Molto spesso, qui al bar, si aprono 3D sulle truffe on-line.
C'è chi chiede consiglio, perché teme di cascarci, c'è purtroppo chi ci è già caduto e c'è chi, pur non essendo interessato all'acquisto, nota un'inserzione che ritiene strana e mette in allerta la community.
Ma dalle truffe on-line possiamo difenderci?
In parte si ... ... vediamo come!
1. Premessa
Ogni sito nasce con una funzione ben definita: i primi rischi nascono quando si ricorre ad un sito attribuendogli funzioni diverse da quelle che realmente ha. Nel noto sito di aste si è più garantiti perché esistono i feedback e, soprattutto, perché vi è la possibilità di pagare in modo sicuro con PayPal, che offre la garanzia di rimborso, anche se dopo procedura di contestazione.
Cosa ben diversa sono le "bacheche degli annunci" o i "mercatini": questi siti nascono solo per pubblicizzare l'oggetto e favorire il primo contatto: lo scambio ed il pagamento vanno tuttavia fatti di persona, in quanto non vi è alcuna garanzia che l'oggetto acquistato e pagato venga effettivamente spedito.
D'altra parte, se incontraste al parco un simpatico signore che promette di spedirvi una D800, vi consegna per il momento un semplice biglietto da visita e vi chiede di dargli subito 1000 euro ... accettereste? Bé ... acquistare sui siti di annunci e sui mercatini senza consegna diretta è un pò la stessa cosa ... se accettate il rischio alla fine potete prendervela solo con voi stessi.
Vi sono poi i siti di e-commerce: sono veri e propri negozi e come tali funzionano, solo che la loro vetrina è virtuale ... attenzione! ... anche qui può nascondersi una truffa ed in seguito ne parleremo più dettagliatamente.
2. I metodi di pagamento
PostePay: ricaricare una PostePay per pagare un oggetto che poi vi sarà spedito è assolutamente da non fare! La grande facilità con cui tale carta può essere attivata ed intestata a soggetti diversi da coloro che la detengono la rende lo strumento preferito dai truffatori. Sappiate che, anche nei rari casi in cui tale carta è effettivamente intestata a chi ha commesso la truffa, il recupero delle somme è praticamente impossibile in quanto non ha un rapporto di conto corrente bancario sottostante. La somma versta per la ricarica, peraltro, sparisce a velocità assolutamente sorprendente.
Bonifico nazionale: anche questa modalità di pagamento per un oggetto che poi sarà spedito espone a rischio; tuttavia, in questo caso c'è qualche possibilità di difendersi.
Questa è la struttura dell'IBAN (immagine tratta da Wikipedia)

