Nulla di nuovo: se PayPal è stato ideato per permettere a chiunque disponga di un indirizzo email di effettuare transazioni senza condividere i dati della propria carta di credito, in realtà la reale sicurezza dei pagamenti è messa a dura prova dai “criminali informatici”. Per l’ennesima volta, alla violazione degli account dei fruitori del servizio segue lo scambio dei dati sensibili su siti Web o, peggio, la loro vendita . Proprio uno di questi siti, iProfit.su , è stato di recente identificato dall’esperto di sicurezza Brian Krebs , che ne ha raccolto informazioni scambiando messaggi instantanei con i gestori del sito.
A suo dire , molti dei conti PayPal in vendita su iProfit.su hanno un saldo pari a zero: sarebbero account ( username e password ) PayPal da “verificare”. Il meccanismo della procedura di verifica dello stato utente, infatti, è il seguente: alla richiesta di associare all’account PayPal la propria carta di credito, per poter così acquistare illimitatamente online, PayPal addebita un piccolo importo che verrà restituito nel momento in cui l’utente utilizzerà il servizio per la volta seguente. Altri account in vendita sono, invece, già stati verificati: al loro interno somme variabili, alla mercé dei malintenzionati.
In base a questa distinzione, gli amministratori del sito stabiliscono il prezzo della vendita: per gli account “non verificati” parte da 2,5 dollari (offerte speciali: 50 dollari per 100 account), mentre il valore degli account “verificati” varia fra l’8 e il 12 per cento del saldo corrente del conto ad esso associato. Krebs spiega che, ad esempio, un conto appartenente ad una sventurata vittima di nome Abigail, con saldo corrente di 121,07 dollari, è venduto a 15 dollari.
Krebs sottolinea infine che, mentre alcuni degli account per la vendita sono rubati tramite attacchi phishing , altri sono sottratti grazie all’azione di virus Trojan insidiati nei computer dei malcapitati.
Giorgia Gaeta
Ti potrebbe interessare
7 ott 2011