L`economia sommersa dei dati

Transcript

Rapporto
L'economia
sommersa
dei dati
Il mercato delle informazioni
digitali rubate
Sommario
Report preparato e redatto da:
Introduzione
3
Charles McFarland
François Paget
Raj Samani
Nascosto ma non troppo
4
I dati finanziari
5
Le credenziali di accesso
10
L'accesso ai servizi online
12
Le identità
15
Conclusioni
18
Introduzione
Il prezzo dell'apatia che colpisce
le vittime di una violazione
dei dati e i soggetti le cui
informazioni vengono vendute,
può essere elevato.
I dati sono il "petrolio" dell'economia digitale. Il mercato dei dati personali sta
conoscendo un vero e proprio boom: enormi database contenenti le informazioni
degli abbonati a vari servizi gonfiano le valutazioni delle società che li possiedono,
anche se molte di esse non sono neanche in attivo. Dato che il valore commerciale
dei dati personali è in crescita, i criminali informatici hanno da tempo generato
un'economia fondata sulla vendita di dati rubati, a chiunque possieda un browser
e i mezzi per pagare.
Nel Report di McAfee Labs del 2013 Cybercrime Exposed: Cybercrime-as-aService (Il crimine informatico smascherato: il crimine informatico come servizio)
dimostrammo come gli attuali strumenti, prodotti e servizi consentono a chiunque
di diventare un criminale informatico, a prescindere dalle sue capacità tecniche.
Abbiamo proseguito la nostra indagine con Riciclaggio digitale: analisi delle valute
online e del loro uso nel cybercrime, che spiegava nel dettaglio le valute virtuali
e il modo in cui vengono usate per convertire i dati rubati in denaro. Al momento
della pubblicazione di Riciclaggio digitale nel 2013, la pubblicità che seguì
l'indagine delle forze dell'ordine su Silk Road fece sapere al mondo che i prodotti
illegali possono essere facilmente acquistati online. Tali operazioni svelarono
quanto i reati tradizionali si fossero evoluti con l'aiuto del mondo digitale.
Il cybercrime smascherato e Riciclaggio digitale si concentravano sugli strumenti
che agevolano un attacco. Questo report cerca invece di rispondere alla seguente
domanda: cosa succede dopo che una violazione è andata a buon fine?
Subito dopo la violazione di Target sono stato coautore di un blog che ricostruiva
la vendita delle carte di credito rubate, mostrando che proprio come nell'economia
tradizionale, il prezzo delle carte di credito rubate si abbassa con l'arrivo in massa
di altre sul mercato. L'esempio di Target è solo la punta dell'iceberg. Il presente
documento offre maggiori dettagli su questa economia sommersa dei dati.
Raj Samani, CTO di Intel Security per Europa, Medio Oriente e Africa
Twitter@Raj_Samani
Twitter@McAfee_Labs
Condividi questo report
L'economia sommersa dei dati | 3
Nascosto ma non troppo
Il titolo di questo report indica che esiste una porta per il mercato nero dei
prodotti più nefasti, segreta e inaccessibile per noi profani. In realtà, tale
mercato non è così ben nascosto come immaginiamo, e di certo non richiede
la conoscenza a priori di un retrobottega per affari illeciti. Cybercrime Exposed:
Cybercrime-as-a-Service (Il crimine informatico smascherato: il crimine
informatico come servizio) mette in evidenza la facilità di accesso a tali prodotti,
strumenti e servizi per chiunque possieda un browser. Non intendiamo ribadire
i concetti di quel precedente rapporto, tuttavia, da quando venne scritto due
anni fa, c'è stata un'evoluzione.
Cosa è cambiato? Il mercato nero si è espanso fino a vendere o affittare qualsiasi
prodotto per il cybercrime. Avevamo previsto giustamente che la crescita
del modello "as-a-service" sarebbe stata la spinta principale alla crescita del
cybercrime. Il Report McAfee Labs sulle minacce: maggio 2015, pubblicato di
recente, presenta le prove al riguardo, che sono legate all'ascesa del ransomware
CTB-Locker. Nell'ambito della loro strategia commerciale, gli autori di CTB-Locker
hanno messo in piedi un programma di affiliazione: i membri usano i propri
botnet per inviare spam alle potenziali vittime e, per ogni infezione in seguito
alla quale viene pagato un riscatto, l'affiliato percepisce una percentuale.
La crescita dell'economia "as-a-service" in tutti i componenti di un attacco
(ricerca, strumenti di cybercrime e infrastruttura) non si ferma, tanto meno
l'"hacking-as-a-service", che mette a disposizione i mezzi per rubare i dati.
Il prezzo dell'apatia che colpisce le vittime di una violazione dei dati e i soggetti
le cui informazioni vengono vendute, può essere elevato.
Purtroppo un effetto collaterale dell'informarsi in merito è l'"affaticamento da
violazioni dei dati", che è un eufemismo per "apatia". Il recente articolo I feel nothing:
The Home Depot Hack and Data Breach Fatigue (Non mi importa nulla: la violazione
di Home Depot e l'affaticamento da violazioni dei dati) offre un ottimo esempio:
"Dato che le banche hanno la responsabilità di tutelarci in caso di abuso delle
nostre carte di credito, che vengono semplicemente sostituite (fastidioso,
ma non ti cambia la vita), anch'io reagisco a queste notizie come voi:
con un'alzata di spalle", scrive l'autrice.
Benché la disillusione possa essere comprensibile, dato il flusso continuo di
comunicati e notizie sul furto di milioni di dati, è importante ricordare che si tratta
di dati che ci riguardano. Le nostre informazioni vengono vendute alla luce del
sole e le singole ripercussioni possono giungere solo dopo qualche tempo.
È per questo che pubblichiamo questo report: per combattere l'apatia.
Non vogliamo spaventare nessuno, ma piuttosto spiegare perché noi come
società dovremmo preoccuparci del ricevere così tante notizie di violazioni,
mentre prendiamo in considerazione le misure preventive per ridurre le
probabilità di caderne vittima.
Un ultimo commento: non sappiamo se i tanti esempi inclusi in questo report
sono autentici o sono legati in qualche modo ai marchi, come affermano
i venditori. È però vero che l'eccellente reputazione di marchi così famosi viene
spesso utilizzata dai ladri come base per promuovere queste frodi online.
I dati finanziari
La vendita di dati finanziari sottratti è un argomento
relativamente ampio, data la molteplicità dei tipi in vendita
e dei mercati, che vanno dal web visibile tramite un normale
browser al "web oscuro" accessibile con altri metodi.
I furti dei dati finanziari, in particolare quelli delle carte di
pagamento, continua a fare notizia. La sottrazione di tali
informazioni, che colpisce particolarmente i commercianti,
si conclude inevitabilmente con la loro comparsa nel
web visibile. Il prezzo delle carte di pagamento, messe
a disposizione in questi mercati, varia in base a numerosi
fattori. La tabella seguente ne riporta alcuni.
Le categorie consistono nelle informazioni disponibili
insieme al numero della carta di pagamento:
■■
■■
"CVV" è l'acronimo del codice di verifica della
carta. CVV1 è il codice univoco a tre cifre
contenuto nella banda magnetica della carta.
CVV2 è il codice a tre cifre stampato sul retro
della carta.
"Generato da software" è una combinazione
valida di numero di account primario (PAN),
data di scadenza e codice CVV2 che è stata
generata dal software. I generatori di
numeri di carte di credito possono essere
acquistati o reperiti gratuitamente online.
Poiché è molto semplice trovare questi
strumenti, le combinazioni che vengono
generate non hanno alcun valore di mercato.
Numero della carta di
pagamento con codice CVV2
Casuale
Stati Uniti
■■
■■
"Random" (casuale) fa riferimento a un numero
di carta scelto casualmente all'interno di
un database violato. Ed è casuale in merito
a banca e tipo di carta.
"Fullzinfo" significa che il venditore fornisce
tutti i dettagli della carta e del suo proprietario,
come nome completo, indirizzo di fatturazione,
numero della carta di pagamento, data di
scadenza, codice PIN, codice fiscale, cognome
da nubile della madre, data di nascita e CVV2.
Occasionalmente sono in vendita altre informazioni.
Se i dati delle carte di pagamento riportano "con COB"
significa che includono anche i nomi utente e password
associati. Con queste credenziali, il compratore può
modificare l'indirizzo di spedizione o di fatturazione
oppure aggiungerne degli altri.
Alcuni venditori però non forniscono i dati acquistati.
Dopo tutto, a chi dovrebbe sporgere reclamo un acquirente
nel caso di mancata consegna di informazioni rubate?
Comunque, come illustrato dall'immagine seguente,
molti venditori inviano i dati delle carte rubate insieme
a tutte le informazioni associate.
Regno Unito
Canada
Australia
Unione
Europea
5 $–8 $
20 $–25 $
20 $–25 $
21 $–25 $
25 $–30 $
Con identificativo bancario
15 $
25 $
25 $
25 $
30 $
Con data di nascita
15 $
30 $
30 $
30 $
35 $
Con Fullzinfo
30 $
35 $
40 $
40 $
45 $
Stima dei prezzi, in dollari americani, per i dati di ogni carta di pagamento rubata
(Visa, MasterCard, Amex, Discover).
Fonte: McAfee Labs
Dati di una carta di pagamento con le informazioni aggiuntive.
Gli acquirenti hanno molte opzioni, fra cui l'origine geografica della carta e il
credito disponibile. Entrambe le opzioni determinano il prezzo di una carta,
come si può vedere nella tabella seguente.
Dump di tracce con credito elevato
Prezzo
Track 1&2: Bancomat con PIN Stati Uniti
110 $
Track 1&2: Bancomat con PIN Regno Unito
160 $
Track 1&2: Bancomat con PIN Canada
180 $
Track 1&2: Bancomat con PIN Australia
170 $
Track 1&2: Bancomat con PIN Unione Europea
190 $
Prezzi dei dump delle tracce per carta.
Fonte: McAfee Labs
Il termine dump indica le informazioni copiate elettronicamente dalla banda
magnetica presente sul retro delle carte di credito e di debito. Le bande
magnetiche delle carte contengono due tracce di dati (Track 1 e Track 2).
La Track 1 è alfanumerica e contiene il nome e il numero di conto del cliente.
La Track 2 è solo numerica e contiene il numero di conto, la data di scadenza,
il codice CVV1 e altri dati a discrezione dell'istituto di credito.
I prezzi di listino variano in base a disponibilità, credito e validità. Alcuni di questi
fattori sono indicati nell'immagine seguente.
Listini delle carte di pagamento.
Come illustrato dall'immagine precedente, gli acquirenti hanno molte opzioni.
La vendita dei dati delle carte di pagamento è comune ed è stata ben documentata
in una recente serie di blog McAfee. Comunque, le carte di pagamento non sono
il tipo di dati finanziari presi solitamente di mira e conseguentemente venduto sul
mercato aperto. Analogamente anche gli account di un servizio di pagamento online
vengono venduti liberamente, a un prezzo determinato da ulteriori fattori, però
notevolmente più limitati di quelli delle carte di pagamento. Qui il saldo è l'unico
fattore che influenza veramente il prezzo, come si vede nella tabella seguente.
Saldo servizio di pagamento
online
Prezzo stimato per account
400 $ – 1000 $
20 $ – 50 $
1000 $ – 2500 $
50 $ – 120 $
2500 $ – 5000 $
120 $ – 200 $
5000 $ – 8000 $
200 $ – 300 $
Account di un servizio di pagamento online in vendita.
Fonte: McAfee Labs
I prezzi in questa tabella sono delle stime. Abbiamo visto molti esempi di servizi
in vendita, i cui prezzi non ricadono in queste fasce.
Viene offerto di tutto. Nelle seguenti immagini vediamo dei bonifici interbancari
in vendita, oltre alla disponibilità di credenziali di accesso per il banking.
Esempio di credenziali di accesso bancarie in vendita.
Esempio di dati di accesso bancari in vendita.
La validità delle offerte è sempre sospetta, in quanto ci sono molti che pagano
per i dati finanziari rubati e poi non ricevono quanto si attendevano. Un venditore
fa riferimento a questo oltraggio per i ladri nel suo messaggio promozionale:
“ARE YOU FED UP OF BEING SCAMMED, AND RIPPED?
ARE YOU TIRED OF SCAMMERS WASTING YOUR TIME, ONLY TO STEAL
YOUR HARD-EARNED MONEY?”
Questo specifico venditore, anche se non offre carte di credito in prova gratuita
agli acquirenti, prevede una garanzia di sostituzione per qualsiasi carta che
non abbia il credito pubblicizzato. Altri metodi per assicurare l'onestà di un
venditore includono l'uso della convalida sociale, tramite i commenti positivi
degli altri compratori. I forum sono pieni di consigli utili provenienti da acquirenti
soddisfatti, anche sui venditori da evitare.
