L`economia sommersa dei dati
Transcript
L`economia sommersa dei dati
Rapporto L'economia sommersa dei dati Il mercato delle informazioni digitali rubate Sommario Report preparato e redatto da: Introduzione 3 Charles McFarland François Paget Raj Samani Nascosto ma non troppo 4 I dati finanziari 5 Le credenziali di accesso 10 L'accesso ai servizi online 12 Le identità 15 Conclusioni 18 Introduzione Il prezzo dell'apatia che colpisce le vittime di una violazione dei dati e i soggetti le cui informazioni vengono vendute, può essere elevato. I dati sono il "petrolio" dell'economia digitale. Il mercato dei dati personali sta conoscendo un vero e proprio boom: enormi database contenenti le informazioni degli abbonati a vari servizi gonfiano le valutazioni delle società che li possiedono, anche se molte di esse non sono neanche in attivo. Dato che il valore commerciale dei dati personali è in crescita, i criminali informatici hanno da tempo generato un'economia fondata sulla vendita di dati rubati, a chiunque possieda un browser e i mezzi per pagare. Nel Report di McAfee Labs del 2013 Cybercrime Exposed: Cybercrime-as-aService (Il crimine informatico smascherato: il crimine informatico come servizio) dimostrammo come gli attuali strumenti, prodotti e servizi consentono a chiunque di diventare un criminale informatico, a prescindere dalle sue capacità tecniche. Abbiamo proseguito la nostra indagine con Riciclaggio digitale: analisi delle valute online e del loro uso nel cybercrime, che spiegava nel dettaglio le valute virtuali e il modo in cui vengono usate per convertire i dati rubati in denaro. Al momento della pubblicazione di Riciclaggio digitale nel 2013, la pubblicità che seguì l'indagine delle forze dell'ordine su Silk Road fece sapere al mondo che i prodotti illegali possono essere facilmente acquistati online. Tali operazioni svelarono quanto i reati tradizionali si fossero evoluti con l'aiuto del mondo digitale. Il cybercrime smascherato e Riciclaggio digitale si concentravano sugli strumenti che agevolano un attacco. Questo report cerca invece di rispondere alla seguente domanda: cosa succede dopo che una violazione è andata a buon fine? Subito dopo la violazione di Target sono stato coautore di un blog che ricostruiva la vendita delle carte di credito rubate, mostrando che proprio come nell'economia tradizionale, il prezzo delle carte di credito rubate si abbassa con l'arrivo in massa di altre sul mercato. L'esempio di Target è solo la punta dell'iceberg. Il presente documento offre maggiori dettagli su questa economia sommersa dei dati. Raj Samani, CTO di Intel Security per Europa, Medio Oriente e Africa Twitter@Raj_Samani Twitter@McAfee_Labs Condividi questo report L'economia sommersa dei dati | 3 Nascosto ma non troppo Il titolo di questo report indica che esiste una porta per il mercato nero dei prodotti più nefasti, segreta e inaccessibile per noi profani. In realtà, tale mercato non è così ben nascosto come immaginiamo, e di certo non richiede la conoscenza a priori di un retrobottega per affari illeciti. Cybercrime Exposed: Cybercrime-as-a-Service (Il crimine informatico smascherato: il crimine informatico come servizio) mette in evidenza la facilità di accesso a tali prodotti, strumenti e servizi per chiunque possieda un browser. Non intendiamo ribadire i concetti di quel precedente rapporto, tuttavia, da quando venne scritto due anni fa, c'è stata un'evoluzione. Cosa è cambiato? Il mercato nero si è espanso fino a vendere o affittare qualsiasi prodotto per il cybercrime. Avevamo previsto giustamente che la crescita del modello "as-a-service" sarebbe stata la spinta principale alla crescita del cybercrime. Il Report McAfee Labs sulle minacce: maggio 2015, pubblicato di recente, presenta le prove al riguardo, che sono legate all'ascesa del ransomware CTB-Locker. Nell'ambito della loro strategia commerciale, gli autori di CTB-Locker hanno messo in piedi un programma di affiliazione: i membri usano i propri botnet per inviare spam alle potenziali vittime e, per ogni infezione in seguito alla quale viene pagato un riscatto, l'affiliato