direttore del fraud intelligence team della RSA Security, sede di Tel Aviv. La RSA Security è una società americana che offre alle imprese soluzioni per la loro sicurezza. “Sappiamo che sono là fuori, da qualche parte, ma scovare i loro nascondigli, i bunker sotterranei nei quali si rifugiano, è quasi impossibile”.

Sebbene ci siano stati alcuni arresti ben documentati di criminali informatici, numerosi rapporti sottolineano che quella che si vede è solo la cima dell’iceberg.

Ma non ci sono solo cattive notizie: secondo l’Identity Fraud Survey Report del 2007, stilato da Javelin Strategy and Research, negli Stati Uniti i furti d’identità sono diminuiti del 12% rispetto all’anno precedente. Professarsi qualcun altro è la prima fase di ogni cybercrimine.

Nel rapporto si legge: “Rispetto al 2005, gli americani vittime di furti d’identità nel 2006 sono stati circa 500.000 in meno. In termini economici ciò equivale a una riduzione del 12% circa rispetto all’anno precedente, vale a dire che si è passati da 55,7 a 49,3 miliardi di dollari.

James Van Dyke, presidente e fondatore di Javelin, commenta: “Se, da una parte, il furto d’identità è ancora un crimine molto serio negli Stati Uniti, il nuovo studio di Javelin evidenzia come la consistente diminuzione registrata sia il diretto risultato di un cambiamento nelle abitudini dell’industria e dei consumatori. In parte grazie a una maggiore protezione dei dati, al monitoraggio dei reati e alla consapevolezza degli utenti, abbiamo ora a disposizione metodi più efficaci per smantellare rapidamente una frode e, addirittura, per sventarne i tentativi”.

Glossario:

• Bot è il termine che definisce un computer controllato da remoto.
• Botnet, o bot network, è una rete formata da migliaia, o addirittura milioni, di computer controllati da remoto. Si stima che le bot più grandi controllino oltre 1,5 milioni di computer. È attraverso le botnet che si compiono quasi tutti i cybercrimini su Internet.
• DoS è la sigla di Denial of Service, letteralmente negazione del servizio. Gli attacchi di questo tipo utilizzano le botnet per inviare un flusso incontenibile di dati che saturano il funzionamento di un sito web fino a renderlo inaccessibile e non più in grado di erogare il servizio. Come avviene nei rapimenti, l’attacco è accompagnato spesso da una richiesta di riscatto: “Pagate o vi lanciamo un attacco DoS”.
• Phishing identifica il furto di informazioni bancarie attraverso l’invio di e-mail contenenti richieste di dati, che l’ignaro utente rimanda a un sito web fasullo, il quale provvede a prosciugargli il conto corrente. Secondo il Phishing Activity Trends Report reso noto dall’Anti-Phishing Working Group, nel mese di febbraio 2007 sono stati individuati 23.610 siti unicamente preposti allo scopo. In un saggio intitolato Why Phishing Works?, a cura dagli studenti di Harvard e della University of California di Berkeley (uno dei primi studi accademici sull’argomento), si evidenzia come siti web particolarmente ben congegnati possano ingannare il 90% di coloro che utilizzano la rete.
• Trojan è un programma che si installa sul computer all’insaputa dell’utente, eludendo la protezione dell’antivirus.
• Keystroke logger, o keylogger, è uno strumento in grado di intercettare tutto ciò che si digita sulla tastiera del computer. Può essere utile per determinare le fonti di errore nei sistemi informatici, ma può anche servire per spiare l’utilizzo del computer. Esistono keylogger hardware e software.