Chiamami!

Skype Me™!


 
Home arrow Cose da sapere arrow Frodi con PayPal  

Frodi con PayPal

Frodi con PayPal Accettare pagamenti con carta di credito è una scelta obbligata quando si vende online. E' infatti tramite questo sistema che la maggior parte degli utenti pagherà i propri acquisti.

PayPal, con i suoi 110 milioni di utenti iscritti, è leader nel settore dei pagamenti online ed offre ottimi meccanismi di protezione sia per gli acquirenti che per i venditori.

Tuttavia questo non basta, la salvaguardia del proprio account è di vitale importanza per le attività online, la sua violazione può comportare perdite di denaro enormi.

In questo articolo esamineremo un caso di account violato e cercheremo di individuare tutte le falle che è possibile chiudere per evitare che l'inconveniete si ripeti in futuro.

Il caso
Un account PayPal è stato violato, sono quindi partiti pagamenti non autorizzati verso una Poker Room internazionale. L'apertura delle relative contestazioni ha consentito di ottenere un rimborso completo. Tuttavia ne il cambio di password ne il cambio delle risposte alle "domande di sicurezza" hanno impedito all'hacker di violare poche settimane dopo l'account e svuotarlo nuovamente.

Come hanno fatto?
La medotologia usata più probabile è quella denominata phishing. Tutti lo conoscono poichè almeno una volta tutti ci sono cascati.

Ecco di cosa si tratta. Si riceve una email praticamente identica a quelle inviate da PayPal ove, con una qualsiasi scusa, si invita l'utente a visionare il proprio conto online. Naturalmente l'email contiene un link per accedere a PayPal, in realtà si viene indirizzati verso un sito identico a PayPal ma che non è PayPal.

Di norma se l'utente non effettua il login ma fa click su qualsiasi link della pagina viene indirizzato al sito ufficiale. Questa è un'accortezza non da poco: infatti l'utente si ritrova nel sito ufficiale e da credito all'email che ha ricevuto. E' quindi probabile che in futuro dopo il click sull'email effettui immediatamente il login.

Effettuato il login sul sito fake la frittata è fatta: gli hacker hanno la vostra email e la vostra password, possono ora controllare il vostro conto.

Vale per PayPal, ma anche per eBay, i conti bancari e quelli delle carte di credito: non si fa mai click sulle email! Se ricevete una email da PayPal che vi chiede di controllare il vostro conto allora digitate manualemente l'indirizzo www.paypal.it sul vostro browser ed effettuate i dovuti controlli.

Il phisning non è l'unico metodo di attacco, vediamo quali altre precauzioni adoperare.

Proteggere la password
Una buona password è composta da:

  • lettere maiuscole e minuscole
  • numeri
  • segni di punteggiatura
  • almeno 8 caratteri

Quale password vi sembra più sicura fra queste?

  • delfino
  • aSl,5Hp

Beh, ovvio. Nessun algoritmo basato su vocabolari potrebbe individuare la seconda. Violare "aSl,5Hp" significa procedere per tentativi fino a provare tutte le combinazioni, ossia un tempo molto molto lungo.

Non è solo la password di PayPal a dover essere scelta con attenzione. Se l'hacker individua la password della posta elettronica ha comunque accesso a numerose informazioni e con ogni probabilità sarà in grado di cambiare la password PayPal.

La password dell'email quindi deve essere differente da quella PayPal e seguire le stesse regole su lunghezza e tipi di caratteri.

Verifica delle impostazioni PayPal
La protezione della password, soprattutto dopo aver subito una violazione, potrebbe non esser sufficiente. Una volta effettuato l'accesso al conto l'hacker ha a sua disposizione diversi strumenti per riprenderne il controllo in un secondo momento.

Per verificare le impostazioni bisogna accedere a PayPal ed andare su Profilo. Se avete fatto click sul mio link non avete capito la pericolosità del phishing e quindi dovete rileggere il paragrafo precedente.

