Una carta di identità per i siti web contro il phishing

Com'è subdolo, talvolta, il web. Gli utenti più esperti sanno come difendersi dal phishing, cioè dalle sirene che cercano di allettarli con falsi messaggi che conducono a siti-trappola pieni zeppi di codice maligno. Come la mettiamo però con i meno avvezzi alle insidie della rete? Ci vorrebbe una carta di identità per i siti, che ne attesti la veridicità e renda la vita difficile a delinquenti e burloni. Semmai automatica, affidata a un plug-in che agisca sui browser e sappia distinguere il grano dal loglio, il sito-trappola da quello genuino.

Alla Royal Holloway University di Londra ci stanno lavorando. Il professor Chris Mitchell, che coordina l'Information Security Group, ha elaborato il sistema Uni-IDM per gestire il processo di identificazione del sito web. Mitchell e il ricercatore Haitham Al-Sinani ne descrivono il funzionamento in una pubblicazione dal titolo "A universal client-based identity management tool".

Phishing, i cirminali vanno a pesca

Uni-IDM permette agli utenti di creare una carta d'identità elettronica per i siti web visitati. Se il sito è falso, appare un segnale di pericolo e il sistema impedisce di visualizzare il nome utente e la password. Per verificare l'autenticità del sito, il plug-in va a cercare eventuali frequentazioni precedenti. Se, ad esempio, si finisce su un fake di Amazon, il sistema mette a confronto le visite fatte in passato sul sito vero e fa scattare l'allarme.

Il sistema non è perfetto: il plug-in deve "imparare" quali siti sono reali e quali sono trappole. Se non ci sono precedenti navigazioni, il sistema è cieco e non riesce a stabilire la differenza. Il professor Mitchell ammette questo limite di efficacia, ma sostiene che già così, in attesa di future implementazioni, Uni-IDM può dare filo da torcere ai phisher.

D'altronde il fenomeno è in aumento costante. I furti di identità e gli altri reati connessi al phishing sono aumentati del 300 per cento nell'ultimo anno, con 37, 3 milioni di vittime in tutto il mondo soltanto nel 2012. 

"L'obiettivo di questo lavoro, scrive Chris Mitchell, è proporre un nuovo approccio al problema dell'autenticazione dell'utente, senza che sia necessario elaborare nuovi protocolli o infrastrutture. Si tratta di rendere più sicuri e facili da usare i sistemi già esistenti, grazie al rafforzamento della privacy con un'interfaccia utente che preveda il consenso esplicito dell'utente nel corso di tutta la procedura".

Per chi vuole approfondire, lo studio dell'Information Security Group della Royal Holloway University è disponibile su questo link

Pubblicità

AREE TEMATICHE