Un dollaro: tanto valgono i dati personali venduti dagli hacker sul mercato nero

Informazioni personali rubate da social media, conti bancari, email, servizi come Uber e Netlifx possono costare solo 1 dollaro sul mercato nero. Lo ha verificato un ricercatore di Kaspersky Lab

collection

Quanto costa comprare sul mercato nero informazioni personali, rubate per esempio da un account Facebook? Basta 1 dollaro, ma anche meno, se si fanno acquisti “all’ingrosso”. E’ quanto ha scoperto David Jacoby, ricercatore senior di Kaspersky Lab, che ha deciso di verificare quanto valgono economicamente le informazioni personali rubate attraverso attacchi di phishing.

Jacoby si è concentrato, in particolare, sui dati rubati attraverso servizi diffusi e molto utilizzati dagli utenti. Si tratta di account di social media, dettagli bancari, accesso remoto a server o desktop, servizi popolari come Uber, Netflix, Spotify e molti siti di giochi (Steam, PlayStation Network e ), app per appuntamenti, siti web con contenuti pornografici.

Il modo più comune per rubare questi dati è attraverso campagne di phishing o sfruttando vulnerabilità legate al web, come una vulnerabilità ad attacchi SQL injection”, ha spiegato Jacoby in un post. “Le memorizzazioni delle password contengono una combinazione di email e password per i servizi compromessi, ma come sappiamo molte persone riutilizzano le loro password. Quindi, anche se è stato violato un semplice sito web, gli hacker possono ottenere l’accesso agli account su altre piattaforme utilizzando la stessa combinazione di email e password”.

Attacchi come quelli descritti non sono sofisticati, ma efficaci. Il ricercatore di Kaspersky Lab ha aggiunto che le persone che vendono questi account probabilmente non sono gli hacker stessi. Nella sua ricerca Jacoby si è imbattuto anche nella compra-vendita di patenti di guida, carte d’identità e passaporti falsi o “virtualmente” rubati.

Qui le cose diventano più serie. La maggior parte dei documenti di identità non vengono rubati fisicamente, ma possono essere usati per causare problemi nel mondo non digitale“, ha spiegato Jacoby. “Le persone possono usare la nostra identità con un documento falso per acquisire, per esempio, abbonamenti telefonici, conti bancari e così via”.

kaspersky_prezzo identità online
Il “listino prezzi” dei dati venduti sul mercato nero elaborato da Kaspersky Lab

Un passaporto svedese, regolare e in corso di validità, è stato venduto per 4mila dollari, e lo stesso venditore offre passaporti per quasi tutti i Paesi europei.

Tutto questo non rappresenta una novità per chi si occupa di sicurezza, ma ciò che ha attirato l’attenzione di Jacoby è stata la compre-vendita di fatture false o rubate e di altri documenti come bollette o ricevute di pagamento.

Gli hacker in realtà rubano messaggi email e raccolgono fatture e le utilizzano, per esempio, per truffare altre persone. Queste fatture vengono raccolte e organizzate per nazione e per tipo di servizio, e poi le scansioni sono vendute a potenziali truffatori”, ha aggiunto Jacoby. “Un truffatore può utilizzarle per colpire le vittime in determinati Paesi e persino restringere i suoi attacchi in base al genere, all’età e al tipo di servizio”.

L’ingenuità degli utenti finanzia pedofilia, traffici di droga e di armi

Nel post Jacoby sottolinea che spesso le persone non si preoccupano del fatto che il loro account è accessibile, perché ritengono che il peggio che possa accadere è la condivisione dei propri dati con un estraneo. E ciò di fatto non porta a conseguenze gravi e concrete.

Le persone sono generalmente molto ingenue quando si tratta della loro identità online”, ha sottolineato il ricercatore. “Ma dobbiamo capire che, anche se sembra tutto molto innocente, non sappiamo cosa fanno i criminali con i soldi che guadagnano”.

I ricavi potrebbero essere investiti in droga o armi, che vengono poi venduti agli adolescenti. Utilizzati per finanziare piattaforme e server che diffondono la pornografia infantile.

Il messaggio lanciato da Jacoby riguarda quindi tutti gli utenti del web. “Dobbiamo capire che i criminali spesso lavorano con altri criminali, il che significa che i soldi ricavati dalla vendita sul mercato nero di account Netflix rubati potrebbero finanziare lo spaccio di stupefacenti”, ha concluso il ricercatore. “La cosa più allarmante che ho notato è che è tutto molto economico. Pensiamo solo alle informazioni che qualcuno potrebbe raccogliere su di noi accedendo al nostro account Facebook: può vendere la nostra vita privata per un dollaro”.