Mondo
Anche i più acerrimi ‘nemici’ del web concordano sul fatto che il phishing è ancora un problema. Ed è così che nasce un’alleanza inedita, con Google, Facebook, Microsoft, LinkedIn e Yahoo! che fanno fronte comune contro le email ‘truffa’, quelle, cioè, che spingono gli utenti a inserire i loro dati su siti che sembrano legittimi ma che in realtà sono creati ad hoc per carpire informazioni sensibili come le coordinate bancarie, le password, il numero della carta di credito.
Le web company – insieme a servizi finanziari come America Corp., Fidelity Investments, Agari Data e PayPal – sperano così di creare un ambiente che permetta a chi riceve un’email da un banca, ad esempio, di essere sicuro che non sia una truffa.
Il progetto – battezzato DMARC.org (acronimo di Domain-based Message Authentication, Reporting and Conformance) – coinvolge al momento 15 aziende e ambisce a promuovere un set di tecnologie standard che, dicono, porterà maggiore sicurezza per gli utenti rispetto agli attuali filtri utilizzati dai provider.
Al momento, chi invia un’email non deve autenticare ogni messaggio inviato perciò chi la riceve deve affidarsi a strumenti complessi e tutt’altro che perfetti per distinguere un messaggio sicuro da uno fraudolento. Allo studio, ci sarebbe quindi un set di tecnologie – in parte basate su quelle esistenti quali Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM) – che permettano ai provider di capire come trattare i messaggi non autenticati così che questi siano in grado di garantire l’autenticità di quelli legittimi e bloccare quelli sospetti.
PayPal utilizza già tecnologie di autenticazione: il Ceo Brett McDowell afferma che in questo modo vengono bloccate circa 200 mila false email al giorno.
Adam Dawes di Google ha affermato che “essere oggetto di phishing è una delle peggiori esperienze per gli utenti internet. Per proteggerli nel modo migliore, bisogna che le email truffa non raggiungano proprio le loro caselle di posta”.
Dawes sostiene che il 15% dei messaggi che la società inoltre alle caselle di posta degli utenti è attualmente protetta da garanzie di autenticazione. Il conteggio esclude lo spam e altri tipo di junk emails.
Se il tentativo di DMARC.org avrà successo, permetterà ai servizi finanziari di comunicare con gli utenti in modi nuovi, o meglio con modalità ‘vecchie’ ma che risultano compromesse dal phishing. Al momento, infatti, la maggior parte delle banche invitano i loro clienti a non fidarsi in nessun caso delle comunicazioni via email che sembrano provenire dal loro indirizzo.
Il progetto, secondo gli analisti, è molto importante proprio perché, a differenza dei precedenti tentativi, ora ha la forza dei grandi numeri, mettendo insieme i maggiori provider mondiali di servizi di posta elettronica.
Certo, anche portando all’autenticazione di ogni email difficilmente si sconfiggerà totalmente la piaga delle truffe via email. Ma almeno, i truffatori dovranno trovare nuovi indirizzi a cui inviare i loro attacchi.