“Hey man, don’t know if you know this, but
pulled a exit scam
on evo?
as far as i know, he pulled an exit scam, then he came back saying his
friends had screwed him over, asked people to pay like 4BTC to join
his official priviate reselling club. he then just disspeared again.
in fact theres a guy called Underwebfullz (or somthing like that) whos
doing the same thing on alpahbay, so people think its him”
I venditori che impiegano tecniche sofisticate di vendita e marketing si avvalgono
di YouTube per pubblicizzare la propria mercanzia ai potenziali clienti. I filmati
cercano spesso di confermare l'affidabilità ai possibili clienti, anche se tali metodi
possono essere controproducenti a causa dei commenti associati ai video.
Le credenziali di accesso
Altri tipi di dati in vendita comprendono le credenziali di accesso alle reti affidabili
delle organizzazioni. Sono di svariati tipi, da un accesso diretto molto semplice
(come le credenziali), a quelli che richiedono un certo grado di competenza tecnica
per l'esecuzione (come le vulnerabilità). Nella seguente immagine possiamo vedere
le vulnerabilità a disposizione, che permettono ai potenziali acquirenti di accedere
ai sistemi di banche e compagnie aeree situate in Europa, Asia e Stati Uniti.
Esempio di un accesso ai sistemi di banche e compagnie aeree in vendita.
Come nel caso dei dati finanziari, i venditori danno ai potenziali compratori una
qualche prova della bontà delle loro offerte.
Una recente ricerca dell'esperto di cybercrime Idan Aharoni indica che i tipi di
sistemi per i quali viene venduto l'accesso includono ora le infrastrutture critiche.
Nel suo articolo SCADA Systems Offered for Sale in the Underground Economy
(Sistemi SCADA in vendita nell’economia sommersa) Aharoni porta un esempio
nel quale un venditore forniva una schermata apparentemente proveniente da
un generatore idroelettrico francese, come prova del fatto che vi poteva accedere.
Schermata proveniente, a detta del venditore, da un generatore idroelettrico francese
e usata come prova di accesso al sistema SCADA di un'infrastruttura critica.
Come in altri esempi, un compratore può chiedersi se l'accesso offerto sia
veramente valido. Non dovrebbe essere particolarmente difficile fabbricare una
schermata che simuli un accesso eppure questo tipo di messaggi rappresenta
una tendenza preoccupante (come sottolinea Aharoni).
In vendita ci sono anche i dati aziendali rubati. Nella figura seguente vediamo
messi in vendita i dati rubati a un'università.
Esempio di informazioni sottratte a un'università e messe in vendita.
L'accesso ai servizi online
Molte persone si abbonano a servizi digitali di musica, video, a programmi fedeltà
e altri. Dato che tali account sono relativamente economici, si potrebbe pensare
che le loro informazioni non siano abbastanza redditizie. Invece, la vasta offerta
di tali account su numerosi mercati indica che sono ricercati dai potenziali clienti.
Quando un account rubato viene compromesso, il legittimo proprietario può
subire svariati tipi di impatto. L'account può venire sospeso o chiuso a causa
dell'attività illecita svolta dal compratore, che a volte causa un'ondata di
chiamate all'assistenza per varie settimane. Una vittima potrebbe anche subire
delle perdite economiche per l'acquisto di beni con i dati della carta di credito
memorizzati oppure perdere il diritto ai premi per i punti fedeltà accumulati
nel periodo di validità dell'account. Ma ci sono anche delle circostanze peggiori,
in cui l'impatto è inquietante.
L'immagine seguente mostra un esempio di account di servizi online in vendita.
Esempio di account di streaming video online in vendita.
Gli utenti dei servizi di streaming video online sono le uniche vittime? Niente affatto.
La triste realtà è che sono a disposizione gli accessi per pressoché ogni servizio
online immaginabile. Abbiamo trovato un altro account di un servizio di streaming
video online in vendita per 55 centesimi di dollaro. Dato che i singoli account
dei servizi digitali vengono venduti per meno di un dollaro, i criminali devono