percepisce una percentuale. La crescita dell'economia "as-a-service" in tutti i componenti di un attacco (ricerca, strumenti di cybercrime e infrastruttura) non si ferma, tanto meno l'"hacking-as-a-service", che mette a disposizione i mezzi per rubare i dati. Il prezzo dell'apatia che colpisce le vittime di una violazione dei dati e i soggetti le cui informazioni vengono vendute, può essere elevato. Purtroppo un effetto collaterale dell'informarsi in merito è l'"affaticamento da violazioni dei dati", che è un eufemismo per "apatia". Il recente articolo I feel nothing: The Home Depot Hack and Data Breach Fatigue (Non mi importa nulla: la violazione di Home Depot e l'affaticamento da violazioni dei dati) offre un ottimo esempio: "Dato che le banche hanno la responsabilità di tutelarci in caso di abuso delle nostre carte di credito, che vengono semplicemente sostituite (fastidioso, ma non ti cambia la vita), anch'io reagisco a queste notizie come voi: con un'alzata di spalle", scrive l'autrice. Benché la disillusione possa essere comprensibile, dato il flusso continuo di comunicati e notizie sul furto di milioni di dati, è importante ricordare che si tratta di dati che ci riguardano. Le nostre informazioni vengono vendute alla luce del sole e le singole ripercussioni possono giungere solo dopo qualche tempo. È per questo che pubblichiamo questo report: per combattere l'apatia. Non vogliamo spaventare nessuno, ma piuttosto spiegare perché noi come società dovremmo preoccuparci del ricevere così tante notizie di violazioni, mentre prendiamo in considerazione le misure preventive per ridurre le probabilità di caderne vittima. Un ultimo commento: non sappiamo se i tanti esempi inclusi in questo report sono autentici o sono legati in qualche modo ai marchi, come affermano i venditori. È però vero che l'eccellente reputazione di marchi così famosi viene spesso utilizzata dai ladri come base per promuovere queste frodi online. L'economia sommersa dei dati | 4 I dati finanziari La vendita di dati finanziari sottratti è un argomento relativamente ampio, data la molteplicità dei tipi in vendita e dei mercati, che vanno dal web visibile tramite un normale browser al "web oscuro" accessibile con altri metodi. I furti dei dati finanziari, in particolare quelli delle carte di pagamento, continua a fare notizia. La sottrazione di tali informazioni, che colpisce particolarmente i commercianti, si conclude inevitabilmente con la loro comparsa nel web visibile. Il prezzo delle carte di pagamento, messe a disposizione in questi mercati, varia in base a numerosi fattori. La tabella seguente ne riporta alcuni. Le categorie consistono nelle informazioni disponibili insieme al numero della carta di pagamento: ■■ ■■ "CVV" è l'acronimo del codice di verifica della carta. CVV1 è il codice univoco a tre cifre contenuto nella banda magnetica della carta. CVV2 è il codice a tre cifre stampato sul retro della carta. "Generato da software" è una combinazione valida di numero di account primario (PAN), data di scadenza e codice CVV2 che è stata generata dal software. I generatori di numeri di carte di credito possono essere acquistati o reperiti gratuitamente online. Poiché è molto semplice trovare questi strumenti, le combinazioni che vengono generate non hanno alcun valore di mercato. Numero della carta di pagamento con codice CVV2 Casuale Stati Uniti ■■ ■■ "Random" (casuale) fa riferimento a un numero di carta scelto casualmente all'interno di un database violato. Ed è casuale in merito a banca e tipo di carta. "Fullzinfo" significa che il venditore fornisce tutti i dettagli della carta e del suo proprietario, come nome completo, indirizzo di fatturazione, numero della carta di pagamento, data di scadenza, codice PIN, codice fiscale, cognome da nubile della madre, data di nascita e CVV2. Occasionalmente sono in vendita altre informazioni. Se i dati delle carte di pagamento riportano "con COB" significa che includono anche i nomi utente e password associati. Con queste credenziali, il compratore può modificare l'indirizzo di spedizione o di fatturazione oppure aggiungerne degli