1 Commento

Cucù al cuculo

Amazon e l’iceberg

di

thumbnail

15

feb

2016

I truffatori adesso non prendono di mira il consumatore, ma le aziende che custodiscono i loro numeri di carta di credito.

Il prodotto di punta della mia azienda sono i commerci elettronici, e di conseguenza tengo sempre gli occhi ben aperti quando mi trovo a incrociare tra Viale Webdesign e Piazza Sicurezza Informatica. Questa settimana sono incappato in due articoli interessanti, che vi suggerisco di leggere se avete mezz’oretta che vi avanza e un interesse per quei temi.

Redatti da due autori ben diversi. Ma simili: entrambi scritti in prima persona, opera di persone intelligenti e che hanno imparato la lezione quando si parla di sicurezza sul web — usate password lunghe e inimmaginabili, non riutilizzatele più volte, lasciate il numero di carta di credito solo ad aziende che ben conoscete, bla bla bla. Eppure, in entrambi i casi gli autori sono rimasti vittime di truffe ben congegnate. Il primo s’è visto sottrarre il controllo del suo conto Amazon; al secondo hanno fregato l’account PayPal cercando poi di versare tutti i quattrini che vi stavano sopra a una organizzazione collegata con l’ISIS. Nientemeno.

Se leggete i due pezzi scoprirete che i truffati non hanno commesso errori. Qui non parliamo del phishing, o dello spear phishing, in cui comunque il truffato deve commettere un errore. I criminali stavolta hanno invece buggerato il supporto clienti delle multinazionali citate, facendosi consegnare da loro la password della vittima.

Fumetto nel quale il protagonista, un impostore, cerca con successo di insinuarsi in ruoli che non gli competono.

L’impostore si finge un’altra persona e si insinua nella fiducia altrui. Poi colpisce.

La colpa quindi sta in dipendenti faciloni di Amazon e di PayPal. È comprensibile (anche se non scusabile): chi lavora nel supporto clienti si trova davanti 999 volte al giorno un utente onesto, spesso non molto competente, in difficoltà. Il suo lavoro è aiutarlo. Gli servirebbe una sensibilità particolare per capire che il millesimo cliente del giorno in realtà è un criminale, e non tutti gli operatori del call center hanno la preparazione e l’intelligenza per sviluppare quella sensibilità. In entrambi i casi citati le imprese si sono responsabilmente fatte carico del problema, ma ovviamente il fastidio per le vittime è stato immenso.

È interessante studiare il modus operandi dei criminali, perché da questo emerge una possibile strategia di difesa. Hanno scelto persone con un profilo pubblico — un blog, un sito, una pagina Facebook, un account Twitter — dal quale trapelava qualche informazione personale come il comune di residenza, o un prodotto acquistato di recente, o il nome della propria banca. Hanno usato lo whois, lo strumento di Internet che trova a chi è registrato un nome di dominio, per recuperare altri dati, come l’indirizzo dell’ufficio. Poi gli impostori hanno telefonato al supporto clienti impersonando la vittima e usando le informazioni che possedevano per convincere l’addetto.

Quindi la difesa sta nel non rivelare informazioni troppo personali sui social network e nello schermare gli whois. Mi spiego con un esempio. whois apogeonline.com vi restituisce i dati di Raffaele Gamberini, responsabile informatico di Feltrinelli (e registrante del nome per il sito Apogeo), compreso il suo indirizzo d’ufficio. Un truffatore potrebbe partire da qui. Se provate invece whois accomazzi.com troverete che questa settimana ho acceso il cosiddetto domain shield e al posto del mio vero indirizzo appare un recapito a Hong Kong. Ti faccio cucù, cuculo.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 2.830 volte | Tag: , , , , , , ,

Un commento

  1. Dario

    E’ molto interessante il suo articolo, soprattutto perché si ritaglia perfettamente, anzi in maniera più che esaustiva, alla situazione di perdita di sicurezza che sto “sopportando”, con terrore e che sta diventando quasi patologica, pur essendo la colpa interamente mia per essermi comportato da… deficiente! Nel vero senso della parola. Per farla breve: trolley rubato con dentro… tutto! Quando dico tutto, dico tutto di me! Il ladro sa ora più cose, lui di me, che io di me stesso. Molte pen-drive contenenti documenti privati e professionali, foto, filmati, da venticinque anni sino ad ora, insomma tutto della mia vita, ma non solo anche uno stampato con tutte le password di decine siti, banca compresa, come pure le “classiche” carta di credito, bancomat, patente, assicurazioni e libretti di circolazione, chiavi di casa, eccetera (prima ho detto tutto!) non ultimo la key-pass per le disposizioni bancarie: più fesso di così! Erano le feste e dovevo portarmi dietro sta roba per un viaggio. Naturalmente poi ho adottato tutte le misure che potevo fare: cambiato le password dei siti che ricordavo o memorizzate nel browser (poche e non tutte) le più sensibili insomma perché di tutte le credenziali a siti di vario tipo non ne ho più contezza. Fatta denuncia alla Polizia, contattato Polizia Postale per vedere che aiuto possano darmi, ma hanno allargato le braccia: infatti che possono fare? Intanto quando penso a cosa mi potrebbe capitare mi vengono i brividi. Il ladro o chi lo consiglierà può spacciarsi per me e rispondere alle domande dell’addetto all’assistenza clienti con estrema sicurezza e con qualsiasi call center e non potranno che dargli credito.
    Consigli? Cambio nome? Mi trasferisco in Amazzonia?

Lascia il tuo commento