EBay \u00e8 un sito che offre ai propri utenti la possibilit\u00e0 di vendere e comprare oggetti sia nuovi che usati, in qualsiasi momento, da qualunque postazione Internet e con diverse modalit\u00e0, incluse le vendite a prezzo fisso e a prezzo dinamico, comunemente definite come \u201caste online\u201d.
\n\u00c8 obbligatoria l\u2019iscrizione gratuita al sito. Qualunque acquirente pu\u00f2 essere anche venditore dopo aver fatto una verifica tramite l\u2019inserimento di un codice che eBay manda presso l\u2019abitazione dello stesso.
\nEbay per dare garanzia ai suoi utenti utilizza il feedback: un meccanismo di scambio di valutazioni sulla transazione che avviene sia da parte del compratore che dal venditore. Questi possono essere positivi in caso di transazione conclusa con successo e far guadagnare un punto, negativi in caso di mancato ricevimento della merce, merce contraffatta e\/o non corrispondente alla descrizione.
\nI due punteggi attribuiti in base al tipo di feedback ricevuto determinano una percentuale (ad esempio se sono tutti positivi 100%) che, a colpo d\u2019occhio, permette subito di capire l\u2019affidabilit\u00e0 del venditore\/acquirente.
\nAl raggiungimento di un determinato numero di feedback negativi eBay pu\u00f2 decidere la sospensione, il blocco o la chiusura definitiva dell\u2019account del venditore\/compratore.
\nQualche settimana f\u00e0 ho deciso di comprarmi un telefonino su questo sito ed ho iniziato a valutare le possibili compravendite fino a che non ho trovato quella che pensavo facesse per me: il cellulare era quello che volevo, il venditore aveva 236 feedback, tutti positivi. Ho vinto l\u00b4asta e ho effettuato il pagamento attraverso un versamento su carta prepagata postepay, nominale e dalla quale per fare prelievi serve carta d\u00b4identit\u00e0 allo sportello o codice segreto al postamat .
\nIl giorno dopo aver fatto il versamento ho notato che l\u00b4account del venditore non era pi\u00f9 registrato sul sito di aste on-line e mi sono recato alla sede della polizia postale di Savona per sporgere denuncia. Qui mi \u00e8 stato detto che sono tantissime le denunce che vengono fatte per truffe su Ebay, tanto che ne sono letteralmente sommersi. Mi \u00e8 stato spiegato che il sito \u00e8 tutt\u00b4altro che un luogo sicuro dove effettuare compravendite, poich\u00e9 esistono molti modi per trarre in inganno il cliente.
\nIl meccanismo dei feedback pu\u00f2 essere travisato da utenti che dispongono di pi\u00f9 account o si accordano con altri, e simulano delle finte vendite di oggetti (a s\u00e8 stessi o a terzi) per scambiarsi e aumentare rapidamente il proprio numero di feedback. Infatti l\u00b4\u2019unica verifica sui dati di iscrizione, che sarebbe a garanzia dell\u2019univocit\u00e0 dell\u2019account (una persona=un account), consiste nel calcolo del codice fiscale, facilmente falsificabile con i programmi disponibili in rete.
\nMa, molto probabilmente, la truffa esercitata nei miei confronti \u00e8 avvenuta attraverso Vai a: Navigazione, cerca
\nl\u00b4impossessamento dell\u00b4account del venditore, da parte di un truffatore, avvenuta con la tecnica del phishing (\u201cspillaggio (di dati sensibili)\u201d, in italiano) cio\u00e8 una attivit\u00e0 illegale che sfrutta una tecnica di ingegneria sociale, ed \u00e8 utilizzata per ottenere l\u2019accesso a informazioni personali o riservate con la finalit\u00e0 del furto di identit\u00e0 mediante l\u2019utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a questi messaggi, l\u2019utente \u00e8 ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
\nIl processo standard delle metodologie di attacco di spillaggio pu\u00f2 riassumersi nelle seguenti fasi:
\nl\u2019utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui \u00e8 iscritto).
\nL\u2019email contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente\/account (ad esempio un addebito enorme, la scadenza dell\u2019account ecc.).
\nL\u2019email invita il destinatario a seguire un link, presente nel messaggio, per evitare l\u2019addebito e\/o per regolarizzare la sua posizione con l\u2019ente o la societ\u00e0 di cui il messaggio simula la grafica e l\u2019impostazione.
