Come fanno soldi gli hacker informatici

I danni dovuti al furto d'identità o di documenti personali, finanziari o sanitari possono essere riparati nel giro di mesi o anche anni. Ma oggi quanto valgono i dati rubati nel mercato nero digitale?
La cattiva notizia, per chi è stato vittima di un furto di informazioni, è che sempre più truffatori hanno accesso a sempre più informazioni rubate a prezzi mai così tanto convenienti. Il motivo per cui esistono così tanti dati rubati disponibili sta nel fatto che gli hacker non impiegano molto tempo a sottrarli. Ne è un esempio perfetto la violazione subita da Equifax nel settembre 2017 che ha riguardato solo negli Stati Uniti 143 milioni di persone.

Di seguito riportiamo diversi esempi di prezzi per i dati rubati:

Infografica ampliata su come fanno a guadagnare gli hacker

Dove vengono vendute le informazioni rubate?

È importante capire come e dove i vostri dati rubati vengano rivenduti. Succede in una parte del World Wide Web chiamata dark Web, a cui è possibile accedere soltanto usando software speciali che nascondono l'identità dei visitatori. Il dark Web è un enorme mercato dove tutto è illegale e quasi tutto ha un'aria molto familiare, come qualsiasi sito di e-commerce. I venditori spesso hanno delle valutazioni date da compratori precedenti ed è persino possibile acquistare software per avviare la propria attività di hacker. I pagamenti avvengono usando i bitcoin, una valuta digitale che assicura pieno anonimato al compratore e al venditore.

Una volta entrati in questo emporio illegale, è facile comprare identità rubate o accessi ai conti bancari usando la valuta digitale. Prendiamo l'esempio delle carte di credito rubate. Come quando acquista qualsiasi altra cosa online, il compratore specifica il tipo di carta (Amex, Visa, ecc.), il CVV o codice a tre cifre riportato sul retro della carta, associandolo eventualmente alle informazioni di accesso e alla password, il nome, la data di scadenza, il punteggio di affidabilità come creditore, il codice fiscale, il nome da nubile della madre, il plafond, la data di nascita, l'area geografica di utilizzo, ecc. Il costo della carta varia in base alle informazioni richieste dal compratore. Basterà poi fare clic su "acquista ora", scaricare le informazioni rubate e il gioco è fatto.

Quanto costa comprare le informazioni rubate?

Quanto costano queste carte nel dark Web? Il costo è molto variabile e dipende anche dalla disponibilità di carte rubate. Se avvenisse un attacco hacker di grandi dimensioni, capace di compromettere 10 milioni di carte, il prezzo potrebbe scendere vorticosamente nel caso in cui gli hacker saturassero il mercato. In generale (i numeri che seguono derivano da una serie di fonti disponibili pubblicamente), il costo delle informazioni sulle carte di credito rubate si aggirerebbe tra gli 8 e i 22 dollari o il loro equivalente in bitcoin. Tali prezzi tendono a salire nel caso di carte di credito emesse nell'Unione Europea, in Canada e in Australia. I compratori pagano moltissimo per quelle carte con le cosiddette "fullzinfo" o anche solo "fullz", ovvero quei dati rubati che presentano un set completo di informazioni sul titolare della carta. Ma come descritto dettagliatamente in un rivoluzionario resoconto della riguardo al mercato delle informazioni digitali rubate, le carte di credito e di debito non sono necessariamente il consueto bersaglio degli hacker e dei truffatori di oggi. Sempre più bersagliati sono gli account per i servizi di pagamento online protetti da password. Diversamente da quanto succede con le carte di credito, dove il costo per la carta viene determinato dai diversi fattori selezionati dal compratore, il costo di queste informazioni rubate è ampiamente legato ai saldi dei conti online. Come ci si potrebbe aspettare, il prezzo per le credenziali di accesso alla banca è una questione diversa: può variare da $100 per l'accesso ai conti bancari con sopra $2.000 o meno oppure arrivare a $1.000 per l'accesso a conti bancari con sopra $15.000 o più.

Un mercato forte per le informazioni sanitarie rubate

Sia le informazioni sulle carte di credito sia quelle sull'accesso ai conti bancari hanno un periodo di validità che termina quando la vittima scopre l'avvenuta violazione. Ma c'è un altro tipo di identità digitale che ha informazioni più permanenti: si tratta delle informazioni sanitarie personali (in inglese "PHI", Personal Health Information), tra cui i preziosissimi documenti sanitari elettronici (o EMR), ovvero informazioni altamente riservate che riguardano la storia sanitaria di una persona. Come tali, possono essere utilizzate per intimidire o umiliare determinate persone in pubblico, mettere in atto frodi assicurative su grande scala con false richieste e confondere o danneggiare le vittime.

Come altre informazioni digitali rubate, il costo di tali informazioni sanitarie è soggetto alle stesse dinamiche domanda-offerta come qualsiasi altro bene oggetto di scambio. Secondo Michael Ash, associate partner per Security Strategy Risk & Compliance di IBM, un EMR rubato può rendere fino a $350 sul dark Web.

Tuttavia, dopo un recente furto di un numero elevato di tali informazioni e il relativo "scaricamento" nel dark Web per rivederle, i prezzi sono scesi secondo uno studio recente. Inoltre, le autorità istituite per l'applicazione della legge hanno fatto grandi passi avanti nell'individuazione e nella cattura sia di compratori che di venditori di questo tipo di informazioni, fatto che ha spaventato diversi compratori. Pertanto, alcuni EMR sono stati acquistati di recente per soli $100 ciascuno. Ma, come citato in precedenza, si tratta di un mercato fortemente dinamico in cui i prezzi delle informazioni digitali rubati variano nel tempo, spesso anche di molto.

Rimane comunque il fatto che gli incentivi per rubare tali dati e rivenderli a chi offre il prezzo più alto rimangono validi nell'immediato futuro. Forse l'unica difesa migliore per le persone fisiche che cercano di proteggere tali informazioni preziose è quella di usare password di qualità elevata e virtualmente "blindate" insieme a una corretta "protezione attiva delle password" che assicuri che le password vengano cambiate spesso. A tale riguardo è cosa saggia prendere in considerazione un gestore di password gratuito che si occupi di tutto il lavoro di gestione delle password in modo da "freddare" gli hacker.

Fonti: CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute.