ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
|
Focus
|
Rubare i dati di un utente mentre naviga su eBay. Un sito spiega come farlo.
Martedì 18 Marzo 2008
autore: Redazione InterTraders Quando si parla di furto di dati personali e utilizzo illecito di un account su
ebay solitamente il primo pensiero corre al phishing via email: messaggi che
ormai con le scuse più fantasiose vengono inviate dai criminali di turno sfruttando ID utente veritieri (v. email a seguire per un esempio
recente e v. nostro precedente approfondimento per una spiegazione del
fenomeno).
I rischi per gli ebayers, tuttavia, non si limitano solo al phishing, ed è cosa
non rara che portali dedicati alla sicurezza informatica periodicamente rendano
noti bug nel codice della piattaforma, o exploits e script
"maligni" che, agendo sull'indirizzo Internet del sito di eBay o sul
contenuto delle singole inserzioni, ne alterano il normale funzionamento e ne
compromettono la sicurezza a scapito e insaputa degli utenti.
Nelle ultime ore falle-internet.de, un portale tedesco dedicato alla
sicurezza informatica (in particolare di eBay), ha reso noto e
illustrato come sia possibile rubare i dati di un ebayer ad insaputa dello
stesso mentre naviga sul portale di aste.
Niente utilizzo di siti clone o pagine web ricostruite ad arte; è
sufficiente avere il browser abilitato all'utilizzo di JavaScript e
il plug-in Flash installato perchè un malintenzionato acquisisca:
- Nome, cognome e indirizzo email dell'ebayer.
- Indirizzo fisico, numero di telefono e restanti dati di registrazione ad
eBay.
- Parte finale dell'eventuale numero di conto corrente bancario e della carta di
credito (di quest'ultima anche la data di scadenza).
- Domanda e risposta segreta per recuperare la password.
- Elenco degli articoli aggiudicati e non aggiudicati.
- Elenco degli articoli osservati.
- Tutta la corrispondenza presente in "I miei messaggi".
Insomma, davvero un "bel colpo" per un criminale...
Ma come è possibile tutto ciò?
Spiegano i responsabili del portale tedesco come l'exploit in questione si
ricolleghi ad una falla presente nel codice della piattaforma di eBay da anni
(!) ed è sufficiente che un utente si colleghi con il proprio ID al sito,
visiti la pagina dell'asta illecita senza premerne alcunchè all'interno e
un'animazione in flash unita alla tecnica del XSS (Cross Site Scripting) permetterebbe la cattura dei dati
visti sopra, come quelli visualizzabili da "Il mio eBay" (contenuti nel cookie
di eBay) all'insaputa dell'utente, trasmettendoli contestualmente al sito del
criminale.
E a quanto pare proprio grazie all'impiego di questa tecnica, sarebbero già
numerosi nel mondo i siti di crackers che offrirebbero a prezzi modici cookies
di eBay "catturati" da vari ebayers.
Certo, la possibilità che un'asta nasconda script malevoli è cosa
risaputa e il fatto che da sempre nelle inserzioni sia permesso agli
utenti di inserire del codice html (v. immagine a seguire)
pone al cracker di turno solo il problema del tipo di codifica o di
forma da utilizzare per bypassarne eventuali controlli da parte del
sito.
Va anche detto però che per truffare un utente non è necessario conoscere la
mole di dati che il portale tedesco è stato in grado di catturare: è
sufficiente ad es. conoscerne anche solo gli oggetti osservati su eBay per
creare un'asta-esca e farlo abboccare.
In questo caso quanto documentato da falle-internet.de lascia alquanto
perplessi: in una prospettiva del genere, infatti, gli unici "apparenti" rimedi
per tutelare l'ebayer consisterebbero nel disabilitare dal browser
l'esecuzione di codice JavaScript o la riproduzione di animazioni in
Flash, cosa che ne comprometterebbe potenzialmente la navigazione su
altri siti.
Esclusi tali rimedi il problema a parer nostro diventa davvero serio, perchè se
all'atto pratico, come visto, acquisire i dati della vittima diventa
relativamente semplice, il criminale di turno deve solo preoccuparsi di
trovare il modo più accattivante per indurre più vittime possibili a visitare
la propria asta.
E gli espedienti a questo punto si sprecano...
Non avete mai pensato ad es. che chi pubblica quelle aste
particolarmente bizzarre in cui l'oggetto in vendita è l'anima dell'ebayer, la
suocera o qualsiasi altra assurdità, vada oltre la semplice ironia e stia
tendendo un tranello a centinaia di ignari ebayers?!?
O peggio, pensate ad un malintenzionato che finge di vendere una moto su
eBay reclamizzandola con un'immagine come questa, magari visibile in Galleria...
Quante potenziali vittime potrebbe trarre in inganno?
A voi la risposta....
Redazione InterTraders
Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?
Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:
In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).
|
|
|
|
Sabato 27 Luglio 2024