altri. Alcuni venditori però non forniscono i dati acquistati. Dopo tutto, a chi dovrebbe sporgere reclamo un acquirente nel caso di mancata consegna di informazioni rubate? Comunque, come illustrato dall'immagine seguente, molti venditori inviano i dati delle carte rubate insieme a tutte le informazioni associate. Regno Unito Canada Australia Unione Europea 5 $–8 $ 20 $–25 $ 20 $–25 $ 21 $–25 $ 25 $–30 $ Con identificativo bancario 15 $ 25 $ 25 $ 25 $ 30 $ Con data di nascita 15 $ 30 $ 30 $ 30 $ 35 $ Con Fullzinfo 30 $ 35 $ 40 $ 40 $ 45 $ Stima dei prezzi, in dollari americani, per i dati di ogni carta di pagamento rubata (Visa, MasterCard, Amex, Discover). Fonte: McAfee Labs Condividi questo report L'economia sommersa dei dati | 5 Dati di una carta di pagamento con le informazioni aggiuntive. Gli acquirenti hanno molte opzioni, fra cui l'origine geografica della carta e il credito disponibile. Entrambe le opzioni determinano il prezzo di una carta, come si può vedere nella tabella seguente. Dump di tracce con credito elevato Prezzo Track 1&2: Bancomat con PIN Stati Uniti 110 $ Track 1&2: Bancomat con PIN Regno Unito 160 $ Track 1&2: Bancomat con PIN Canada 180 $ Track 1&2: Bancomat con PIN Australia 170 $ Track 1&2: Bancomat con PIN Unione Europea 190 $ Prezzi dei dump delle tracce per carta. Fonte: McAfee Labs Il termine dump indica le informazioni copiate elettronicamente dalla banda magnetica presente sul retro delle carte di credito e di debito. Le bande magnetiche delle carte contengono due tracce di dati (Track 1 e Track 2). La Track 1 è alfanumerica e contiene il nome e il numero di conto del cliente. La Track 2 è solo numerica e contiene il numero di conto, la data di scadenza, il codice CVV1 e altri dati a discrezione dell'istituto di credito. Condividi questo report L'economia sommersa dei dati | 6 I prezzi di listino variano in base a disponibilità, credito e validità. Alcuni di questi fattori sono indicati nell'immagine seguente. Listini delle carte di pagamento. Come illustrato dall'immagine precedente, gli acquirenti hanno molte opzioni. La vendita dei dati delle carte di pagamento è comune ed è stata ben documentata in una recente serie di blog McAfee. Comunque, le carte di pagamento non sono il tipo di dati finanziari presi solitamente di mira e conseguentemente venduto sul mercato aperto. Analogamente anche gli account di un servizio di pagamento online vengono venduti liberamente, a un prezzo determinato da ulteriori fattori, però notevolmente più limitati di quelli delle carte di pagamento. Qui il saldo è l'unico fattore che influenza veramente il prezzo, come si vede nella tabella seguente. Condividi questo report L'economia sommersa dei dati | 7 Saldo servizio di pagamento online Prezzo stimato per account 400 $ – 1000 $ 20 $ – 50 $ 1000 $ – 2500 $ 50 $ – 120 $ 2500 $ – 5000 $ 120 $ – 200 $ 5000 $ – 8000 $ 200 $ – 300 $ Account di un servizio di pagamento online in vendita. Fonte: McAfee Labs I prezzi in questa tabella sono delle stime. Abbiamo visto molti esempi di servizi in vendita, i cui prezzi non ricadono in queste fasce. Viene offerto di tutto. Nelle seguenti immagini vediamo dei bonifici interbancari in vendita, oltre alla disponibilità di credenziali di accesso per il banking. Esempio di credenziali di accesso bancarie in vendita. Condividi questo report L'economia sommersa dei dati | 8 Esempio di dati di accesso bancari in vendita. La validità delle offerte è sempre sospetta, in quanto ci sono molti che pagano per i dati finanziari rubati e poi non ricevono quanto si attendevano. Un venditore fa riferimento a questo oltraggio per i ladri nel suo messaggio promozionale: “ARE YOU FED UP OF BEING SCAMMED, AND RIPPED? ARE YOU TIRED OF SCAMMERS WASTING YOUR TIME, ONLY TO STEAL YOUR HARD-EARNED MONEY?” Questo specifico venditore, anche se non offre carte di credito in prova gratuita agli acquirenti, prevede una garanzia di sostituzione per qualsiasi carta che non abbia il credito pubblicizzato. Altri metodi per assicurare l'onestà di un venditore includono l'uso della convalida sociale, tramite i commenti positivi