Non tutti gli scam, ovvero i tentativi di truffa che di solito coinvolgono l’uso di un indirizzo e-mail, richiedono la conoscenza accurata dei linguaggi di programmazione, anzi. In qualche caso basta semplicemente sapere come funziona Internet. L’ultimo episodio, che ha attirato l’attenzione di un super esperto di cybersecurity come Bruce Schneier, è quello che ha scoperto sulla sua pelle James Fisher, un normale cittadino. Ma andiamo con ordine. Serve innanzitutto una premessa, della quale pochi sono a conoscenza: Gmail non prende in considerazione i punti all’interno dei suoi indirizzi di posta. Cioè, gli indirizzi di posta elettronica creati con Gmail come “mario.rossi@gmail.com” si possono tranquillamente scrivere anche in vari altri modi (come ad esempio mariorossi@gmail. com, m.arioross.i@gmail.com, m.a.r.i.o.rossi@gmail.com, eccetera) senza che questo cambi niente: il server di posta di Google accetterà tutto. Non per niente il claim di Google è “The dots don’t matte?’, ovvero “i puntini non contano”. Da semplice caratteristica o comodità questa però può diventare una debolezza, perché gli indirizzi di posta vengono spesso utilizzati per registrarsi a servizi nei quali invece i punti contano, eccome. Proprio questo è il motivo per cui è venuta a galla la truffa che consentiva ad alcuni furbacchioni di guardare Netflix gratuitamente.
Cosa è successo
James H Fisher ha ricevuto una e-mail da Netflix: il tuo account è stato fermato, devi aggiornare le credenziali di pagamento. Si tratta di un messaggio di posta perfettamente lecito, proveniente da Netflix. Fisher stava per aggiornare la carta di credito quando ha notato che i numeri non corrispondevano. E che l’indirizzo di posta non era il suo: james. hfisher@gmail.com anziché jameshfisher@gmail.com. Ma cosa stava succedendo? Il primo punto da capire è che Netflix non sa niente delle “funzionalità” di Gmail. Cioè i due account di posta Gmail james. hfisher@gmail.com e jameshfi- sher@gmail.com sono considerati come due registrazioni diverse. Nel 2013 Fisher si era registrato con il suo indirizzo di posta jameshfisher@gmail.com a Netflix, creando un account. Anni dopo un’altra persona ha creato un account di Netflix con una differente versione dell’indirizzo di email di Fisher, cioè james.hfisher@gmail.com utilizzando una carta prepagata. Attenzione, perché adesso c’è la vera falla di sicurezza di Netflix: il sistema non verifica l’e-mail, cioè non aspetta per attivare il servizio che l’utente risponda all’e-mail di controllo. Visto che le credenziali e un numero di carta di credito ci sono, avvia il servizio. È una scelta consapevole di Netflix per rendere più veloce l’iscrizione. Quando finisce il mese di abbonamento e la carta prepagata risulta vuota, Netflix blocca l’account truffaldino e chiede i soldi via e-mail, ma lo fa inviando il messaggio all’unico vero possessore dell’account Gmail, dato che la posta arriva sempre e comunque a lui. Il malcapitato potrebbe semplicemente non accorgersi di essere vittima di truffa, aggiornare il conto con la carta di credito e sostanzialmente pagare un secondo abbonamento Netflix a uno sconosciuto, per un anno.
Di chi è la colpa?
Uno scam in piena regola, difficile da tracciare, a basso valore economico (circa 10 dollari al mese) e quasi impossibile da scoprire.Le domande che un attacco di questo genere creano sono parecchie: lo scam è responsabilità di Gmail o di Netflix? Schneier, il super-esperto, osserva: «Penso che il problema sia più sottile. È un esempio di due sistemi senza una vera vulnerabilità di sicurezza che, quando si uniscono, creano una vulnerabilità di sicurezza tutta nuova. Quanto più colleghiamo sistemi direttamente tra loro, tante più ne vedremo. E per questa interazione Google/ Netflix, sarà difficile capire a chi dare la colpa e scoprire chi (se qualcuno ce l’ha) abbia la responsabilità di risolverla». Anche secondo Fisher il problema è di entrambi i servizi: Netflix perché non integra un sistema di verifica delle e-mail e Google perché ha pensato di introdurre in Gmail una funzionalità che complica le cose anziché semplificarle, ed è ignorata dalla maggior parte degli utenti base. Nel frattempo anche su Twitter gli ingegneri delle rispettive aziende stanno litigando per capire di chi sia la colpa. Mentre gli ignari utilizzatori rischiano di pagare un account che non è il loro, ci sono due considerazioni da fare. Prima: sarebbe ora di smetterla con i “fuori standard” di Gmail, che creano più problemi che vantaggi. La seconda è un consiglio: monitorare sempre i propri account e servizi, perché lo scammer è in agguato dietro ogni angolo.
Facciamo chiarezza
I forum dedicati ai prodotti di Google sono pieni di messaggi di persone preoccupate per il fatto di ricevere la posta destinata a qualcun altro, il cui indirizzo Gmail ha punti in più o in meno. La verità, come abbiamo sottolineato, è che tutti gli indirizzi del citato Mario Rossi (mario.rossi@gmail. com, mariorossi@gmail.com, m.arioross.i@gmail.com, eccetera) appartengono a lui. Se capita di riceve e-mail destinate a qualcun altro è perché chi ha digitato l’indirizzo ha sbagliato qualche altro elemento (ad esempio ha scritto .com al posto di .it o ha invertito nome e cognome), oppure perché lo stesso proprietario della casella con indirizzo simile non lo ricorda bene, o infine perché stanno cercando di imbrogliarci. Valgono sempre le stesse regole: mai fare clic se non sappiamo di cosa si tratta, mai inserire dati e soprattutto codici di pagamento. Quando abbiamo un dubbio contattiamo l’assistenza clienti.
Questo articolo è stato tratto da Hacker Journal, la rivista degli esperti di sicurezza di Computer Idea. In tutte le edicole o in digitale su: sprea.it/abbonamenti/139
