Fregature on-line: il caso Play Sea

Occupandomi di sicurezza informatica, raccontare questo episodio non mi fa fare una gran bella figura, ma d’altra parte serve a dimostrare che nessuno è immune e che non bisogna mai abbassare la guardia.

Si stava avvicinando il compleanno di mia figlia e quindi bisognava scegliere un regalo da parte di mamma e papà, e quando si tratta cercare regali mia moglie è molto più attiva e veloce di me. Quindi solitamente succede che lei trova il giusto regalo (quasi sempre on-line), mi manda il link e io pago. Nel 90% dei casi si tratta di comprare su Amazon, altre volte su siti che accettano pagamenti via PayPal. Stranamente questa volta il link portava ad un sito che chiedeva direttamente la carta di credito, cosa un po’ rara per le mie abitudini di acquisti in rete. Tuttavia, dato che il link me lo aveva mandato una persona fidata ho dato per scontato che fosse un sito affidabile e ho proceduto alla registrazione del mio account e all’acquisto con carta di credito (in realtà una carta prepagata contenente poco più della somma che avevo preventivato di spendere). Risultato: la sessione https seguente il checkout è andata in timeout e a me non è arrivata nessuna conferma dell’acquisto. Tuttavia, riloggandomi sul sito e andando nel mio profilo, risultava che il pagamento (di  circa 146 euro) era andato a buon fine e che l’ordine era in fase “pending”. Segnalo immediatamente l’anomalia scrivendo all’indirizzo indicato per i contatti, aspettando una risposta nel giro di qualche ora. Nel frattempo continuo con i miei acquisti su altri siti (fidati).

Poco più tardi vado a vedere sul sito della mia banca quale era il credito residuo della carta prepagata e mi accorgo che mancavano circa 20 euro più del previsto, tuttavia non potevo ancora controllare il dettaglio delle transazioni (in genere ci vogliono almeno un paio di giorni). Riscrivo al sito presso il quale avevo acquistato il regalo, segnalando anche quest’altra anomalia, mentre fra me e me pensavo “guarda un po’ questi, si sono presi 20 euro di spese di spedizione senza indicarli esplicitamente nell’ordine”.

Passa tutta la giornata e dal sito non ricevo nessuna risposta; in serata iniziano a venirmi un po’ di dubbi e quindi faccio una banalissima ricerca su Google per trovare informazioni sul sito in questione.

TANA! Il sito è stato già indicato come truffaldino e si raccomandava di starne alla larga: Beware of Play Sea at playsea.co.uk – it is a Fraudulent Website

Immediatamente partono le bestemmie e l’autoflagellazione per non aver controllato prima di acquistare. Ovviamente poco dopo ho provveduto a bloccare la carta prepagata (che comunque aveva ormai un credito residuo di pochi euro) e dopo un paio di giorni mi sono recato in questura per sporgere denuncia. Qui purtroppo mi hanno detto che per la denuncia dovevo attendere almeno un paio di settimane, procedendo come se si trattasse di un normale acquisto da contestare per via della mancata ricezione della merce, e che comunque le possibilità di fare qualcosa di concreto erano praticamente nulle trattandosi di un sito registrato all’estero.

A questo punto, l’unica cosa utile che mi restava da fare era quella di scrivere queste due righe nella speranza che aiutino altre persone ad evitare simili fregature. Ecco quindi alcuni banalissimi consigli.

1. Preferite PayPal

Evitate di fare acquisti su tutti quei siti che non permettono pagamenti via PayPal e che richiedono esplicitamente i dati della vostra carta di credito.

2. Cercate recensioni ed opinioni

Se proprio dovete pagare con carta di credito, controllate prima la reputazione del sito facendo un po’ di ricerche on-line.

3. Controllate la data di registrazione

Se non trovate conferme circa l’attendibilità del sito, verificate la data di registrazione del nome a dominio; se è troppo recente, lasciate perdere. Nel mio caso, il nome playsea.co.uk (e il collegato playse.co.uk) era stato registrato pochi giorni prima:

whois playsea.co.uk

Domain name:
 playsea.co.uk

Registrar:
 GoDaddy.com, LLP. [Tag = GODADDY]
 URL: http://uk.godaddy.com

Relevant dates:
 Registered on: 10-Mar-2018
 Expiry date: 10-Mar-2019
 Last updated: 10-Mar-2018

Registration status:
 Registered until expiry date.

Come potete ben vedere, il dominio è stato registrato il 10 marzo 2018. Per fare questa verifica, potete usare il comando whois dalla shell del vostro sistema operativo oppure, se questo comando non lo avete, potete usare il sito Whois.net

4. Controllate il record MX del dominio

Ogni attività on-line che si rispetti ha degli indirizzi email di contatto che appartengono al dominio del proprio sito e quindi designa uno o più mail exchange (server di posta elettronica) specificati dal record MX del dominio. Nel mio caso, i domini playsea.co.uk e playse.co.uk non avevano nessun record MX associato, pur indicando come email di contatto sul sito un indirizzo appartenente al loro dominio. Per controllare il record MX potete usare il comando

dig -t mx nome.del.dominio

Infatti:

dig -t mx playsea.co.uk

; <<>> DiG 9.9.7-P3 <<>> -t mx playsea.co.uk

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10551

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;playsea.co.uk.   IN MX

;; AUTHORITY SECTION:

playsea.co.uk.  600 IN SOA ns59.domaincontrol.com. dns.jomax.net. 2018031000 28800 7200 604800 600

Come vedete, il server DNS non restituisce nessuna risposta (ANSWER: 0). Senza un server di posta indicato con il record MX, la posta non può essere recapitata, e infatti dopo qualche giorno ho iniziato a ricevere le notifiche di mancata consegna dei miei messaggi.

Se non avete il comando dig sul vostro sistema operativo, potete utilizzare il sito web MX ToolBox per fare il lookup del record MX.

5. Controllate il certificato SSL del sito

Se un sito di e-commerce non è protetto da un certificato SSL (e quindi non vedete il lucchetto o la scritta “Sicuro” sulla barra del vostro browser, allora lasciate perdere. Se invece il sito è protetto da un certificato SSL, controllate da chi è stato rilasciato e le informazioni in esso contenute. Se vi sembrano anomale, lasciate perdere.

Nel mio caso, il sito playsea.co.uk era protetto da un certificato SSL rilasciato da Let’s Encrypt, quindi un certificato SSL gratuito non adatto a siti di e-commerce che vogliono risultare affidabili.

Concludendo, nonostante questo articolo sia stato pubblicato il primo di aprile, racconta una storia vera e quindi fate tesoro dei piccoli consigli che vi ho dato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *