EBay è un sito che offre ai propri utenti la possibilità di vendere e comprare oggetti sia nuovi che usati, in qualsiasi momento, da qualunque postazione Internet e con diverse modalità, incluse le vendite a prezzo fisso e a prezzo dinamico, comunemente definite come "aste online".È obbligatoria l'iscrizione gratuita al sito. Qualunque acquirente può essere anche venditore dopo aver fatto una verifica tramite l'inserimento di un codice che eBay manda presso l'abitazione dello stesso.
Ebay per dare garanzia ai suoi utenti utilizza il feedback: un meccanismo di scambio di valutazioni sulla transazione che avviene sia da parte del compratore che dal venditore. Questi possono essere positivi in caso di transazione conclusa con successo e far guadagnare un punto, negativi in caso di mancato ricevimento della merce, merce contraffatta e/o non corrispondente alla descrizione.
I due punteggi attribuiti in base al tipo di feedback ricevuto determinano una percentuale (ad esempio se sono tutti positivi 100%) che, a colpo d'occhio, permette subito di capire l'affidabilità del venditore/acquirente.
Al raggiungimento di un determinato numero di feedback negativi eBay può decidere la sospensione, il blocco o la chiusura definitiva dell'account del venditore/compratore.
Qualche settimana fà ho deciso di comprarmi un telefonino su questo sito ed ho iniziato a valutare le possibili compravendite fino a che non ho trovato quella che pensavo facesse per me: il cellulare era quello che volevo, il venditore aveva 236 feedback, tutti positivi. Ho vinto l’asta e ho effettuato il pagamento attraverso un versamento su carta prepagata postepay, nominale e dalla quale per fare prelievi serve carta d’identità allo sportello o codice segreto al postamat .
Il giorno dopo aver fatto il versamento ho notato che l’account del venditore non era più registrato sul sito di aste on-line e mi sono recato alla sede della polizia postale di Savona per sporgere denuncia. Qui mi è stato detto che sono tantissime le denunce che vengono fatte per truffe su Ebay, tanto che ne sono letteralmente sommersi. Mi è stato spiegato che il sito è tutt’altro che un luogo sicuro dove effettuare compravendite, poiché esistono molti modi per trarre in inganno il cliente.
Il meccanismo dei feedback può essere travisato da utenti che dispongono di più account o si accordano con altri, e simulano delle finte vendite di oggetti (a sè stessi o a terzi) per scambiarsi e aumentare rapidamente il proprio numero di feedback. Infatti l’'unica verifica sui dati di iscrizione, che sarebbe a garanzia dell'univocità dell'account (una persona=un account), consiste nel calcolo del codice fiscale, facilmente falsificabile con i programmi disponibili in rete.
Ma, molto probabilmente, la truffa esercitata nei miei confronti è avvenuta attraverso Vai a: Navigazione, cerca
l’impossessamento dell’account del venditore, da parte di un truffatore, avvenuta con la tecnica del phishing ("spillaggio (di dati sensibili)", in italiano) cioè una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
Il processo standard delle metodologie di attacco di spillaggio può riassumersi nelle seguenti fasi:
l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
L'email contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).
L'email invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro", a dare le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto online.
Si tratta del denaro rubato con lo spillaggio, per il quale il titolare del conto online, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perché diviene più difficile risalire al suo conto e dati identificativi.
Se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché serve una rogatoria e l'apertura di un procedimento presso la magistratura locale di ogni Paese interessato.
Banche, istituzioni o internet provider non fanno mai richiesta dei dati personali a mezzo di una e-mail. In caso di richiesta di dati personali, numeri di conto, password o carta di credito,è buona norma, prima di cancellare, inoltrarne una copia alle autorita competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.
Una preoccupazione frequente degli utenti che subiscono lo spillaggio è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'email che contiene il tentativo di spillaggio.
Un primo controllo per difendersi dai siti di spillaggio, è quello di visualizzare l'icona, a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura che garantisce la riservatezza dei dati,.
Alcuni siti hanno una barra antiphishing specifica che controlla l'autenticità di ogni pagina scaricata dal sito, ad esempio tramite la firma digitale.
La pagina di login di un sito è facilmente imitabile. Nei browser esiste una opzione per visualizzare il codice HTML delle pagine Internet, che si può copiare e incollare altrove, per ottenere un sito identico. La e-mail truffaldina conterrà un link che punta non al sito originario, ma alla sua imitazione. I dati inseriti nei campi liberi della form sono memorizzati in un database o in un file di testo collegato al sito.
Esistono, inoltre, programmi specifici come la barra anti-spillaggio di Netcraft e anche liste nere , che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio che confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.
Purtroppo mancano banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).
L'oscuramento di un sito di spillaggio non è un'operazione semplice, se questo è ospitato come sottodominio di un altro indirizzo web. In quel caso, è necessario l'oscuramento del dominio ospitante, poiché la "falsa" pagina di autenticazione non è presente nell'elenco ICANN, ma in locale sul server. Il sito oscurato può essere comunque velocemente associato ad un altro indirizzo web.
È possibile associare ad una pagina di un "sito esca" un indirizzo simile, ma non identico a quello del sito "copiato". Due pagine web, infatti, non possono avere lo stesso indirizzo IP né lo stesso indirizzo logico, che è associato ad un solo indirizzo IP.
All'utente medio resta comunque difficile distinguere un sito di phishing da quello dell'istituto di credito preso di mira poiché l'indirizzo della risorsa di "phishing" è simile e poco più lungo di quello che è stato falsificato.
Oltre alla speranza di poter rivedere i miei soldi mi auguro che chi di dovere faccia qualcosa per consapevolizzare i cittadini sui rischi che si possono avere dalla “rete”, molto utile ma anche troppo pericolosa per chi non la conosce bene. Inolte nutro la speranza che si attuino misure idonee per fermare queste attività illecite, anche attraverso una cooperazione tra stati.
Diego Gambaretto
Post
Nessun commento:
Posta un commento