movimentare un gran numero di account online per far rendere le proprie attività.
Altri account di servizi di streaming video online in vendita per meno di 1 dollaro.
Molti servizi di intrattenimento in streaming online vengono comunemente
venduti. Per meno di 10 dollari si possono trovare gli account di HBO NOW
e HBO GO, oltre a altri servizi televisivi via cavo in streaming. È chiaro che tali
servizi siano molto richiesti. Anche servizi di streaming di eventi sportivi sono
acquistabili per 15 dollari. Abbiamo trovato in vendita anche altri account online,
come gli abbonamenti perpetui ad account pornografici premium, oltre che i link
di referral gratuiti al mercato nero su web Agora.
Esempio di accesso a un account HBO GO in vendita.
I ladri informatici vendono gli account Marvel Unlimited per fornire un accesso economico
ai fumetti digitali.
Anche gli account gratuiti attirano i criminali. L'immagine seguente mostra un
conto fedeltà di un albergo con 100.000 punti, in vendita per 20 dollari. I clienti
aprono questi conti legittimamente senza costi, eppure hanno un mercato,
che comporta la perdita dei punti accumulati a volte nel corso di anni.
Vengono venduti anche i programmi fedeltà degli alberghi.
Una motivazione per l'acquisto di accessi rubati degli account online è quella
di nascondere la reputazione del compratore, a causa di pratiche commerciali
scorrette o di frodi vere e proprie. Chiunque desideri acquisire una nuova identità
su community di aste online può arrivare a pagare somme ingenti, perché un
account solido con un'ottima reputazione è prezioso.
Un account di aste online in vendita.
Per esigenze meno stringenti, gli account di aste online sono disponibili in
pacchetti da 100 di diversi tipi.
Un sito di vendita di carte di credito che offre accesso anche agli account di aste online.
Le identità
La vendita dell'identità di una vittima è la categoria più inquietante, perché si
tratta dei dati personali.
Intel Security ha di recente collaborato con le forze dell'ordine europee per
disattivare il botnet Beebone. Questo botnet era in grado di scaricare il malware
– fra cui i programmi ZBot per il furto delle password bancarie, i rootkit Necurs
e ZeroAccess, gli spambot Cutwail, gli antivirus falsi e il ransomware – sui sistemi
degli utenti ignari. Siamo rimasti sconcertati dalla mancanza di azioni correttive
da parte degli utenti, in particolare di quelli situati al di fuori di Stati Uniti ed
Europa. Secondo il blog di Raj Samani su questo argomento un'ampia fetta della
società non protegge adeguatamente i propri dati, spesso con conseguenze
non trascurabili.
Nell'immagine seguente abbiamo un esempio di identità digitale rubata dai
ladri informatici. Un potenziale compratore potrebbe assumere il controllo
della vita digitale di questa persona: socialmedia, posta elettronica e altro
(queste informazioni sono state comunicate alla polizia britannica).
Esempio di un'identità in vendita.
L'esempio precedente, benché ricco di informazioni, richiede all'acquirente di
vagliare una gran quantità di testo. Alcuni venditori offrono però un'interfaccia
grafica per attirare i compratori. L'esempio seguente permette ai compratori di
scegliere gli individui in base ai loro account di posta elettronica, che è il primo
passo per prendere il controllo di altre parti della vita delle vittime.
Questo servizio consente ai compratori di scegliere facilmente un profilo.
Strettamente legato al mercato delle identità rubate è quello delle informazioni
mediche ottenute illecitamente. Tali dati non sono facili da comprare come quelli
delle carte di pagamento, tuttavia sono online anche i venditori di informazioni
mediche. Brian Krebs, giornalista esperto di sicurezza, ne ha parlato nel suo
articolo "A Day in the Life of a Stolen Healthcare Record" (La giornata tipo di un
registro sanitario rubato), in cui "un truffatore aveva trafugato un file di testo di
grandi dimensioni contenente nomi, indirizzi, codici fiscali e altri dati sensibili
su decine di medici di tutto il paese" (vedere l'immagine seguente).