Dopo la sigla internazionale, i numeri di controllo ed il CIN (generato secondo un algoritmo che miscela ABI, CAB e numero di conto corrente) seguono il codice ABI (5 cifre, indicativo dell'Istituto di Credito), il CAB (5 cifre, indicativo di una specifica agenzia di quell'Istituto) ed il numero di conto corrente.
E' evidente quindi che ABI + CAB identificano fisicamente uno sportello e la sua ubicazione.
In rete esistono numerose siti che, tramite l'inserimento del codice IBAN, restituiscono l'ubicazione dello sportello e questo controllo può essere utile per smascherare un potenziale truffatore.
Quindi, se dico di vivere in Sicilia ma il codice IBAN che fornisco per il pagamento è riferito ad un contro acceso presso uno sportello della Campania o della Lombardia .... qualcosa non va!
Carta di credito: è una modalità di pagamento offerta quasi esclusivamente sui siti di e-commerce (vedere oltre ... non è tutto oro quello che luccica!) Qui il rischio non è tanto nella truffa in se, ma piuttosto sulla possibilità che i codici della carta vengano in qualche modo carpiti e successivamente utilizzati per azzerarvi il plafond. Morale: usate la carta di credito solo e soltanto se l'acquisto è urgente e necessario e, di conseguenza, vale la pena di assumersi questo rischio. In caso contrario ricorrete ad una prepagata ricaricabile o, meglio ancora, ad una "carta virtuale" (non sapete cos'è? Informatevi al più presto ... è comoda, semplice e sicura !) oppure, ed è il massimo della sicurezza, a PayPal (non alla carta ... quella è uguale a tutte le altre e presenta gli stessi rischi ... al conto, che è tutt'altra cosa).
3. I siti di e-commerce
La serietà di un sito di e-commerce è sempre verificabile on-line. Blog, forum, social network ... c'è sempre qualcuno che ha già acquistato qualcosa e che commenta la convenienza, la qualità dell'oggetto e del servizio. Basta quindi googolare un po!!
Ma se questo non vi sembrasse sufficiente (come vi dicevo non è tutto oro quello che luccica), ecco qualche altro consiglio.
La navigazione in rete avviene utilizzando gli Indirizzi IP; per i non esperti, si tratta di una sequenza che funziona come fosse un numero telefonico.
Tuttavia, per accedere a questo forum, così come ad ogni altro sito, è difficile ricordare 195.88.7.54 (questo è il suo indirizzo IP) così si ricorre ai "nomi a dominio", più semplici da memorizzare e digitare. Noi vediamo www.nikonclub.it, ma i nostri PC cercano e si collegano a 195.88.7.54.
E qui viene il bello: gli indirizzi IP vengono attribuiti ai vari ISP (i fornitori dei servizi di accesso alla rete ... quelli che ci mandano la bolletta a casa, per intenderci ) da organismi internazionali ed i nomi a dominio vengono a loro volta registrati dagli enti intergovernativi che si occupano della rete.
Per cui, ricorrendo alla consultazione di archivi pubblici on-line (ad es.: Domain Tools) ed inserendo negli appositi campi di ricerca il nome a dominio del sito (ad. es.: www.nikonclub.it) si scoprono alcune cose molto interessanti, tra cui: qual è il suo indirizzo IP, chi ha registrato il sito e da quanto tempo, dove è ubicato il server che lo ospita.
A cosa serve?
Semplicissimo: se volete acquistare on-line l'ultimo modello di scarpa sportiva, che vi viene offerta a prezzo molto conveniente, e siete felici di farlo perché convinti di acquistare sul sito nazionale "www.machebellascarpa.it" (e chi non vorrebbe sostenere la nostra economia, avendone l'occasione?), fate una verifica su Domain Tools. Potreste scoprire che il sito, anche se appare in perfetta lingua italiana, è ospitato su un server di hosting ubicato in Cina. Morale: è sicuramente una truffa e, se ci cascate, i vostri soldi non saranno più recuperabili (i motivi sono anche giuridici, non solo tecnici, ma sono lunghi da spiegare).
Potreste anche scoprire che il sito è ubicato in Italia, ma è stato registrato poche settimane fa. Potrebbe essere un sito civetta, potrebbe non esserlo, questo non è dato saperlo a priori. Scoprirete comunque che hanno iniziato a lavorare da poco e, quantomeno, potrete aspettarvi un servizio non all'altezza delle vostre aspettative.
...
Lo so cosa direte ... un altro sproloquio ... adesso ci perseguita anche al Bar!
Se vi avrò aiutato a prevenire una truffa, mi perdonerete!
Buona Nikon a tutti.
Vincenzo

P.S.: se vi interessa, ho pronto anche l'argomento di riserva ... sempre per darvi una mano a non essere truffati: l'analisi delle e-mail

Bel lavoro, molto utile.

Diciamo pure che vige la regola del buon senso e che di solito nessuno regala niente.

Aggiungo qualche Nota:

Ebay:
Comprare preferibilmente da Power seller o da venditori professionali, le procedure di validazione per ottenere un account con quelle caratteristiche sono molto macchinose ed onerose sopratutto i Power seller, che devono garantire feedback prossimi al 100% e media stelle superiore alle 4 su 5 come soddisfazione generale.
Come è già stato detto esiste paypal a garantire in parte il rimborso, ma comunque esistono 45 giorni dalla conclusione dell'asta per aprire una controversia, quindi se il venditore vi invita ad attendere oltre la dead line vi accordate che intanto voi aprite la controversia a tutela e successivamente attendere il periodo richiesto, fermo restando che dall'apertura avete altri 15 giorni ulteriori per trasformarla in reclamo, state sempre attenti a queste scadenze.
Altra nota è che il rimborso, non so se sia cambiato ora, è possibile se il venditore ha soldi sulla carta/conto associato a paypal, quindi un power seller che usa regolarmente il conto offrirà sicuramente maggiori garanzie di rimborso di un privato occasionale.
Altra cosa importante prima di procedere all'acquisto osservate gli ultimi feedback a quando risalgono e se sono positivi, a volte rubano gli account, e se il venditore è rimasto inattivo per lungo periodo ed ora ha iniziato a vendere e sta collezionando feed negativi, potrebbe essere uno di questi casi.