degli altri compratori. I forum sono pieni di consigli utili provenienti da acquirenti soddisfatti, anche sui venditori da evitare. “Hey man, don’t know if you know this, but pulled a exit scam on evo? as far as i know, he pulled an exit scam, then he came back saying his friends had screwed him over, asked people to pay like 4BTC to join his official priviate reselling club. he then just disspeared again. in fact theres a guy called Underwebfullz (or somthing like that) whos doing the same thing on alpahbay, so people think its him” I venditori che impiegano tecniche sofisticate di vendita e marketing si avvalgono di YouTube per pubblicizzare la propria mercanzia ai potenziali clienti. I filmati cercano spesso di confermare l'affidabilità ai possibili clienti, anche se tali metodi possono essere controproducenti a causa dei commenti associati ai video. Condividi questo report L'economia sommersa dei dati | 9 Le credenziali di accesso Altri tipi di dati in vendita comprendono le credenziali di accesso alle reti affidabili delle organizzazioni. Sono di svariati tipi, da un accesso diretto molto semplice (come le credenziali), a quelli che richiedono un certo grado di competenza tecnica per l'esecuzione (come le vulnerabilità). Nella seguente immagine possiamo vedere le vulnerabilità a disposizione, che permettono ai potenziali acquirenti di accedere ai sistemi di banche e compagnie aeree situate in Europa, Asia e Stati Uniti. Esempio di un accesso ai sistemi di banche e compagnie aeree in vendita. Come nel caso dei dati finanziari, i venditori danno ai potenziali compratori una qualche prova della bontà delle loro offerte. Una recente ricerca dell'esperto di cybercrime Idan Aharoni indica che i tipi di sistemi per i quali viene venduto l'accesso includono ora le infrastrutture critiche. Nel suo articolo SCADA Systems Offered for Sale in the Underground Economy (Sistemi SCADA in vendita nell’economia sommersa) Aharoni porta un esempio nel quale un venditore forniva una schermata apparentemente proveniente da un generatore idroelettrico francese, come prova del fatto che vi poteva accedere. L'economia sommersa dei dati | 10 Schermata proveniente, a detta del venditore, da un generatore idroelettrico francese e usata come prova di accesso al sistema SCADA di un'infrastruttura critica. Come in altri esempi, un compratore può chiedersi se l'accesso offerto sia veramente valido. Non dovrebbe essere particolarmente difficile fabbricare una schermata che simuli un accesso eppure questo tipo di messaggi rappresenta una tendenza preoccupante (come sottolinea Aharoni). In vendita ci sono anche i dati aziendali rubati. Nella figura seguente vediamo messi in vendita i dati rubati a un'università. Esempio di informazioni sottratte a un'università e messe in vendita. Condividi questo report L'economia sommersa dei dati | 11 L'accesso ai servizi online Molte persone si abbonano a servizi digitali di musica, video, a programmi fedeltà e altri. Dato che tali account sono relativamente economici, si potrebbe pensare che le loro informazioni non siano abbastanza redditizie. Invece, la vasta offerta di tali account su numerosi mercati indica che sono ricercati dai potenziali clienti. Quando un account rubato viene compromesso, il legittimo proprietario può subire svariati tipi di impatto. L'account può venire sospeso o chiuso a causa dell'attività illecita svolta dal compratore, che a volte causa un'ondata di chiamate all'assistenza per varie settimane. Una vittima potrebbe anche subire delle perdite economiche per l'acquisto di beni con i dati della carta di credito memorizzati oppure perdere il diritto ai premi per i punti fedeltà accumulati nel periodo di validità dell'account. Ma ci sono anche delle circostanze peggiori, in cui l'impatto è inquietante. L'immagine seguente mostra un esempio di account di servizi online in vendita. Esempio di account di streaming video online in vendita. Condividi questo report L'economia sommersa dei dati | 12 Gli utenti dei servizi di streaming video online sono le uniche vittime? Niente affatto. La triste realtà è che sono a