Le cose da verificare sono:

  • solo la vostra email deve essere associata al profilo
  • solo i vostri cellulari devono essere associati al profilo
  • impostare risposte alle domande di sicurezza in maniera adeguata
  • i conti bancari e le carte di credito devono essere vostre
  • controllare i pagamenti preapprovati (eBay, facebook, ...) e verificare se è presente qualcosa che non conoscete

Attenzione all'ultimo punto il quale rappresenta un'ottima via per la fuga dei vostri capitali.

Utilizzo di reti Wi-FI
Un interessante servizio delle Iene ha mostrato come è semplice subire un attacco tramite le reti Wi-Fi.

Per iniziare hanno mostrato come la password di rete "patatina" è stata individuata da un software in soli 20 secondi. Una volta entrati nella rete hanno iniziato a sniffarla ottenendo così l'email dell'utente sotto attacco. La stessa password "patatina" era valida sia per leggere le email che per accedere a Facebook.

L'utente in questione risultava registrato su amazon e li aveva memorizzato in maniera permanente la propria carta di credito. La password di Amazon non era "patatina", tuttavia avendo accesso alle email cambiarla non è stato difficile. A questo punto è stato preso il controllo anche di Amazon e quindi per loro sarebbe stato possibile acquistare qualsiasi cosa per farsela spedire in posti lontani ove essere rintracciati è impossibile.

E' proprio questo il punto. Quando un hacker viola un account PayPal non trasferisce a se stesso i fondi, li invia invece verso altri conti e da li in poi è un problema riuscire a seguirli poichè spesso sono girati a banche estere o comunque trasferiti in posti ove non ci sono accordi riguardo indagini di questo tipo con l'unione europea.

Quanto detto chiarisce come anche la password di rete, spesso scelta in maniera frettolosa, deve seguire sempre le solite regole.

Vista la crescita delle connessioni in mobilità, ossia tramite cellulari e tablet, bisogna prestare la massima attenzione alle reti WiFi senza password. Queste infatti non andrebbero mai utilizzate per accedere alla propria email o ai propri conti visto che il gestore della rete, se volesse, potrebbe facilmente intercettare tutte le vostre password.

Software malevoli
Quanto detto fin qui non serve a nulla se il dispositivo che usate per collegarvi è infettato da uno spyware o da un keylogger. Si tratta di software che hanno il compito di intercettare ed inviare all'hacker i vostri dati. Spesso è sufficiente dotarsi di un buon antivirus ed effettuare scansioni periodiche.

Anche tenere il proprio sistema operativo sempre aggiornato è una scelta obbligata. L'uso di un firewall inoltre potrebbe mettervi al riparo da attacchi verso il vostro dispositivo, attacchi che hanno sempre lo stesso scopo: installare software a vostra insaputa e prendere il controllo di tutto.

Un'altra buona regola da seguire è non usare computer di cui non siamo proprietari per connettersi alla propia casella email o al proprio conto PayPal. Se infatti possiamo essere sicuri che il nostro pc non sia infetto altrettanto non possiamo dire del computer del nostro ufficio o dei nostri amici.

Conclusioni
Le regole indicate ed i controlli che sono stati consigliati in questo articolo possono sembrare eccessivi.

Allora sarebbe bene ripetere quanto scritto all'inizio:

... ne il cambio di password ne il cambio delle risposte alle "domande di sicurezza" hanno impedito all'hacker di violare poche settimane dopo l'account e svuotarlo nuovamente ...

Bisogna sempre adottare un comportamento corretto e sicuro riguardo alle connessioni e alla scelta delle password. Qualora si abbia anche il semplice sospetto che uno dei nostri account possa essere stato violato l'unica maniera per risolvere il problema una volta e per tutte è la verifica della correttezza di tutte le nostre impostazioni.
 
Pros. >
Share |
  		 
 

© Gian Luigi Alfieri - Partita I.V.A. 05613270825
powered by CreazioneSitiWeb.org - Web Developer Di@rex - Tutti i diritti riservati