Amazon:
Se comprate direttamente da Amazon ZERO rpoblemi è efficente e rapidissimo, se comprate da venditori che usano amazon come vetrina valgono le considerazioni di ebay.

Bacheche:
Meglio preferire venditori che pubblicano foto dell'oggetto e mettono anche il cell o meglio ancora un telefono fisso rintracciabile, e sopratutto diffidate di prezzi troppo bassi.
Per vedere se il venditore è in possesso dell'oggetto richiedete qualche ulteriore foto magari particolare, a volte le foto provengono da altre inserzioni su bacheche all'estero.
Tenete d'occhio che lo stesso annuncio non compaia con le stesse foto ma proveniente da città diverse.
Contattate telefonicamente il venditore e sondate il terreno per un incontro di persona, se accetta di buon grado è sicuramente un punto a favore, diffidare di venditori sfuggenti che vogliono anticipi prima dell'incontro e devono partire per l'estero o stanno all'estero, diffidate anche degli acquirenti che vengono dall'estero se siete venditori.
Altra cosa importante Se dovete organizzare incontri sempre in luoghi pubblici, caselli autostrada, autogrill, bar, piazze o centri commerciali, si sa mai vi vogliano rapinare.

Pagamenti e spedizione
Come acquirenti puntate ad usare paypal ed esigete spedizioni tracciabili, personalmente come vettore evito come la peste SDA, preferisco UPS e DHL che come efficenza e velocità stanno una spanna sopra.
SDA ovvero poste Italiane spesso si perde i pacchi, successo varie volte, o arrivano con il contenuto trafugato, mi è successo una volta.

Voglio darvi la misura concreta dei rischi che si corrono tutti i giorni, soprattutto se non si adottano le cautele minime.
Stamane arriva sulla mia scrivania una segnalazione (una delle tante, a dire il vero) relativa ad un sito “www.*************.it”: vende prodotti elettronici, informatici e, ovviamente, materiale fotografico.
La grafica è accattivante, il sito è organizzato in modo perfetto, sembra un vero sito di e-commerce
… ma …
… come pagamento accettano solo bonifico bancario e le coordinate del conto non sono on-line; dicono che le forniranno via mail dopo avere effettuato l’ordine, unitamente alle istruzioni di dettaglio …
… dicono che è per contenere i costi sulle commissioni (???!!!) …
… dichiarano tutti i prodotti di regolare importazione, ma i prezzi sono più bassi mediamente del 20-25 % rispetto a quelli di mercato (come faranno? Bho!) …
… su Domain Tools interrogo il nome a dominio: il sito è ospitato su un server estero e chi lo ha registrato si avvale di un servizio di “whois privacy”, pertanto la sua identità non è nota, ma è filtrata da una compagnia che offre l’anonimato …
… analizzo il sito e scopro che la sua configurazione è quella tipica dei siti che sono gestiti “a distanza” … ma se è un’azienda con cotanto materiale di cotanti tipi diversi, il sito non dovrebbe essere in sede?
… allora googolo un pò e su un forum scopro che alcuni si sono già lamentati; dalla cache di Google estraggo anche un file in formato .pdf relativo alla loro iscrizione alla camera di commercio (sì, hanno proprio voluto strafare falsificando anche questo!); sede dell’azienda una provincia del nord-ovest, ma, alla via ed al civico che loro indicano, su street wiew si vedono solo campi incolti …
… dal documento .pdf estraggo il codice fiscale dell’amministratrice delegata, e lo interrogo sul sito del Ministero delle Finanze: è inesistente!
… a voi la conclusione!
Come vedete nulla di complicato, il tutto ha richiesto meno di 10 minuti, ma adesso so che da quel sito non acquisterò mai e poi mai!
Buona Nikon a tutti
Vincenzo

e la denuncia alla GdF l'hai mandata?

