Truffa ai danni dei titolari di siti

Rinnoviamoci

di

thumbnail

22

apr

2016

M’è arrivata una mail per il sito web, vogliono settantacinque euro per il rinnovo annuale. Dobbiamo pagare, giusto?

Chi possiede un sito web è abituato a pagare canoni annuali. A ben guardare sono parecchi: c’è un costo per la registrazione/mantenimento del nome che andrebbe pagato direttamente al registro competente.

Una cifra va a ripagare l’occupazione di spazio su un server web che contiene le pagine, un’altra per l’occupazione della posta elettronica (volendo, questa ve la offre Google se in cambio cedete l’anima).

Tradizionalmente c’era anche una cifretta per la certificazione https, ma come abbiamo già detto non costa più nulla. Comunque. È del tutto possibile che per ciascuna di queste quattro cose arrivi in azienda una fattura, anche se molti preferiscono affidarsi a un singolo fornitore che fornisce quel che può e rivende il resto, spiccando alla fine un singolo scontrino, come farebbe un salsiccere.

Esistono però dei truffatori che provano a infilarsi nel mucchio, sparano notule di importo non elevatissimo a tutti i proprietari di siti web e portano a casa qualche quattrino quando una persona distratta o sovraffaticata non si accorge di niente e manda al pagamento. Ecco un tentativo del genere che m’è arrivato pochi giorni fa.

Una mail in inglese che apparentemente invita amichevolmente al rinnovo del sito web e in realtà spilla quattrini a vuoto

Parrebbe un normale sollecito, ma è una truffa.

I dati riportati in fattura sono presi dalle informazioni sulla titolarità del sito (in gergo, whois) che, come i lettori più fedeli ricorderanno, sono normalmente pubbliche e pubblicamente consultabili: nome del responsabile, indirizzo della sede e, appunto, indirizzo di posta elettronica di contatto. A leggere bene, il documento non sostiene che il truffatore emittente stia erogando uno dei quattro servizi che citavamo prima, ma cita fumosi e non specificati servizi di visibilità.

Come funziona

Per far chiarezza e aiutare il lettore a non cascarci, ricordiamo qual è davvero la procedura di registrazione e mantenimento dei nomi dominio su Internet. ICANN, ente supremo, decide quali suffissi sono validi: per esempio, ogni nazione riconosciuta dall’ONU ha diritto al suo suffisso di due lettere, come il .it dell’Italia. Ogni suffisso ha un suo assegnatario, un registry, che decide chi può ricevere l’uso di un nome; per esempio, per il punto it se ne occupa un dipartimento del CNR che consente la registrazione a cittadini e aziende dell’Unione Europea. Non direttamente, bensì attraverso i servizi di una azienda privata, il registrar (i cui esempi più famosi in Italia sono Aruba, OVH e Register.it). In pratica, se il mio editore vuole registrare il nome apogeonline.it per usarlo come alias del più noto nome apogeonline.com, può andare da Aruba che gli addebita 4,99 euro, intasca 99 centesimi, paga quattro euro al CNR, il quale esegue la registrazione, trattiene 3,82 euro e gira 18 centesimi a ICANN. Le cifre riportate sono, per quanto ne so e al momento di consegnare questo articolo, esatte e non approssimate.

Il registry (il CNR) tiene il nome bloccato (locked) e impedisce agli altri registrar di chiedere cambiamenti. Serve a impedire una truffa analoga piuttosto diffusa dieci anni fa, in cui un registrar terzo mandava al proprietario del nome dominio una offerta che sembrava un rinnovo del canone ed era invece un cambio di fornitore.

Come si cambia

E se Apogeo decide davvero di passare a un nuovo fornitore? Funziona così: Apogeo chiede ad Aruba di consentire il trasferimento del nome. Verificato che non ci sono fatture pendenti, Aruba chiede al registry di sbloccare il nome e manda una specie di password chiamata codice di migrazione, o in inglese auth code che funziona come una staffetta. Apogeo la passa al nuovo fornitore, per esempio OVH o Register.it, che lo usa per farsi riconoscere come nuovo responsabile del nome dal registry. Se sceglie Register.it, Apogeo paga subito a costoro 4,90 euro e il CNR ne trattiene anche stavolta quattro (anche se è passato un sol giorno dalla data di registrazione iniziale, che normalmente dura per un anno solare).

Sin qui la cosa avviene a tambur battente, nel giro di secondi, senza intervento umano. Ora però Aruba ha cinque giorni di tempo per accettare definitivamente la cessione ma, in base alla mia esperienza, per prassi si disinteressa della faccenda — nessuno risponde alle richieste del CNR. Dopo cinque giorni automaticamente vale il silenzio-assenso e il trasferimento avviene, ovvero Register.it diventa a tutti gli effetti registrar del nome apogeonline.it che viene nuovamente messo in stato locked.

In conclusione… stampatevi una copia di questo riassuntino e mettetelo in mano alla persona che in azienda paga i canoni. Non si sa mai che finiate per risparmiare 75 euro.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 2.861 volte | Tag: , , , , ,

Lascia il tuo commento