disposizione gli accessi per pressoché ogni servizio online immaginabile. Abbiamo trovato un altro account di un servizio di streaming video online in vendita per 55 centesimi di dollaro. Dato che i singoli account dei servizi digitali vengono venduti per meno di un dollaro, i criminali devono movimentare un gran numero di account online per far rendere le proprie attività. Altri account di servizi di streaming video online in vendita per meno di 1 dollaro. Molti servizi di intrattenimento in streaming online vengono comunemente venduti. Per meno di 10 dollari si possono trovare gli account di HBO NOW e HBO GO, oltre a altri servizi televisivi via cavo in streaming. È chiaro che tali servizi siano molto richiesti. Anche servizi di streaming di eventi sportivi sono acquistabili per 15 dollari. Abbiamo trovato in vendita anche altri account online, come gli abbonamenti perpetui ad account pornografici premium, oltre che i link di referral gratuiti al mercato nero su web Agora. Esempio di accesso a un account HBO GO in vendita. Condividi questo report I ladri informatici vendono gli account Marvel Unlimited per fornire un accesso economico ai fumetti digitali. L'economia sommersa dei dati | 13 Anche gli account gratuiti attirano i criminali. L'immagine seguente mostra un conto fedeltà di un albergo con 100.000 punti, in vendita per 20 dollari. I clienti aprono questi conti legittimamente senza costi, eppure hanno un mercato, che comporta la perdita dei punti accumulati a volte nel corso di anni. Vengono venduti anche i programmi fedeltà degli alberghi. Una motivazione per l'acquisto di accessi rubati degli account online è quella di nascondere la reputazione del compratore, a causa di pratiche commerciali scorrette o di frodi vere e proprie. Chiunque desideri acquisire una nuova identità su community di aste online può arrivare a pagare somme ingenti, perché un account solido con un'ottima reputazione è prezioso. Un account di aste online in vendita. Per esigenze meno stringenti, gli account di aste online sono disponibili in pacchetti da 100 di diversi tipi. Un sito di vendita di carte di credito che offre accesso anche agli account di aste online. L'economia sommersa dei dati | 14 Le identità La vendita dell'identità di una vittima è la categoria più inquietante, perché si tratta dei dati personali. Intel Security ha di recente collaborato con le forze dell'ordine europee per disattivare il botnet Beebone. Questo botnet era in grado di scaricare il malware – fra cui i programmi ZBot per il furto delle password bancarie, i rootkit Necurs e ZeroAccess, gli spambot Cutwail, gli antivirus falsi e il ransomware – sui sistemi degli utenti ignari. Siamo rimasti sconcertati dalla mancanza di azioni correttive da parte degli utenti, in particolare di quelli situati al di fuori di Stati Uniti ed Europa. Secondo il blog di Raj Samani su questo argomento un'ampia fetta della società non protegge adeguatamente i propri dati, spesso con conseguenze non trascurabili. Nell'immagine seguente abbiamo un esempio di identità digitale rubata dai ladri informatici. Un potenziale compratore potrebbe assumere il controllo della vita digitale di questa persona: socialmedia, posta elettronica e altro (queste informazioni sono state comunicate alla polizia britannica). Esempio di un'identità in vendita. L'esempio precedente, benché ricco di informazioni, richiede all'acquirente di vagliare una gran quantità di testo. Alcuni venditori offrono però un'interfaccia grafica per attirare i compratori. L'esempio seguente permette ai compratori di scegliere gli individui in base ai loro account di posta elettronica, che è il primo passo per prendere il controllo di altre parti della vita delle vittime. Condividi questo report L'economia sommersa dei dati | 15 Questo servizio consente ai compratori di scegliere facilmente un profilo. Strettamente legato al mercato delle identità rubate è quello delle informazioni mediche ottenute illecitamente. Tali dati non sono facili da comprare come quelli delle carte di pagamento, tuttavia sono online anche i venditori di informazioni mediche. Brian