così almeno sappiamo che in poco tempo lo fanno sparire

C'è già chi se ne sta occupando.
Ma qui c'è un vero e proprio paradosso: poiché la truffa è perseguibile a querela, dovrebbe esserci una parte lesa che si avvale di questa facoltà, cioè un truffato.
In caso contrario il reato non è perseguibile ... e nessuno può farci nulla, nemmeno a livello preventivo.
Ecco perché ho aperto questo 3D ... prevenire è meglio che reprimere ... anzi ... a volte si può solo prevenire!
Buona Nikon a tutti voi!
Vincenzo

Sarebbe il caso che il forum dia la possibilità di leggere il nome del sito in chiaro, non è pubblicità, è pubblica utilità!

Non lo ha mascherato il robot ... l'ho fatto io.
Purtroppo non posso fare diversamente.
Ma se ci saranno novità, fosse anche tra qualche mese, prometto che vi aggiornerò!
Tuttavia non era questo il senso del 3D ... azzerato un sito civetta, ne nascono mille altri.
Il modo migliore, allora, è imparare qualche piccolo trucco per difendersi.
Vincenzo

ipotizzo: se non c'è truffato non c'è reato, se non c'è reato non c'è pubblica utilità ma diffamazione?

...e quindi non ci puoi dare il nome



ma almeno questo fantomatico sito c'è su "trovaprezzi.it"?

Non è questo il motivo ... diciamo che per ora è meglio non parlarne per non sciupare una possibile .... sorpresa!
Non chiedermi se c'è o non c'è su "trovaprezzi" ... non lo so e, comunque, perdonami, non era questo il motivo per cui avevo aperto la discussione.
Speravo che qualche consiglio potesse aiutare non in questo caso specifico, ma in tutte quelle altre occasioni in cui gli amici de Forum possono avere dubbi!
Vincenzo.

P.S.: da un ordine sono risalito all'IBAN ... come volevasi dimostrare ... dicono che l'azienda ha sede nel Nord-Ovest, ma il conto è acceso da tutt'altra parte. Queste sono verifiche alla portata di tutti ... quindi tutti possono difendersi, almeno un pò, dalle truffe on-line! Basta solo un pò di attenzione e 10 minuti di tempo.

Personalmente con un nuovo venditore faccio già diversi dei controlli da te suggeriti;
la mia era un po' di curiosità ed anche per toglierlo dalla comparazione prezzi (ipotizzando che io l'abbia usato per quello)

Cmq grazie, il tuo lavoro è molto utile.

E' una discussione molto utile, credevo di essere esperto e di sapere tutto, ma non era assolutamente vero ...

Buonasera, Nikonisti!
Come si sta al bar oggi? Bene? Le bibite son fresche? La musica è di vostro gusto?
Mentre voi vi divertite, io son qui per mantenere un impegno preso (con me stesso!!) ed offrirvi gli ultimi consigli utili ad evitare una truffa on-line.
Questa è fresca di giornata: è appena arrivata sulla mia casella di posta elettronica:

Ovviamente è una mail di phishing … io non sono titolare di una “CartaSi” … ma se lo fossi, ed ammesso che il circuito CartaSi usasse una e-mail per chiedermi di modificare i miei dati, come fare per essere certi che la mail proviene proprio da loro?
Semplicissimo … non serve una laurea in informatica … basta solo conoscere qualche piccolo trucco.
Ogni e-mail (come ogni altro documento che viaggia in rete) viene trattato da diversi “nodi” prima di giungere a destinazione. La posta elettronica, in particolare, viene trattata da più server che, ad ogni passaggio, lasciano una traccia in una parte del file chiamata “header”, cioè intestazione, che però non è normalmente visibile.
Mentre voi bevete una limonata o un succo d’ananas (niente alcolici … prima di cena ), vi faccio vedere come appare la stessa e-mail con l’intestazione visibile.

