Frode informatica

La frode informatica è un reato che consiste nell'ottere un profitto danneggiando un sistema informatico di qualcun altro. Il danneggiamento può consistere nella modifica del funzionamento del sistema informatico o anche solo nel carpire i dati sensibili contenuti in quel sistema. In Italia è un reato disciplinato dall'art. 640 ter del Codice penale e costituisce un particolare tipo di truffa. Tra i vari tipi di truffe informatiche, possiamo citare il social engineering e il phishing. 

truffa_informatica

Social Engineering

Il social engineering può essere considerato un esempio di truffa informatica in cui si tenta di manipolare gli utenti affinché eseguano azioni compromettenti, come ad esempio divulgare informazioni riservate.

L’autore dell’attacco, in questo caso, conta sulla disponibilità delle persone a rendersi utili e approfitta delle loro debolezze. Ad esempio, un attacco di social engineering potrebbe consistere nel contattare un dipendente autorizzato di una certa azienda ed indurlo con l’inganno a fornirgli accesso immediato alla rete aziendale o ad informazioni riservate. 

In generale, il social engineering sfrutta gli esseri umani come anello debole della catena di sicurezza di un sistema informatico, facendo leva non solo sull'avidità e l'egoismo ma anche su atteggiamenti che in altri contesti sarebbero positivi, poiché spinti da curiosità ed altruismo.  

Phishing

Il phishing (a volte si trova anche la variante pishing, che è semplicemente scritta male) è un esempio di frode informatica. Il phishing consiste nell'invio di una e-mail fraudolenta da parte di un utente malintenzionato (hacker). L'e-mail inviata sembra provenire da una fonte legittima e attendibile, perché ad esempio ricalca lo stile che una certa azienda o organizzazione ha sul Web ma in realtà proviene dall'hacker, che la invia con  l’intento di convincere il destinatario a fornire dati sensibili, direttamente o indirettamente.

L’inganno può far uso di tecniche di social engineering, ad esempio chiedendo all’utente di cliccare su un collegamento per ottenere un premio. Cliccando sul collegamento (link) si innescano delle azioni che possono installare un virus o un qualsiasi malware sul dispositivo dell'utente. Tale malware può poi fornire all'hacker remoto i dati sensibili che l'utente possiede sul dispositivo. In alternativa, il link di phishing può far accedere ad un finto sito in cui si richiedono dati personali, che l'utente fornisce così direttamente all'hacker che lo sta ingannando. 

Nonostante i fornitori di servizi di posta elettronica abbiano dei filtri che bloccano parecchie e-mail sospette, numerosi sono ancora i messaggi di phishing che arrrivano nelle caselle di posta elettronica degli utenti. La regola più importante da seguire per difendersi da questo attacco è quella di verificare il link cui si sta accedendo prima di cliccare su di esso, al fine di verificare che appartenga realmente al dominio di quell'azienda e non ne sia invece un tentativo di imitazione.