\nil link fornito, tuttavia, non porta in realt\u00e0 al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessit\u00e0 di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
\nIl phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come \u201cponte\u201d per ulteriori attacchi.
\nTalora, l\u2019e-mail contiene l\u2019invito a cogliere una nuova \u201copportunit\u00e0 di lavoro\u201d, a dare le coordinate bancarie del proprio conto online per ricevere l\u2019accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell\u2019importo, che pu\u00f2 arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto online.
\nSi tratta del denaro rubato con lo spillaggio, per il quale il titolare del conto online, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest\u2019attivit\u00e0 comporta per il phisher la perdita di una certa percentuale di quanto \u00e8 riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perch\u00e9 diviene pi\u00f9 difficile risalire al suo conto e dati identificativi.
\nSe i trasferimenti coinvolgono pi\u00f9 Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poich\u00e9 serve una rogatoria e l\u2019apertura di un procedimento presso la magistratura locale di ogni Paese interessato.
\nBanche, istituzioni o internet provider non fanno mai richiesta dei dati personali a mezzo di una e-mail. In caso di richiesta di dati personali, numeri di conto, password o carta di credito,\u00e8 buona norma, prima di cancellare, inoltrarne una copia alle autorita competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.
\nUna preoccupazione frequente degli utenti che subiscono lo spillaggio \u00e8 capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca. Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non \u00e8 necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell\u2019email che contiene il tentativo di spillaggio.
\nUn primo controllo per difendersi dai siti di spillaggio, \u00e8 quello di visualizzare l\u2019icona, a forma di lucchetto in tutti i browser, che segnala che s\u00ec \u00e8 stabilita una connessione sicura che garantisce la riservatezza dei dati,.
\nAlcuni siti hanno una barra antiphishing specifica che controlla l\u2019autenticit\u00e0 di ogni pagina scaricata dal sito, ad esempio tramite la firma digitale.
\nLa pagina di login di un sito \u00e8 facilmente imitabile. Nei browser esiste una opzione per visualizzare il codice HTML delle pagine Internet, che si pu\u00f2 copiare e incollare altrove, per ottenere un sito identico. La e-mail truffaldina conterr\u00e0 un link che punta non al sito originario, ma alla sua imitazione. I dati inseriti nei campi liberi della form sono memorizzati in un database o in un file di testo collegato al sito.
\nEsistono, inoltre, programmi specifici come la barra anti-spillaggio di Netcraft e anche liste nere , che consentono di avvisare l\u2019utente quando visita un sito probabilmente non autentico. Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio che confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.
\nPurtroppo mancano banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorit\u00e0 che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).
\nL\u2019oscuramento di un sito di spillaggio non \u00e8 un\u2019operazione semplice, se questo \u00e8 ospitato come sottodominio di un altro indirizzo web. In quel caso, \u00e8 necessario l\u2019oscuramento del dominio ospitante, poich\u00e9 la \u201cfalsa\u201d pagina di autenticazione non \u00e8 presente nell\u2019elenco ICANN, ma in locale sul server. Il sito oscurato pu\u00f2 essere comunque velocemente associato ad un altro indirizzo web.
\n\u00c8 possibile associare ad una pagina di un \u201csito esca\u201d un indirizzo simile, ma non identico a quello del sito \u201ccopiato\u201d. Due pagine web, infatti, non possono avere lo stesso indirizzo IP n\u00e9 lo stesso indirizzo logico, che \u00e8 associato ad un solo indirizzo IP.
\nAll\u2019utente medio resta comunque difficile distinguere un sito di phishing da quello dell\u2019istituto di credito preso di mira poich\u00e9 l\u2019indirizzo della risorsa di \u201cphishing\u201d \u00e8 simile e poco pi\u00f9 lungo di quello che \u00e8 stato falsificato.
\nOltre alla speranza di poter rivedere i miei soldi mi auguro che chi di dovere faccia qualcosa per consapevolizzare i cittadini sui rischi che si possono avere dalla \u201crete\u201d, molto utile ma anche troppo pericolosa per chi non la conosce bene. Inolte nutro la speranza che si attuino misure idonee per fermare queste attivit\u00e0 illecite, anche attraverso una cooperazione tra stati.<\/p>\n