Per rendere più semplice la trattazione dell’argomento, di seguito riporto l’header in formato testuale, formattandola in modo più leggibile ed aggiungendo, alla sinistra di ogni voce che esamineremo, una lettera tra parentesi in ordine alfabetico

L’intestazione si legge dal basso verso l’alto, perché ogni server lascia la propria “impronta” in cima alle altre.
ATTENZIONE: un esperto è in condizione di alterare tutti i campi dell’intestazione, tranne l’ultimo, che è quello in cima ed è lasciato dal “vostro” server di posta elettronica, cioè il server che vi consegna il messaggio per conto del dominio cui siete iscritti (@gmail.com, @alice.it, @libero.it, ecc., ecc.!); lui (il “vostro” server) non può mentirvi!!
Inoltre, dovete tenere presente che i campi contrassegnati da una “X” contengono informazioni opzionali, non sempre attendibili.
Comunque non è questo il caso, visto che chi mi ha mandato la mail di phishing non ha ritoccato i campi (essi infatti appaiono coerenti tra loro), fatta eccezione per il solo campo “From”, ed in seguito vedremo anche perché.

Primo momento di sintesi: abbiamo troppi differenti domini coinvolti, anche se in modo tecnicamente coerente, nell'invio di questo messaggio. Qualcosa non quadra!

Secondo momento di sintesi: quale che sia il rapporto che lega chi ha inviato il messaggio ai vari domini e server utilizzati, qui casca l’asino! Il messaggio è partito da un computer collegato all’indirizzo IP 217.79.178.85, computer che si è connesso sulla porta 63203 (stranissimo uso di una stranissima porta) e, soprattutto, che si è presentato al server (“helo”) come “Inf.it”. Ovviamente, l’indirizzo IP in questione rientra in un range di indirizzi assegnati ad un operatore straniero!

Volutamente ho omesso di dire qual è il risultato delle interrogazioni sui vari nomi a dominio; vorrei solleticare i più curiosi a farlo personalmente su Domain Tools o su altri analoghi siti, per mantenere anche memoria della procedura.
Conclusioni: proteggersi non è complicato (ho impiegato 30 minuti per scrivere questo intervento, ma la lettura diretta dell’intestazione e le varie interrogazioni si fanno in meno di un minuto); la lettura dell’intestazione vale non solo per i casi di phishing, ma anche tutte le volte in cui sospettate che qualcuno non sia chi dice di essere; la prevenzione resta il modo più adeguato per proteggersi (se qualcuno c’è cascato, visto che l’indirizzo IP porta ad un operatore estero, si può procedere solo con rogatoria internazionale, cosa che raramente accade).
Spero di essere stato utile e, soprattutto, che qualcuno più esperto di me possa correggere qualche errore o, meglio ancora, integrare con altre più utili indicazioni.
Buona Nikon a tutti
Vincenzo

P.S.: ah … dimenticavo … come si evidenzia l’intestazione? Ogni client di posta elettronica (Outlook, Outlook Express, ecc.) ed ogni piattaforma webmail hanno procedure diverse. Solitamente si deve ricercare la voce “proprietà messaggio” oppure “mostra proprietà” o altre analoghe voci di menu.

Sei stato utilissimo ai più, e te lo dice un (ex) informatico ultraventennale. Però, nel 95% dei casi, basta già leggere la grammatica per capire

Grazie, Marco.
Lo so, spesso basta la grammatica, ma mi serviva proprio un caso di indiscussa evidenza per vincere possibili dubbi da parte di chi legge.
La cosa triste è che - nonostante l'uso dei traduttori automatici che danno un pessimo italiano - dalle mie parti il trend è in aumento, con casi limite che vanno oltre i 2.000 Euro di danno.
E, nei casi di phishing, il rimborso da parte della banca non sempre è garantito .
Vincenzo

Buongiorno....

Discussione più che interessante, forse un pelino troppo dettagliata per i non addetti ai lavori, alle cui "attenzioni" mirano proprio gli scatenatissimi malfattori.

Una nostra amica, titolare dell'Ufficio Legale di un noto Ente di ricerca, di recente ha dovuto vivere una esperienza poco simpatica, quando si sono presentati due Agenti della Polizia Postale per ispezionare i suoi PC in ufficio e poi a casa.

Era semplicemente avvenuto che i soliti noti, appropriatisi (1000 euro a chi scopre come...) dei suoi dati, hanno attivato a suo nome una carta ricaricabile dotata di IBAN presso una delle tante "sale giochi", senza però fornire copia dei documenti (particolare che l'ha salvata da conseguenze penali).

Dopo una "giocata" di convenienza, gli autori, già in possesso di varie carte di credito trafugate a ignari turisti zona Colosseo, hanno riversato sulla carta fasulla circa 80.000 euro, trasferendoli poi ad un conto aperto in Bulgaria.

