x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Dal Phishing al Vishing: l’evoluzione della truffa come conseguenza dell’evoluzione tecnologica

Ricerca svolta presso l’Osservatorio CSIG (Centro Studi Informatica Giuridica) di Reggio Calabria
E’ recentissima la nuova insidia alla sicurezza delle comunicazioni realizzata con l’ausilio della telefonia via internet: dopo il phishing [il termine “phishing” è una variante di fishing (letteralmente dal verbo to fhis, “pescare” in lingua inglese) e allude all’uso di tecniche sempre più sofisticate finalizzate a “pescare” dati finanziari e password degli ignari utenti della rete] si sta diffondendo un nuovo comportamento, dai risvolti penalmente rilevanti, e comunemente chiamato “Vishing”, contrazione terminologica tra il VoIP (Voice Over Internet Protocol) ed il phishing. Come il phisher, il visher utilizza la posta elettronica, ma in modo diverso ed il processo strategico può riassumersi nelle seguenti fasi:

- l’utente malintenzionato (detto visher) spedisce al malcapitato e ignaro utente un messaggio e-mail che simula nella grafica e nel contenuto una società o un ente noto al destinatario (per esempio la sua banca, un sito di aste on line a cui l’utente è realmente iscritto);

- l’e-mail contiene generalmente avvisi di particolari situazioni o problemi verificatisi con il proprio conto corrente o account, come ad esempio un addebito economico, l’avvenuta scadenza dell’account e invita il destinatario a comporre un numero telefonico per evitare l’addebito o regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula, tra l’altro, la grafica ed il contenuto (nell’ipotesi del phishing invece, l’e-mail invita il destinatario a cliccare su un collegamento (link) presente nel messaggio, che lo condurrà ad un sito contraffatto, molto simile a quello dell’istituto o dell’ente in questione);

- la successiva composizione del numero telefonico non consente in realtà di contattare il call center ufficiale, ma un falso centralinista che chiederà di fornire alla vittima di questa truffa dei dati personali, in particolare il numero di conto corrente o di carta di credito;

- le informazioni così raccolte finiscono nelle mani del malintenzionato, il cosiddetto visher, che le utilizzerà per acquistare beni, trasferire somme di denaro o anche solo come strumento per ulteriori attacchi utilizzando magari l’identità di un altro individuo.

L’attacco del visher può consistere anche nell’attivare un account VoIP e far avviare un sistema di chiamata automatico che contatta le potenziali vittime. Nel momento in cui una di loro risponde, il sistema riproduce una registrazione che comunica al malcapitato l’esistenza di un problema relativo al conto corrente bancario o alla carta di credito e chiederà di contattare un ulteriore numero per risolverlo; il numero indicato è il numero VoIP del visher: chiamandolo si riceve la richiesta registrata di inserire i propri dati personali riservati.

Il fenomeno dei falsi call center su VoIP è in forte crescita, puntando i truffatori sul fatto che c’è meno diffidenza nel comunicare informazioni personali a voce a una persona che opera, apparentemente, per un vero e proprio call center, anziché rispondendo ad una semplice e-mail [L. Sambucci, Falsi call center sul VoIP: la nuova truffa si chiama Vishing, in www.anti-phishing.it, 2006]. Senza dubbio la mediazione della voce umana, soprattutto se rassicurante e parzialmente seducente, contribuisce ad un leggero abbattimento dei comuni freni inibitori di diffidenza che ogni individuo per sua natura intrinseca attua, anche inconsapevolmente, ad ogni nuova relazione o scambio interpersonale.

La truffa infatti è il tipico delitto fraudolento contro il patrimonio, sanzionato nel nostro codice penale dall’art. 640 che prevede esplicitamente la punibilità per “Chiunque con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno …”. Si caratterizza tale fattispecie di reato con l’inganno con cui un soggetto viene indotto a compiere un atto la cui conseguenza è una una deminutio patrimonii con conseguente profitto dell’agente o di altri individui. In giurisprudenza è definita come "truffa contrattuale", la fattispecie ravvisabile "tutte le volte che uno dei contraenti pone in essere artifizi o raggiri diretti a tacere o a dissimulare fatti o circostanze tali che, ove conosciuti, avrebbero indotto l’altro contraente ad astenersi dal concludere il contratto". In particolare l’artificio è una “Mise en scene” ovvero la trasformazione della realtà diretta a far ritenere esistente l’inesistente; il raggiro invece consiste in una aggressione dell’altrui psiche, tramite un’attività menzognera ed ingegnosa [Cass. pen., sez. VI, 13/2/87, in Cass. pen., 1988, p. 1449].