Krebs, giornalista esperto di sicurezza, ne ha parlato nel suo articolo "A Day in the Life of a Stolen Healthcare Record" (La giornata tipo di un registro sanitario rubato), in cui "un truffatore aveva trafugato un file di testo di grandi dimensioni contenente nomi, indirizzi, codici fiscali e altri dati sensibili su decine di medici di tutto il paese" (vedere l'immagine seguente). Un esempio di informazioni rubate da un servizio sanitario e messe in vendita. Fonte: Krebs on Security Condividi questo report L'economia sommersa dei dati | 16 Anche se gran parte di questo report mette in evidenza la vendita di dati rubati, a volte questi ultimi vengono diffusi gratuitamente. Nell'immagine seguente, il collettivo di hacker Rex Mundi ha divulgato i dati identificativi dei pazienti perché la società Labio si è rifiutata di pagare un riscatto di 20.000 euro. Gli hacker hanno rivelato le informazioni private dei clienti per punire l'azienda sanitaria, colpevole di non aver pagato il riscatto. Condividi questo report L'economia sommersa dei dati | 17 Conclusioni Gli esempi dell'economia sommersa dei dati, inclusi in questo rapporto, rappresentano solo la punta dell'iceberg. Abbiamo omesso molte altre categorie e servizi, ma speriamo che questi esempi abbiano fatto chiarezza sulla portata della minaccia. In questo report abbiamo preso in esame i dati rubati e messi in vendita. I criminali informatici acquistano però anche i prodotti che consentono di perpetrare gli attacchi. Ciò comprende l'acquisto e il noleggio di exploit e kit di exploit che stanno alimentando un numero enorme di infezioni in tutto il mondo. Una catalogazione delle offerte è impossibile perché aumentano a un ritmo eccezionale. Quando leggiamo delle violazioni dei dati, l'industria del crimine informatico sembra così lontana dalla vita quotidiana che si viene tentati di ignorare la notizia. Comunque, il cybercrime non è altro che un'evoluzione del crimine tradizionale. Per combatterlo dobbiamo vincere l'apatia e prestare attenzione ai consigli per la lotta al malware e alle altre minacce. Altrimenti, le informazioni della nostra vita digitale potrebbero essere rivendute a chiunque possegga una connessione Internet. L'economia sommersa dei dati | 18 Informazioni su McAfee Labs Segui McAfee Labs McAfee Labs è una delle principali fonti mondiali per la ricerca sulle minacce, informazioni sulle minacce e leadership strategica sulla sicurezza informatica. Grazie ai dati provenienti da milioni di sensori sui principali vettori di minaccia principali - file, web, messaggi e rete - McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. www.mcafee.com/it/mcafee-labs.aspx A proposito di Intel Security McAfee è ora parte di Intel Security. Con la propria strategia Security Connected, l'approccio innovativo alla sicurezza potenziata dall'hardware e l'ineguagliato servizio Global Threat Intelligence, Intel Security è impegnata senza sosta nello sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che proteggono sistemi, reti e dispositivi portatili per l'utilizzo aziendale e personale a livello mondiale. Intel Security combina l'esperienza e la competenza di McAfee con l'innovazione e le prestazioni comprovate di Intel per rendere la sicurezza un ingrediente essenziale di ogni architettura e di ogni piattaforma di elaborazione. La missione di Intel Security è di assicurare a chiunque la tranquillità di vivere e lavorare in modo sicuro e protetto nel mondo digitale. www.intelsecurity.com McAfee. Part of Intel Security. Via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.intelsecurity.com Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee. Le informazioni qui contenute sono soggette a modifica senza preavviso e vengono fornite "come sono" senza garanzia o assicurazione relativamente all'accuratezza o all'applicabilità delle informazioni a situazioni o a circostanze specifiche. Intel e i loghi Intel e McAfee sono marchi di Intel Corporation o McAfee, Inc. negli Stati Uniti e/o in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright © 2015 McAfee, Inc. 62122rpt_hidden-data_1215