Morale: quando sapete che vi chiederanno una copia dei documenti di identità per qualsiasi uso, andateci premuniti, sovrastampando in diagonale un vistoso e ingombrante watermark semitrasparente ma colorato, con scritto "FOTOCOPIA AD ESCLUSIVO USO DI PINCOPALLO".

Enti e Uffici Pubblici me le hanno sempre accettate senza problema, dietro un sorridente "...sa com'è, di questi tempi...", un negozio di telefonia ha tentennato un timido "non posso accettarle", al che ho salutato con cortesia. Piuttosto che perdere un cliente m'hanno rincorso in strada...

Idem con una azienda di trasporti pubblici, con una carta di credito diversa dal circuito CartaSI, etc.

D'altronde le (ex facili) truffe di phishing hanno come target persone sprovvedute che si dotano dell'estensione informatica pur non sapendo nemmeno a cosa possa servire, magari vanno in Banca per fare un bonifico o un F24, ma si lasciano svuotare il conto...

Pensare che una volta le truffe avevano un che di romantico...

nonnoGG

PS: vorrei suggerire di NON utilizzare sempre e comunque il tasto REPLICA, altrimenti -per rispondere con due parole- si quota un intero manifesto elettorale...

Grazie per la dritta!
Non ci avevo mai pensato, ma è un’ottima soluzione e provvederò a diffonderla anche tra i colleghi in ufficio, affinché anche loro la mettano in circolazione il più possibile.


Lo so, sembra eccessivamente tecnica, ma in realtà è alla portata di tutti; io, ad esempio, non sono un informatico (pensa un po’ … formazione classica e poi studi giuridici!), e per esigenze di lavoro ho dovuto apprendere qualche piccolo trucco che, nei fatti, funziona egregiamente.
La verità è che ho voluto condividere perché sono stanco … stanco di una realtà ipocrita (quella di una parte della rete) che abusa della “libertà” da sempre riconosciuta ad Internet per frodare il prossimo … stanco di vedere gente di tutte le età, adattatasi a “campare” con il poco che questi tempi di crisi permettono, colpita economicamente da chi non ha mai lavorato e sa frodare il prossimo … stanco dell’ipocrisia di chi fornisce agli enti pubblici ed alle aziende servizi informatici facendosi pagare profumatamente e poi, per propria comodità di gestione, lascia aperte sui router e sui firewall le porte più strane per poter svolgere gli interventi non “on site”, ma comodamente dalla propria scrivania (con grande gioia degli hacker, ovviamente!) … stanco (ma non mi arrendo) di confrontarmi con una realtà di estensione mondiale (il web), che per evidenti ragioni non sempre permette di rendere giustizia a chi la chiede.
Volete la misura del fenomeno? Visitate il sito “zone-h.org” e cliccate sul menu “Archive”: scoprirete in tempo reale quanti siti vengono violati ogni minuto in Italia e nel mondo. E questo è solo uno dei siti che monitorano l’andamento dell’hacking!
E la cosa peggiore in assoluto è che, come Paese, siamo in ritardo anche sulla generazione dei “nativi digitali”, ai quali nemmeno la scuola insegna i più elementari criteri di difesa.
Vincenzo

Spaventoso e allo stesso momento ( per me ..) inconcepibile..Se ho capito bene...
Guardo un degli hacker a caso:HaCkBoy501.
Ha violato per 417 volte siti vari, il 99 % dei casi e' un sito su piattaforna Linux il resto su vecchio Windows.. vuol dire qualcosa ? ( sempre se ho capito bene...) Poi a che pro ? Ho visto che e' stato hackerato anche il sito" figli di un gol minore..." che ci sara' di interessante ?

E questi sono gli hacker “buoni”, che agiscono per motivi “politici” o “filosofici” e si limitano al “defacemant” dei siti (sostituzione della home page).
Poi ci sono quelli “cattivi”, che bucano il sito, criptano i dati e chiedono da 500 euro in su per sbloccarli!
Ecco perché, secondo me, è importante “sapere” e “prevenire”
Vincenzo

Ciao VinMac, un saluto e ben fatto. Ma facce capi', tu stai alla postale per caso?!?!