Attraverso la telefonia via internet ci si può dunque esporre al rischio di fornire le proprie coordinate bancarie, credendo erroneamente di regolarizzare la propria posizione con la banca, autorizzando al contrario per esempio un trasferimento di denaro a favore del visher, con conseguente danno patrimoniale. Ma come ha fatto il malintenzionato a sapere che l’utente (che ha subito il vishing) aveva un conto presso la banca indicata nel messaggio-esca ? Normalmente il visher non sa se la vittima ha un account presso il servizio preso di mira dalla sua azione, ma si limita a inviare la stessa e-mail ad un numero indeterminato di indirizzi di posta elettronica, nella speranza e nella probabilità statistica di raggiungere qualche utente che ha effettivamente un account presso quel servizio.

Quali sono i possibili strumenti di difesa di fronte all’imperante dilagare di questi fenomeni che insidiano la già scarsa fiducia che l’individuo ha nei confronti delle nuove tecnologie e che indirettamente mirano ad abbatterne l’affidabilità ?

Le uniche difese che l’uomo può attivare di fronte a tali situazioni sono dettate principalmente dall’accortezza e dall’attivazione di una maggiore cautela nei confronti di richieste anomale. Il fenomeno, sostanzialmente, si combatte con la conoscenza, con l’abbattimento di quella soglia di ignoranza che fa degli utenti internet, a volte, dei fruitori mediocri di uno strumento del quale se ne conosce poco la modalità effettiva di funzionamento. Lo sviluppo di nuove tecnologie che favoriscono le comunicazioni, si accompagna dunque ad un utilizzo di esse anche per commettere reati e pone di conseguenza problemi connessi alla sicurezza informatica, soprattutto in ambito aziendale, dove le violazioni informatiche possono causare danni economici anche molto ingenti.

“Il fatto è che quando ci sono di mezzo i computer e internet, i comportamenti delle persone sembrano svolgersi in un luogo virtuale diverso da quello della realtà quotidiana, una sorta di terra di nessuno dove tutto sembra lecito, ognuno è libero e anonimo e nessuno può essere chiamato a rispondere delle conseguenze delle proprie azioni. Nulla di più falso, però” [M. Strano, F. Battelli, M. Boccardi, R. Bruzzone, B. Fiammella, M. Mattiucci, A. Rigoni, Inside attack, tecniche di intervento e strategie di prevenzione, Roma, 2005, introduzione di Corrado Giustozzi]

Una truffa attuata tramite il web ha lo stesso disvalore giuridico ed etico di una perpetrata dal vivo; ma l’informatica ha un impatto sugli schemi cognitivi degli individui, in grado di provocare delle alterazioni percettive. L’azione criminale si sviluppa parallela ad un processo di pensiero del soggetto, che può essere schematizzato in un “modello a cinque fasi” [Modello a 5 fasi, M. Strano, 2002, www.criminologia.org] che inizia con la motivazione e termina con l’esecuzione del comportamento criminale; ma il timore delle conseguenti penali e sociali, la paura dei sensi di colpa, la consapevolezza di provocare un danno, la stima del rischio di essere denunciato, possono interrompere nell’individuo il circuito che conduce al crimine. “La tecnomediazione però, può alterare alcuni di questi fattori rilevanti nel “criminal decision making”, riducendo ad esempio la percezione della gravità del comportamento e del rischio di essere scoperto, con conseguente condotta criminale. Anzi la percezione sociale di alcuni crimini informatici può risultare a tal punto distorta da non far considerare reato, ad alcuni individui, ciò che invece è considerato tale dalle norme penali; molti individui sono invece consapevoli che alcuni comportamenti sono illegali ma si giustificano dal porli in essere in quanto percepiscono tali azioni come impersonali” [Per un approfondimento sulla percezione del crimine informatico, si veda M. Strano, F. Battelli, M. Boccardi, R. Bruzzone, B. Fiammella, M. Mattiucci, A. Rigoni, Inside attack, tecniche di intervento e strategie di prevenzione, Roma, 2005].

Le nuove tecnologie dell’informazione e della comunicazione hanno un impatto rivoluzionario e fondamentale per la crescita dell’Europa, la sua competitività, ma anche profonde implicazioni giuridiche e sociali.

L’uso delle tecnologie informatiche non ha modificato i valori intorno ai quali la nostra società si riconosce; per cui pensare che comportamenti lesivi dei diritti fondamentali dell’uomo possano essere non sanzionati, soltanto perché perpetrati attraverso l’uso delle nuove tecnologie, è un errore.

