Data breach, violazioni dei sistemi e degli archivi, massicce operazioni di phishing anche raffinate, come quelle di tipo “spear” (in cui gli hacker si fingono contatti affidabili per ingannare le vittime), semplici ma dannosi malware che succhiano dati ed estremi di carte, conti, account, magari indirizzando a siti dove in buona fede siamo noi stessi a inserire le password. Dove vanno a finire tutte quelle preziose informazioni? In gran parte nel dark web, cioè in vendita negli store di quella porzione non indicizzata della rete, raggiungibile solo con browser anonimi come Tor, dove fra truffe, millantati (e totalmente illegali, ricordiamolo) affari ed effettivo mercimonio numeri di carte di credito, conti PayPal o informazioni come (negli Stati Uniti) numeri di previdenza sociale, ogni pezzo (rubato) della nostra vita ha un prezzo. Talvolta incredibilmente basso.
Quale sia esattamente questo prezzo cerca di stimarlo un’indagine di Comparitech, piattaforma fondata nel 2015 che si occupa di testare, confrontare e consigliare gli utenti su dispositivi e soprattutto servizi tecnologici. Una rete internazionale di circa 30 ricercatori, esperti e sviluppatori che indagano ogni mese su VPN, antivirus, sistemi di protezione e altri argomenti simili. Stavolta hanno messo sotto la lente oltre 40 marketplace del dark web per cercare di capire quanto, davvero, i criminali ricavino dalla ricettazione – perché di questo si tratta – delle nostre informazioni. Alcuni parametri, come il paese di emissione, il plafond delle carte, il saldo al momento del furto e altre informazioni influenzano notevolmente il prezzo finale ai criminali che acquistano – pagando in Bitcoin o altre criptovalute, spesso cadendo a loro volta nelle truffe – quei frammenti di esistenze digitali.
Perché un mercato così florido
Si parte dalle credenziali complete di un individuo (nome indirizzi, e-mail, telefono, dati fiscali e finanziari, firma etc), a cui si associa quasi sempre il numero di previdenza sociale o, altrove, quello delle carte d’identità nazionali. A cosa servono le identità? A mille finalità illecite: ottenere una schermatura in caso di altre attività fraudolente intestando per esempio attività o società alle sfortunate vittime, aprire linee di credito a loro nome, completare i profili per avere accesso ad altri servizi ed effettuare ritiri fisici dagli istituti bancari. Sono solo alcune delle possibilità. Alla pari di quanto avviene con le carte di credito, il valore di un’identità completa sul mercato nero del dark web – che non è il deep web ma un suo sottoinsieme e le cui dimensioni sono state ridimensionate da un’indagine della società di sicurezza Recorded Future – dipende anzitutto dal paese di provenienza.
Le identità statunitensi sono le più economiche, stimate in media 8 dollari l’una, quelle giapponesi, europee e degli Emirati Arabi Uniti sono invece le più care (25 dollari). In mezzo, fra le altre, quelle israeliane (14 dollari), cinesi (15) o messicane (22). Ovviamente non tutti i pacchetti di credenziali sono uguali: più sono ricchi, più il prezzo richiesto può cambiare. In certi casi c’è anche il numero della patente, scansioni dei documenti, estratto conto bancario. Sono elementi che impreziosiscono la refurtiva.
Carte di credito e conti PayPal
Ma il grosso della torta fra le informazioni rubate e rivendute riguarda le carte di credito e i conti PayPal. In questo caso la forchetta si fa ancora più ampia: i prezzi per le carte variano da 11 centesimi di dollaro fino ai quasi mille euro, almeno nell’indagine di Comparitech. Gli account PayPal hackerati, invece, vanno da 5 a 1.767 dollari. Di conseguenza gli ingredienti che influenzano i prezzi si moltiplicano: anzitutto dipende dalla modalità, se si acquistano cioè carte singole o blocchi di numeri di carte, insomma al dettaglio o all’ingrosso. Nel secondo caso si tratta magari di identificativi sottratti in un’unica operazione (si pensi a uno “skimmer” a una pompa di benzina o a un bancomat) o raccolti da una singola violazione.
Ovviamente il prezzo unitario scende all’acquisto in blocco. Anche in questo caso, è il paese di emissione a pesare di più tenendo comunque presente che, secondo Sixgill, due carte rubate su tre sono statunitensi e nessun paese conta più del 10% dei numeri rubati, con la Gran Bretagna alla seconda piazza dei bersagli preferiti. In questo caso si va dunque senza sorprese dal dollaro e mezzo per una carta americana (o i 2,5 per una britannica) agli 8 per una europea passando per i 3 di una turca, i 3,5 di una canadese, i 7 di una neozelandese, messicana, australiana, emiratina o giapponese. Difficile invece valutare il peso del paese per gli account PayPal, in cui l’origine non viene indicata.
Cosa incide sul prezzo
Come con le identità, anche con le carte di credito si ripropone il tema delle informazioni aggiuntive: più il pacchetto è ricco, più i prezzi salgono. D’altronde da un singolo numero di carta di credito un malintenzionato rischia di ricavarci poco, specie se intende utilizzarla online. Servono altri elementi, dal nome al “ccv”, il codice di sicurezza a tre cifre riportato sul retro della carta, fino alla data di scadenza per pensare di poterle usare – sempre che il malcapitato non l’abbia immediatamente bloccata – con facilità. “In realtà – si legge nel rapporto – il singolo numero di carta ha un suo valore. I criminali possono utilizzare speciali hardware per realizzare dei semplici duplicati e utilizzarli fisicamente, nei lettori di bande magnetiche”.
Ovviamente, e questo vale in tutti i casi, le frodi su questi negozi digitali non si contano: “Nonostante non si possa affermare con certezza se gli annunci di un marketplace, o lo stesso marketplace, siano autentici o fraudolenti – aggiunge Bischoff – abbiamo analizzato i feedback lasciati dagli utenti con molta attenzione e verificato che le informazioni fossero aggiornate”.
Altri elementi che influenzano, anche se meno degli altri, il prezzo proposto nei 40 store fuorilegge analizzati è il plafond, cioè il limite massimo di spesa della carta (che in media è 24 volte più alto del prezzo richiesto) mentre per PayPal è ovviamente il saldo (32 volte quello che un cybercriminale pagherebbe). Per questo gli account della piattaforma di pagamento sono più cari delle carte. Fra gli annunci, comunque, c’è di tutto: il rapporto segnala passaporti, patenti di guida, tessere fedeltà delle compagnie aeree (non ci pensiamo ma le miglia sono, a tutti gli effetti, crediti finanziari). E ancora account per le piattaforme di streaming, perfino profili sulle app di appuntamenti, account social (che i criminali acquistano per chiedere poi un riscatto) e carte di debito.
Come difendersi
“Spesso è impossibile sapere se la propria carta di credito sia stata rubata finché non iniziano ad apparire addebiti sull’estratto conto – conclude l’esperto di privacy e Vpn – fortunatamente molte società che emettono le carte di solito rimborsano il denaro legato agli acquisti fraudolenti, quindi il primo modo di difendersi è tenere d’occhio la situazione del conto. Senza ignorare i piccoli addebiti: i criminali spesso effettuano piccole transazioni per verificare se una carta è ancora valida”. E non insospettire il legittimo proprietario.
Fonte La Repubblica
0 Commenti
Scrivi un commento