Il prodotto di punta della mia azienda sono i commerci elettronici, e di conseguenza tengo sempre gli occhi ben aperti quando mi trovo a incrociare tra Viale Webdesign e Piazza Sicurezza Informatica. Questa settimana sono incappato in due articoli interessanti, che vi suggerisco di leggere se avete mezz’oretta che vi avanza e un interesse per quei temi.
Redatti da due autori ben diversi. Ma simili: entrambi scritti in prima persona, opera di persone intelligenti e che hanno imparato la lezione quando si parla di sicurezza sul web — usate password lunghe e inimmaginabili, non riutilizzatele più volte, lasciate il numero di carta di credito solo ad aziende che ben conoscete, bla bla bla. Eppure, in entrambi i casi gli autori sono rimasti vittime di truffe ben congegnate. Il primo s’è visto sottrarre il controllo del suo conto Amazon; al secondo hanno fregato l’account PayPal cercando poi di versare tutti i quattrini che vi stavano sopra a una organizzazione collegata con l’ISIS. Nientemeno.
Se leggete i due pezzi scoprirete che i truffati non hanno commesso errori. Qui non parliamo del phishing, o dello spear phishing, in cui comunque il truffato deve commettere un errore. I criminali stavolta hanno invece buggerato il supporto clienti delle multinazionali citate, facendosi consegnare da loro la password della vittima.
La colpa quindi sta in dipendenti faciloni di Amazon e di PayPal. È comprensibile (anche se non scusabile): chi lavora nel supporto clienti si trova davanti 999 volte al giorno un utente onesto, spesso non molto competente, in difficoltà. Il suo lavoro è aiutarlo. Gli servirebbe una sensibilità particolare per capire che il millesimo cliente del giorno in realtà è un criminale, e non tutti gli operatori del call center hanno la preparazione e l’intelligenza per sviluppare quella sensibilità. In entrambi i casi citati le imprese si sono responsabilmente fatte carico del problema, ma ovviamente il fastidio per le vittime è stato immenso.
È interessante studiare il modus operandi dei criminali, perché da questo emerge una possibile strategia di difesa. Hanno scelto persone con un profilo pubblico — un blog, un sito, una pagina Facebook, un account Twitter — dal quale trapelava qualche informazione personale come il comune di residenza, o un prodotto acquistato di recente, o il nome della propria banca. Hanno usato lo whois, lo strumento di Internet che trova a chi è registrato un nome di dominio, per recuperare altri dati, come l’indirizzo dell’ufficio. Poi gli impostori hanno telefonato al supporto clienti impersonando la vittima e usando le informazioni che possedevano per convincere l’addetto.
Quindi la difesa sta nel non rivelare informazioni troppo personali sui social network e nello schermare gli whois. Mi spiego con un esempio. whois apogeonline.com vi restituisce i dati di Raffaele Gamberini, responsabile informatico di Feltrinelli (e registrante del nome per il sito Apogeo), compreso il suo indirizzo d’ufficio. Un truffatore potrebbe partire da qui. Se provate invece whois accomazzi.com troverete che questa settimana ho acceso il cosiddetto domain shield e al posto del mio vero indirizzo appare un recapito a Hong Kong. Ti faccio cucù, cuculo.