A giugno, la Patco Construction Company di Sanford, nel Maine, ha perso la causa contro Ocean Bank per recuperare oltre 300.000 dollari che la società di costruzioni aveva perso contro gli hacker online, come riportato da Kim Zetter sul blog Threat Level di Wired.com.

La corte ha rilevato che mentre le procedure di sicurezza della Ocean Bank "non erano ottimali", nelle parole del magistrato Judge John Rich della Corte distrettuale degli Stati Uniti nel Maine, Patco era in definitiva responsabile della sicurezza dei conti bancari online della società. Patco non è l'unica azienda a imparare questa lezione nel modo più duro, anzi.

Greg Farrell e Michael A. Riley dichiarano su Bloomberg.com che le piccole e medie imprese stanno perdendo fino a 1 miliardo di dollari l'anno dai ladri di Internet che hackerano i loro conti bancari online. Pochi di questi account aziendali sono assicurati come la maggior parte dei conti individuali dei consumatori.

(Lo scorso febbraio, Elinor Mills di CNET ha descritto nel suo blog InSecurity Complex come i criminali dell'Europa orientale usavano il trojan "OddJob" per rubare i conti dei clienti bancari negli Stati Uniti, in Danimarca e in Polonia).

Le aziende truffate rispondono con una campagna di educazione degli utenti

Diverse vittime di questi criminali informatici si sono riunite per creare il Progetto di sicurezza per la consapevolezza del cyber-saccheggio (CLASP). Il suo sito - Il tuo denaro non è sicuro in banca - funge da centro di raccolta per informazioni sulle recenti violazioni dei conti bancari commerciali.

Il sito CLASP fornisce collegamenti a white paper, contatti del settore bancario e altre risorse. La missione del gruppo è quella di informare i clienti delle banche commerciali online che devono assumersi la responsabilità della sicurezza finanziaria della propria azienda piuttosto che fare affidamento sui sistemi di sicurezza della propria banca. Dal momento che la maggior parte delle violazioni bancarie online derivano da un worm scaricato inavvertitamente da un utente PC presso l'organizzazione, l'educazione dei dipendenti può contribuire a rafforzare la prima linea di difesa.

Ma anche il più cauto utente di PC può essere vittima di un attacco di phishing ben congegnato - e i phisher diventano sempre più sofisticati nelle loro tecniche ogni giorno. In un post dello scorso giugno ho descritto tre modi per aggiungere un altro livello di protezione contro un tentativo di phishing.

Una soluzione relativamente a basso costo consiste nel condurre tutto il banking online su macchine dedicate a tale scopo e utilizzate per nessun altro compito. Quasi ogni azienda ha un vecchio PC nascosto nell'angolo di qualche armadio o area di stoccaggio. Convertire un sistema obsoleto in un terminale bancario è facile come pulire il disco rigido della macchina e installare una distribuzione Linux gratuita. (Rob Lightner di CNET descrive altri cinque grandi usi per un vecchio PC Windows).

In una serie di post di un paio di anni fa ho descritto come iniziare con Ubuntu Linux, incluso come far funzionare i file Flash e QuickTime su Ubuntu (nel caso in cui il sito della tua banca richieda Flash) e come utilizzare il sistema operativo virtuale desktop.

Anche se i conti bancari dei consumatori assicurati da FDIC sono protetti dagli attacchi di hacking, le persone possono beneficiare del livello aggiuntivo di sicurezza che un PC bancario dedicato può fornire. Il sito FDIC spiega come garantire che il tuo account sia assicurato.

Puoi anche proteggerti usando il programma Trusteer Rapport gratuito per stabilire una connessione sicura; Ho descritto il programma insieme ad altre quattro tecniche di truffa in un post dello scorso gennaio.