mercoledì 17 agosto 2011

Truffatore usa Facebook per hackerare account bancari, condannato


Un uomo inglese di Newcastle è stato condannato a 15 mesi di carcere dopo aver ammesso di aver rubato 35.000 sterline dagli account bancari di cui aveva indovinato la password utilizzando le informazioni condivise su Facebook. La sua truffa si è conclusa solo quando l'uomo è diventato troppo sicuro di sé e ha cambiato il suo sistema e le autorità allertate. Secondo il Telegraph, Iain Wood, 33 anni, ha impiegato fino a 18 ore al giorno in linea cercando di carpire le password degli account di altre persone. Wood ha fatto amicizia con le persone che vivono nel suo condominio, e ha utilizzato i loro dati personali in linea per superare i controlli di sicurezza delle banche. 

Nel corso di due anni, tra giugno 2008 e giugno 2010, Wood fece amicizia con le persone su Facebook e ha utilizzato le informazioni condivise per resettare le password della loro banca e altri account. Utilizzando le indicazioni raccolte da Facebook e Friends Reunited, lui avrebbe tentato di rispondere a quesiti di sicurezza come date memorabili, il nome della loro scuola, cognome da nubile della madre, ecc. Le informazioni gli hanno fornito le risposte alle domande di sicurezza e gli ha permesso i controlli di verifica dell'identità al telefono. Ha anche cercato di capire direttamente i codici di accesso delle persone.


La frode è stata resa più facile perché le persone vivono nello stesso blocco di appartamenti di Wood, dandogli la possibilità di intercettare la posta. Tipicamente, Wood ha cambiato l'indirizzo degli account vittime e ritirava denaro contante con le carte che aveva ricevuto per posta. Quando la polizia ha perquisito il suo appartamento ha trovato fatture e documenti rubate dalle cassette postali. Infatti, quando sono venuti a bussare alla sua porta, gli agenti di polizia stavano indagando sul trasferimento fraudolento di 1.500 sterline dall'account di una sua vittima, ma poi hanno fatto delle domande a Wood e si sono resi conto che la frode era probabilmente molto più estesa. 

Il truffatore ha ammesso di aver rubato più di 35.000 sterline (40.000 euro) dagli account di varie persone, denaro che per lo più aveva prelevato a distanza. E' stato catturato quando ha trasferito il denaro rubato direttamente sul proprio conto. "Ricordatevi di essere estremamente attenti alle proprie informazioni che si condividono in rete. Potrebbe essere un utile pezzo del puzzle per un ladro di identità o truffatore on-line. Prendete l'abitudine di pensare che non è necessario rispondere ad ogni domanda su ogni modulo on-line in modo veritiero", ricorda Graham Cluley, senior technology consultant di Sophos.


Se un sito richiede di inserire la vostra data di nascita completa, per esempio, allora si ha una scelta: è possibile decidere di non utilizzare il sito web o fornire la vostra reale data di nascita. "Alcuni siti web includono nei loro termini e condizioni che occorre fornire informazioni accurate, ma non hanno modo di verificare se avete detto la verità - quindi perché rischiare? Facebook, ad esempio, vuole che tu sia onesto sulla tua vera data di nascita, ma immagino che sia più logico dire di essere un ragazzo di 13 anni, ma non di essere nato il 14 agosto piuttosto che il 3 Marzo", dice Cluley. 

Inserire la data propria di nascita privata ​​su Facebook potrebbe non essere sufficiente: pochi anni fa trapelò accidentalmente la data di nascita di tutti, indipendentemente dal fatto che gli utenti avessero scelto di renderla privata o meno, racconta Cluley. Quindi il consiglio dell'esperto è di mentire sulla vostra data di nascita quando è possibile, ma non essere ingannevole per quanto riguarda la vostra approssimativa fascia di età. Allo stesso modo con il nome da nubile della madre (che è una questione di pubblico dominio), rispondere con un nome di fantasia. Per esempio, dire "Xena principessa guerriera", "C3PO" o "Malcolm Muggeridge", e ciò che conta che nessun altro potrà indovinarla.


Le banche dovrebbero fare di più per proteggere gli account on-line. Fortunatamente, alcuni siti bancari si sono resi conto che richiedere queste domande per la sicurezza dell'account può portare a problemi, e avvisano gli utenti di non inserire date memorabili che sono le date di nascita o l'anniversario di matrimonio. Tuttavia, ci sono ancora alcuni siti web che incoraggiano cattive pratiche, ricorda ancora Cluley. Adesso vi sono molte banche che richiedono l'utilizzo dell'autenticazione a due fattori se si vuole trasferire il denaro in un altro account. 

I siti di online banking che utilizzano l'autenticazione a due fattori non si limitano a fare affidamento su di voi, ricordando le risposte alle poche domande di sicurezza, ma richiedono anche l'inserimento di un numero casuale, venuto fuori da un dispositivo hardware portatile che la banca ha memorizzato. Su Facebook è possibile collegarsi a questa pagina ed impostare l'approvazione degli accessi. 

Questo livello di sicurezza rende più difficile la vita ai frodatori, ed è probabilmente il motivo per cui Iain Wood ha dovuto cambiare l'indirizzo degli account. Come individui bisogna essere più attenti sulle informazioni che vengono condivise sui social network, quali domande e risposte, le password che si scelgono sui siti web. Ma le banche dovrebbero mettere in atto più elevati livelli di protezione on-line per ridurre le possibilità di accesso agli account da parte dei truffatori.

Nessun commento:

Posta un commento