Una rete di siti fasulli che richiamano in tutto e per tutto le sembianze dei siti ufficiali di brand più o meno gettonati e che, in realtà, tendono a incassare a fronte di prodotti o servizi che il cliente non riceverà mai, riuscendo peraltro a trafugare i dati delle carte di credito. Questa, in sintesi, la rete BogusBaazar.
Abbiamo provato anche noi e senza sorpresa: ci siamo affidati a uno di questi siti e abbiamo provato ad acquistare un paio di scarpe di un noto marchio italiano e, corrispondendo un prezzo irrisorio (circa 36 euro), pagato con una carta di debito usa e getta.
Al posto delle calzature abbiamo ricevuto un paio di occhiali da sole di scarsissima fattura, il cui valore di produzione è calcolabile in una manciata di centesimi di dollaro.
Questo è quanto. Ma, sotto a questa superficie tanto scontata, c’è un mondo di trappole dal quale si può stare alla larga con la dovuta attenzione, così come spiega Pierluigi Paganini, Ceo CYBHORUS e membro Enisa che, in aggiunta, spiega quali strumenti usare per limitare i rischi.
Indice degli argomenti
La fitta rete di BogusBaazar
Una rete di circa 75mila falsi siti web nella quale sono cadute più di 850mila persone tra Stati Uniti ed Europa (e quindi anche in Italia). Un giro d’affari stimato in 50 milioni di dollari ottenuto sfruttando nomi di dominio non più rinnovati dagli intestatari originali ma che, con il passare del tempo, hanno ottenuto una buona reputazione.
Shop online che vendono prodotti di forte richiamo che non verranno mai spediti, consegnando nelle mani di chi li gestisce i dati delle carte di credito dei clienti.
Come agisce BogusBaazar
I ricercatori di Security Research Labs hanno scandagliato il fenomeno. I clienti che cadono nella trappola possono pagare usando circuiti tipici come PayPal e Stripe ma, anche in questo caso, si tratta di interfacce fasulle che imitano in tutto e per tutto quelle originali e che hanno lo scopo di raccogliere i dati dello strumento di pagamento.
Non di rado, prima della conclusione della transazione, viene segnalato un errore e l’utente viene inoltrato attraverso un altro gateway di pagamento funzionante. Quest’ultimo evento, tuttavia, dovrebbe già indurre i clienti a dubitare della bontà della transazione ma, così come conferma il numero degli utenti truffati (oltre 850.000), così non sembra essere.
BogusBaazar incarna la classica configurazione Fraud-as-a-Service, una filiera messa in piedi dal cyber crimine che si estende anche agli attacchi ransomware, agli attacchi DDoS e ad altri ancora, vere e proprie fabbriche organizzate per produrre minacce bell’e pronte per chiunque voglia farne uso.
Come stare alla larga da simili tranelli
Le regole di massima le spiega Pierluigi Paganini: “Il fenomeno di falsi siti di e-commerce è in continua crescita, proporzionalmente alla maggiore propensione agli acquisti online da parte degli utenti in rete. Alcune semplici regole potrebbero mettere gli utenti a riparo da brutte sorprese, come:
- Verificare l’URL ed il nome del dominio che ospita il sito web. È consuetudine da parte dei criminali informatici usare domini simili a quelli di siti web legittimi, ma con piccole modifiche ortografiche o l’aggiunta di parole che non insospettiscono gli utenti.
- Verificare la presenza di errori grammaticali e di battitura nei siti web, di link che puntano a pagine inesistenti o la presenza di loghi di bassa qualità. Molto spesso i falsi siti hanno informazioni di contatto incomplete o addirittura errate. In passato queste caratteristiche erano indicatrici di siti falsi messi in piedi frettolosamente e con poca attenzione, tuttavia oggi, molteplici strumenti consentono di automatizzare la clonazione di siti legittimi evitando di incorrere in errori come quelli descritti.
- Diffidare di sconti ed offerte eccessivamente vantaggiose.
- Controllare le recensioni e i feedback del sito web.
- Assicurarsi che il sito web un certificato SSL valido. Controllare la barra degli indirizzi del browser per vedere se il sito web ha un certificato SSL. L’URL dovrebbe iniziare con “HTTPS://” e un lucchetto verde dovrebbe essere presente nella barra degli indirizzi. Questa è una condizione necessaria, ma non sufficiente, per evitare falsi siti in quanto i criminali informatici spesso utilizzano certificati SSL validi”.
Ci sono degli strumenti che aiutano gli utenti a verificare l’attendibilità di un sito.
Tre indizi fanno una prova
I siti truffaldini i cui nomi, come ha spiegato Pierluigi Paganini possono essere molto simili a quelli originali, hanno vita breve. Vengono creati e chiusi nel giro di poche settimane, a volte di pochi giorni.
Inoltre, la pagina dei contatti è vaga: non c’è un numero di telefono, un indirizzo fisico e talvolta neppure un indirizzo email. Infine, perché i dettagli contano, i siti dei truffatori tendono a non riportare il numero della partita Iva (VAT in inglese).
Non di meno, spiega l’ingegner Paganini: “Esistono diversi strumenti che consentono agli utenti in rete di valutare l’affidabilità di un sito web. Alcuni come Scamadviser assegnano un punteggio di rischio basato su molti fattori, tra cui l’età del dominio, la presenza di eventuali malware, o la presenza del sito in eventuali black list redatte da aziende di sicurezza o forze dell’ordine. Anche il servizio tedesco Fakeshop Finder consente di verificare la reputazione dei siti di e-commerce. Esistono poi siti web che recensiscono i siti web, come Trustpilot, così come black list in cui sono inseriti siti coinvolti in attività fraudolente, come le truffe online.
Anche servizi online come Google Safe Browsing avvertono gli utenti quando stanno per visitare un sito web pericoloso.
Esistono infine estensioni per browser, alcune molti efficaci sviluppate da aziende di sicurezza, che sono in grado di individuare potenziali minacce alla sicurezza ed alla privacy”, conclude Pierluigi Paganini.
Per usare strumenti online come Fakeshop Finder o Scamadviser è sufficiente incollare nell’apposito campo il nome del dominio che si vuole verificare e cliccare sul bottone che avvia i controlli basati, come ricorda l’esperto, soprattutto sulla data di registrazione del dominio e sulla presenza dello stesso in diverse blacklist.
