La frode via Ebay costituisce l’ultima frontiera del cosiddetto phishing informatico, che sino a poco tempo fa privilegiava soprattutto gli ignari fruitori di sistemi bancari online allo scopo di raccogliere illegalmente una serie di informazioni sensibili ed assolutamente riservate quali dati di carte di credito o password d’accesso a sistemi di home-banking.
Il phishing si caratterizza come un illecito di natura sia civile che penale. Nel primo caso l’art. 122 del D.Lgs. n. 196/2003 (Codice della privacy) inibisce a chiunque la possibilità di utilizzare «una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchi terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente», cioè esattamente il contrario di ciò che pratica il phisher. L’intera attività di quest’ultimo si configura come un illecito trattamento di dati personali in quanto tali informazioni vengono carpite senza che vi sia un effettivo consenso informato dell’interessato, anzi quest’ultimo non è in grado di capire che in realtà le informazioni che riceve dal phisher per convincerlo a recarsi presso il proprio account sono assolutamente false. Da un punto di vista penale l’attività di phishing comporta il compimento di tutta una serie di reati che vanno dalla truffa alla frode informatica senza dimenticare, inoltre, che il phisher, oltre a provocare un danno economico, pone in atto tutta una serie di ulteriori pratiche poco trasparenti per giustificare la movimentazione di danaro dai conti dei legittimi titolari fino a quelli di altri beneficiari.
La tecnica utilizzata per colpire è, generalmente, quella di inviare un’e-mail “ufficiale”, (apparentemente proveniente dal proprio istituto di credito) con cui si informa l’utenza che, a causa di un trasferimento del sito (o per altre ragioni tecniche non meglio specificate) è necessario connettersi al nuovo sito, entrare nella sezione riservata al proprio conto e compilare un apposito Form. Il “nuovo sito” è in realtà una pagina-trappola usata come esca per far abboccare gli ignari pesci (da cui la definizione di “phishing” ossia pescare). I dati e le informazioni carpite vengono utilizzate nei modi più svariati, non ultimo quello di prosciugare conti o utilizzare gli estremi delle proprie carte di credito per acquisti fraudolenti.
Se si pensa che questo tipo di comunicazioni vengono diffuse con una frequenza che raggiunge i livelli di uno spam operato su larga scala, è facile ipotizzare che tra migliaia di e-mail inviate in maniera del tutto casuale ne bastino poche andate a segno per racimolare somme non indifferenti.
La particolarità del sito Ebay, che ha costruito la propria fortuna non solo su un sistema di gestione delle transazioni di tipo quasi esclusivamente elettronico (carte di credito, PayPal) ma anche su un rapporto immediato e diretto tra utenti (che consente di velocizzare e personalizzare le proprie “compravendite”) ha consentito di creare un phishing di nuova generazione che si affianca al classico “ruba-password”. Una prassi in voga presso gli utenti di Ebay è, infatti, quella di concludere l’affare esternamente alle normali aste ricorrendo alla trattativa privata tra venditore e potenziale acquirente. La truffa è di solito articolata nella maniera seguente: il “venditore” contatta tramite il sistema di posta di Ebay il potenziale acquirente (generalmente colui che ha partecipato all’asta senza riuscire a vincerla) specificando che il vincitore ufficiale ha deciso di rinunciare all’oggetto e che pertanto è disponibile a cederlo dietro pagamento di una cifra concordata. L’ignaro utente accetta e provvede al pagamento, senza immaginare che in realtà la stessa ed identica e-mail è stata stata inviata ad altri “pesci” pronti ad abboccare.
La trappola, in questo caso, è certamente più evoluta rispetto alla classica frode di tipo bancario: nell’ultimo caso un po’ di attenzione ed un’analisi attenta del messaggio – generalmente di origine straniera e tradotto in alcuni casi con un italiano un po’ traballante – consente di smascherare la truffa. Inoltre l’esistenza di un sito ufficiale e di indirizzi presso cui richiedere informazioni consente di ottenere tutti le conferme necessarie. Nel caso della finta offerta via Ebay tutto si complica in quanto si tratta di messaggi mascherati da normali comunicazioni da parte di utenti privati cui sono stati precedentemente sottratti username e password attraverso analoghe procedure di phishing o ip spoofing. Naturalmente in questi casi la soluzione migliore è quella di porre massima attenzione nelle proprie transazioni (anche se si tratta di aste di pochi euro) e di verificare la credibilità del venditore attraverso il sistema di feedback di Ebay o contattandolo direttamente prima di provvedere al pagamento. Nel caso in cui si ritenga di essere stati oggetto di phishing occorre provvedere a denunciare l’accaduto presso la più vicina sede di polizia informatica postale. E’ assolutamente fondamentale, per poter consentire delle indagini adeguate, evitare di cancellare la “phishing-email”, il cui header può contenere delle informazioni utili per rintracciare l’origine del messaggio.