Un esempio di informazioni rubate da un servizio sanitario e messe in vendita.
Fonte: Krebs on Security
Anche se gran parte di questo report mette in evidenza la vendita di dati rubati,
a volte questi ultimi vengono diffusi gratuitamente. Nell'immagine seguente, il
collettivo di hacker Rex Mundi ha divulgato i dati identificativi dei pazienti perché
la società Labio si è rifiutata di pagare un riscatto di 20.000 euro.
Gli hacker hanno rivelato le informazioni private dei clienti per punire l'azienda sanitaria,
colpevole di non aver pagato il riscatto.
Conclusioni
Gli esempi dell'economia sommersa dei dati, inclusi in questo rapporto,
rappresentano solo la punta dell'iceberg. Abbiamo omesso molte altre
categorie e servizi, ma speriamo che questi esempi abbiano fatto chiarezza
sulla portata della minaccia. In questo report abbiamo preso in esame
i dati rubati e messi in vendita. I criminali informatici acquistano però anche
i prodotti che consentono di perpetrare gli attacchi. Ciò comprende l'acquisto
e il noleggio di exploit e kit di exploit che stanno alimentando un numero
enorme di infezioni in tutto il mondo. Una catalogazione delle offerte
è impossibile perché aumentano a un ritmo eccezionale.
Quando leggiamo delle violazioni dei dati, l'industria del crimine informatico
sembra così lontana dalla vita quotidiana che si viene tentati di ignorare la
notizia. Comunque, il cybercrime non è altro che un'evoluzione del crimine
tradizionale. Per combatterlo dobbiamo vincere l'apatia e prestare attenzione
ai consigli per la lotta al malware e alle altre minacce. Altrimenti, le informazioni
della nostra vita digitale potrebbero essere rivendute a chiunque possegga una
connessione Internet.
Informazioni su McAfee Labs
Segui McAfee Labs
McAfee Labs è una delle principali fonti mondiali per la ricerca sulle minacce,
informazioni sulle minacce e leadership strategica sulla sicurezza informatica.
Grazie ai dati provenienti da milioni di sensori sui principali vettori di minaccia
principali - file, web, messaggi e rete - McAfee Labs offre informazioni sulle
minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare
la protezione e ridurre i rischi.
www.mcafee.com/it/mcafee-labs.aspx
A proposito di Intel Security
McAfee è ora parte di Intel Security. Con la propria strategia Security Connected,
l'approccio innovativo alla sicurezza potenziata dall'hardware e l'ineguagliato
servizio Global Threat Intelligence, Intel Security è impegnata senza sosta nello
sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che proteggono
sistemi, reti e dispositivi portatili per l'utilizzo aziendale e personale a livello
mondiale. Intel Security combina l'esperienza e la competenza di McAfee con
l'innovazione e le prestazioni comprovate di Intel per rendere la sicurezza un
ingrediente essenziale di ogni architettura e di ogni piattaforma di elaborazione.
La missione di Intel Security è di assicurare a chiunque la tranquillità di vivere
e lavorare in modo sicuro e protetto nel mondo digitale.
www.intelsecurity.com
McAfee. Part of Intel Security.
Via Fantoli, 7
20138 Milano
Italia
(+39) 02 554171
www.intelsecurity.com
Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee.
Le informazioni qui contenute sono soggette a modifica senza preavviso e vengono fornite "come sono" senza garanzia
o assicurazione relativamente all'accuratezza o all'applicabilità delle informazioni a situazioni o a circostanze specifiche.
Intel e i loghi Intel e McAfee sono marchi di Intel Corporation o McAfee, Inc. negli Stati Uniti e/o in altri Paesi. Altri marchi
e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright © 2015 McAfee, Inc.
62122rpt_hidden-data_1215

L`economia sommersa dei dati

Transcript

Documenti analoghi

Internet Security 2009

McAfee AntiVirus 2010

Mazzo: FORNO BONOMI

Carte West Bromwich - Albion

McAfee

Configurazione account di posta elettronica per Outlook Express

VirusScan Plus 2009

McAfee All Access - Guida all`installazione per PC

McAfee All Access - Guida all`installazione per tablet

Configurazione posta su Windows Live Mail