RISPARMIA IL 15% SU TUTTI I CORSI

Fino al 31 agosto con il codice sconto CORSARO

Scegli il tuo corso e iscriviti!
Home
Amazon e l’iceberg

15 Febbraio 2016

Amazon e l’iceberg

di

I truffatori adesso non prendono di mira il consumatore, ma le aziende che custodiscono i loro numeri di carta di credito.

Il prodotto di punta della mia azienda sono i commerci elettronici, e di conseguenza tengo sempre gli occhi ben aperti quando mi trovo a incrociare tra Viale Webdesign e Piazza Sicurezza Informatica. Questa settimana sono incappato in due articoli interessanti, che vi suggerisco di leggere se avete mezz’oretta che vi avanza e un interesse per quei temi.

Redatti da due autori ben diversi. Ma simili: entrambi scritti in prima persona, opera di persone intelligenti e che hanno imparato la lezione quando si parla di sicurezza sul web — usate password lunghe e inimmaginabili, non riutilizzatele più volte, lasciate il numero di carta di credito solo ad aziende che ben conoscete, bla bla bla. Eppure, in entrambi i casi gli autori sono rimasti vittime di truffe ben congegnate. Il primo s’è visto sottrarre il controllo del suo conto Amazon; al secondo hanno fregato l’account PayPal cercando poi di versare tutti i quattrini che vi stavano sopra a una organizzazione collegata con l’ISIS. Nientemeno.

Se leggete i due pezzi scoprirete che i truffati non hanno commesso errori. Qui non parliamo del phishing, o dello spear phishing, in cui comunque il truffato deve commettere un errore. I criminali stavolta hanno invece buggerato il supporto clienti delle multinazionali citate, facendosi consegnare da loro la password della vittima.

Fumetto nel quale il protagonista, un impostore, cerca con successo di insinuarsi in ruoli che non gli competono.

L’impostore si finge un’altra persona e si insinua nella fiducia altrui. Poi colpisce.

La colpa quindi sta in dipendenti faciloni di Amazon e di PayPal. È comprensibile (anche se non scusabile): chi lavora nel supporto clienti si trova davanti 999 volte al giorno un utente onesto, spesso non molto competente, in difficoltà. Il suo lavoro è aiutarlo. Gli servirebbe una sensibilità particolare per capire che il millesimo cliente del giorno in realtà è un criminale, e non tutti gli operatori del call center hanno la preparazione e l’intelligenza per sviluppare quella sensibilità. In entrambi i casi citati le imprese si sono responsabilmente fatte carico del problema, ma ovviamente il fastidio per le vittime è stato immenso.

È interessante studiare il modus operandi dei criminali, perché da questo emerge una possibile strategia di difesa. Hanno scelto persone con un profilo pubblico — un blog, un sito, una pagina Facebook, un account Twitter — dal quale trapelava qualche informazione personale come il comune di residenza, o un prodotto acquistato di recente, o il nome della propria banca. Hanno usato lo whois, lo strumento di Internet che trova a chi è registrato un nome di dominio, per recuperare altri dati, come l’indirizzo dell’ufficio. Poi gli impostori hanno telefonato al supporto clienti impersonando la vittima e usando le informazioni che possedevano per convincere l’addetto.

Quindi la difesa sta nel non rivelare informazioni troppo personali sui social network e nello schermare gli whois. Mi spiego con un esempio. whois apogeonline.com vi restituisce i dati di Raffaele Gamberini, responsabile informatico di Feltrinelli (e registrante del nome per il sito Apogeo), compreso il suo indirizzo d’ufficio. Un truffatore potrebbe partire da qui. Se provate invece whois accomazzi.com troverete che questa settimana ho acceso il cosiddetto domain shield e al posto del mio vero indirizzo appare un recapito a Hong Kong. Ti faccio cucù, cuculo.

L'autore

  • Luca Accomazzi
    Luca Accomazzi (@misterakko) lavora con i personal Apple dal 1980. Autore di oltre venti libri, innumerevoli articoli di divulgazione, decine di siti web e due pacchetti software, Accomazzi vanta (in ordine sparso) una laurea in informatica, una moglie, una figlia, una società che sviluppa tecnologie per siti Internet

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.