Non bastassero i trojan che mimano la homepage per fare incetta di dati sensibili, il popolare sito d’aste eBay si scopre ora vittima dell’ennesimo criminale telematico specializzato nelle truffe a danno dei suoi utenti. Dov Tenenboim, 21enne di Sydney, Australia, si è dichiarato colpevole della infiltrazione in decine di account di ebayer , di falsa compravendita per ricavare denaro da oggetti inesistenti e, ciliegina sulla torta, di manomissione di account bancari.
Il ragazzo ha ottenuto l’accesso a non meno di 90 account di venditori su eBay durante lo scorso anno, accesso conseguito principalmente “indovinando” la password necessaria. Tenenboirn spesso riusciva ad ottenere la parola d’ordine semplicemente ricavandola leggendo il nome utente. Ma metodi più invasivi lo hanno spinto a craccare anche gli account email.
Obiettivo prediletto del giovane truffatore erano i venditori con un alto numero di feedback: mascherandosi dietro account floridi e con un alto credito nel sistema di compravendita fiduciario di eBay, Tenenboirn faceva cadere in trappola più facilmente gli acquirenti-vittima. A cui il truffatore vendeva iPod inesistenti incassando quindi un facile guadagno.
Oltre ad eBay, il cyber-truffatore ha preso di mira anche la Commonwealth Bank . In tutto, Tenenboirn ha collezionato due imputazioni per dichiarazioni false a scopo di ottenere denaro, due imputazioni per truffa e quattro addebiti per essersi reso protagonista di utilizzo non autorizzato di sistemi informatici. Ora rischia un massimo di 11 anni di carcere e multe fino a 8mila euro, che a ben guardare rappresentano solo una parte degli oltre 27mila euro trafugati per mezzo delle sue scorribande telematiche.
Pene pecuniarie a parte, il caso è l’ennesima dimostrazione del lasco meccanismo di sicurezza alla base dell’autenticazione su molti siti. Ed eBay, uno dei siti più popolari dell’intera rete, finisce per essere per questo tra i più esposti all’azione dei cyber-criminali. Molto si dovrebbe fare, sostengono alcuni, sulle richieste minime per la validità della password di accesso, a causa delle quali uno user id quale “james34231” potrebbe convivere con una chiave d’accesso “james34”. Un dato che Tenenboirn e personaggi affini possono far proprio con estrema facilità.
Una delle possibili soluzioni al problema è l’identificazione attraverso codici di sicurezza generati dinamicamente: appartiene a tale categoria il servizio aggiuntivo Security Key attualmente fornito come beta da PayPal, il portale di intermediazione finanziaria di proprietà di eBay.
Che le truffe online siano un problema sempre più sentito è provato anche dal rapporto pubblicato dallo FBI Internet Crime Complaint Center , che mette tra l’altro in evidenza la predilezione per la truffa da parte degli uomini rispetto alle donne : la maggioranza dei “carnefici” e, per contrappasso, anche delle vittime è di sesso maschile, di età compresa fra i 30 e i 40 anni e vive in California, Texas, Florida e New York.
Tre quarti delle vittime sono uomini, e tra i paesi più interessati dal fenomeno, oltre agli Stati Uniti, vengono citati Regno Unito, Nigeria, Canada, Romania e Italia. In totale, il denaro perso a causa delle truffe online è salito dai 183 milioni di dollari del 2005 ai quasi 199 del 2006. Non stupisce poi, anche in relazione alla scarsa sicurezza dei meccanismi di identificazione che il caso australiano dimostra, che il 45% delle denuncie di frode pervenute all’organizzazione riguardino proprio le aste telematiche caratteristiche di eBay .
Alfonso Maruccia