E’ recentissima la nuova insidia alla sicurezza delle comunicazioni realizzata con l’ausilio della telefonia via internet: dopo il phishing [il termine “phishing” è una variante di fishing (letteralmente dal verbo to fhis, “pescare” in lingua inglese) e allude all’uso di tecniche sempre più sofisticate finalizzate a “pescare” dati finanziari e password degli ignari utenti della rete] si sta diffondendo un nuovo comportamento, dai risvolti penalmente rilevanti, e comunemente chiamato “Vishing”, contrazione terminologica tra il VoIP (Voice Over Internet Protocol) ed il phishing. Come il phisher, il visher utilizza la posta elettronica, ma in modo diverso ed il processo strategico può riassumersi nelle seguenti fasi:

- l’utente malintenzionato (detto visher) spedisce al malcapitato e ignaro utente un messaggio e-mail che simula nella grafica e nel contenuto una società o un ente noto al destinatario (per esempio la sua banca, un sito di aste on line a cui l’utente è realmente iscritto);

- l’e-mail contiene generalmente avvisi di particolari situazioni o problemi verificatisi con il proprio conto corrente o account, come ad esempio un addebito economico, l’avvenuta scadenza dell’account e invita il destinatario a comporre un numero telefonico per evitare l’addebito o regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula, tra l’altro, la grafica ed il contenuto (nell’ipotesi del phishing invece, l’e-mail invita il destinatario a cliccare su un collegamento (link) presente nel messaggio, che lo condurrà ad un sito contraffatto, molto simile a quello dell’istituto o dell’ente in questione);

- la successiva composizione del numero telefonico non consente in realtà di contattare il call center ufficiale, ma un falso centralinista che chiederà di fornire alla vittima di questa truffa dei dati personali, in particolare il numero di conto corrente o di carta di credito;

- le informazioni così raccolte finiscono nelle mani del malintenzionato, il cosiddetto visher, che le utilizzerà per acquistare beni, trasferire somme di denaro o anche solo come strumento per ulteriori attacchi utilizzando magari l’identità di un altro individuo.

L’attacco del visher può consistere anche nell’attivare un account VoIP e far avviare un sistema di chiamata automatico che contatta le potenziali vittime. Nel momento in cui una di loro risponde, il sistema riproduce una registrazione che comunica al malcapitato l’esistenza di un problema relativo al conto corrente bancario o alla carta di credito e chiederà di contattare un ulteriore numero per risolverlo; il numero indicato è il numero VoIP del visher: chiamandolo si riceve la richiesta registrata di inserire i propri dati personali riservati.

Il fenomeno dei falsi call center su VoIP è in forte crescita, puntando i truffatori sul fatto che c’è meno diffidenza nel comunicare informazioni personali a voce a una persona che opera, apparentemente, per un vero e proprio call center, anziché rispondendo ad una semplice e-mail [L. Sambucci, Falsi call center sul VoIP: la nuova truffa si chiama Vishing, in www.anti-phishing.it, 2006]. Senza dubbio la mediazione della voce umana, soprattutto se rassicurante e parzialmente seducente, contribuisce ad un leggero abbattimento dei comuni freni inibitori di diffidenza che ogni individuo per sua natura intrinseca attua, anche inconsapevolmente, ad ogni nuova relazione o scambio interpersonale.

La truffa infatti è il tipico delitto fraudolento contro il patrimonio, sanzionato nel nostro codice penale dall’art. 640 che prevede esplicitamente la punibilità per “Chiunque con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno …”. Si caratterizza tale fattispecie di reato con l’inganno con cui un soggetto viene indotto a compiere un atto la cui conseguenza è una una deminutio patrimonii con conseguente profitto dell’agente o di altri individui. In giurisprudenza è definita come "truffa contrattuale", la fattispecie ravvisabile "tutte le volte che uno dei contraenti pone in essere artifizi o raggiri diretti a tacere o a dissimulare fatti o circostanze tali che, ove conosciuti, avrebbero indotto l’altro contraente ad astenersi dal concludere il contratto". In particolare l’artificio è una “Mise en scene” ovvero la trasformazione della realtà diretta a far ritenere esistente l’inesistente; il raggiro invece consiste in una aggressione dell’altrui psiche, tramite un’attività menzognera ed ingegnosa [Cass. pen., sez. VI, 13/2/87, in Cass. pen., 1988, p. 1449].

Attraverso la telefonia via internet ci si può dunque esporre al rischio di fornire le proprie coordinate bancarie, credendo erroneamente di regolarizzare la propria posizione con la banca, autorizzando al contrario per esempio un trasferimento di denaro a favore del visher, con conseguente danno patrimoniale. Ma come ha fatto il malintenzionato a sapere che l’utente (che ha subito il vishing) aveva un conto presso la banca indicata nel messaggio-esca ? Normalmente il visher non sa se la vittima ha un account presso il servizio preso di mira dalla sua azione, ma si limita a inviare la stessa e-mail ad un numero indeterminato di indirizzi di posta elettronica, nella speranza e nella probabilità statistica di raggiungere qualche utente che ha effettivamente un account presso quel servizio.

Quali sono i possibili strumenti di difesa di fronte all’imperante dilagare di questi fenomeni che insidiano la già scarsa fiducia che l’individuo ha nei confronti delle nuove tecnologie e che indirettamente mirano ad abbatterne l’affidabilità ?

Le uniche difese che l’uomo può attivare di fronte a tali situazioni sono dettate principalmente dall’accortezza e dall’attivazione di una maggiore cautela nei confronti di richieste anomale. Il fenomeno, sostanzialmente, si combatte con la conoscenza, con l’abbattimento di quella soglia di ignoranza che fa degli utenti internet, a volte, dei fruitori mediocri di uno strumento del quale se ne conosce poco la modalità effettiva di funzionamento. Lo sviluppo di nuove tecnologie che favoriscono le comunicazioni, si accompagna dunque ad un utilizzo di esse anche per commettere reati e pone di conseguenza problemi connessi alla sicurezza informatica, soprattutto in ambito aziendale, dove le violazioni informatiche possono causare danni economici anche molto ingenti.

“Il fatto è che quando ci sono di mezzo i computer e internet, i comportamenti delle persone sembrano svolgersi in un luogo virtuale diverso da quello della realtà quotidiana, una sorta di terra di nessuno dove tutto sembra lecito, ognuno è libero e anonimo e nessuno può essere chiamato a rispondere delle conseguenze delle proprie azioni. Nulla di più falso, però” [M. Strano, F. Battelli, M. Boccardi, R. Bruzzone, B. Fiammella, M. Mattiucci, A. Rigoni, Inside attack, tecniche di intervento e strategie di prevenzione, Roma, 2005, introduzione di Corrado Giustozzi]

Una truffa attuata tramite il web ha lo stesso disvalore giuridico ed etico di una perpetrata dal vivo; ma l’informatica ha un impatto sugli schemi cognitivi degli individui, in grado di provocare delle alterazioni percettive. L’azione criminale si sviluppa parallela ad un processo di pensiero del soggetto, che può essere schematizzato in un “modello a cinque fasi” [Modello a 5 fasi, M. Strano, 2002, www.criminologia.org] che inizia con la motivazione e termina con l’esecuzione del comportamento criminale; ma il timore delle conseguenti penali e sociali, la paura dei sensi di colpa, la consapevolezza di provocare un danno, la stima del rischio di essere denunciato, possono interrompere nell’individuo il circuito che conduce al crimine. “La tecnomediazione però, può alterare alcuni di questi fattori rilevanti nel “criminal decision making”, riducendo ad esempio la percezione della gravità del comportamento e del rischio di essere scoperto, con conseguente condotta criminale. Anzi la percezione sociale di alcuni crimini informatici può risultare a tal punto distorta da non far considerare reato, ad alcuni individui, ciò che invece è considerato tale dalle norme penali; molti individui sono invece consapevoli che alcuni comportamenti sono illegali ma si giustificano dal porli in essere in quanto percepiscono tali azioni come impersonali” [Per un approfondimento sulla percezione del crimine informatico, si veda M. Strano, F. Battelli, M. Boccardi, R. Bruzzone, B. Fiammella, M. Mattiucci, A. Rigoni, Inside attack, tecniche di intervento e strategie di prevenzione, Roma, 2005].

Le nuove tecnologie dell’informazione e della comunicazione hanno un impatto rivoluzionario e fondamentale per la crescita dell’Europa, la sua competitività, ma anche profonde implicazioni giuridiche e sociali.

L’uso delle tecnologie informatiche non ha modificato i valori intorno ai quali la nostra società si riconosce; per cui pensare che comportamenti lesivi dei diritti fondamentali dell’uomo possano essere non sanzionati, soltanto perché perpetrati attraverso l’uso delle nuove tecnologie, è un errore.

Articoli più letti su questo argomento

Diritto /

Violenza - Cassazione Penale: non integra il reato di violenza sessuale, neppure nella forma tentata, il massaggio di sole zone non erogene per tempestiva sottrazione della persona offesa

Diritto /

Gli effetti della sentenza di patteggiamento nei procedimenti amministrativi previsti per il rilascio di licenza di guardia giurata

Diritto /

L’attraversamento imprudente da parte del minore: regole di circolazione e responsabilità dei genitori

Newsletter Abbonamenti