Il mercato nero del crimine informatico

Il Cybercrime

Prova il Quiz

Che cos'è il Cybercrime?

Il Crimeware

Esempi e casistica

Il mercato nero

Crimeware

Trojan Horse e spyware

Frode on-line

Il phishing

Il pharming?

Come Proteggersi

Prevenzione

Cosa fare se diventi una vittima

Centro Risorse

Collegamenti

Introduzione

Marijuana. Cocaina. Eroina.
Fucili d'assalto e armi illegali.
Associazioni di criminali seduti intorno a un tavolo in una buia stanza fumosa.

Queste immagini hollywoodiane del mercato nero si adattano al nuovo sottobosco criminoso di Internet? Una grande retata condotta dai servizi segreti americani, chiamata "Operation Firewall", ha rivelato alcuni dettagli del mercato nero on-line e degli individui che vi stanno dietro. Il 26 ottobre 2004, 28 membri chiave e capobanda di ShadowCrew, una comunità on-line di criminali informatici, furono arrestati per aver favorito la crescita di un'economia sotterranea nella quale prosperavano il furto d'identità e lo scambio di beni rubati. I fondatori del gruppo comprendevano uno studente part-time di Scottsdale, Arizona, e un ex intermediatore immobiliare di Linwood, New Jersey. Il gruppo operava anche a livello internazionale.ShadowCrew vantava più di 4.000 membri in tutto il mondo che lanciavano milioni di messaggi di phishing, attaccavano reti aziendali e acquistavano e vendevano beni rubati in aste on-line organizzate da loro, complete di valutazioni di fiducia e recensioni.

Qual è oggi la situazione del mercato nero di Internet dopo le retate di alto profilo che hanno colpito ShadowCrew e altri criminali informatici nell'operazione Operation Firewall? Il mondo del crimine on-line è in continua evoluzione.Symantec ha svolto una breve indagine su diverse comunità di frodi on-line, per poter rispondere a questa e ad altre domande su questo genere di criminali informatici in rapida evoluzione.

Quali sono le caratteristiche di un mercato nero di Internet?

Comunità criminali
La ricerca di Symantec su queste comunità di frodi on-line si è concentrata sulle comunità di criminali attive che utilizzano la rete IRC (Internet Relay Chat). Questi forum erano in gran parte bacheche di messaggi on-line visibili solo ai membri registrati, al contrario delle aste on-line di ShadowCrew. Le reti IRC esplorate da Symantec erano accessibili a chiunque ne conoscesse l'esistenza e l'indirizzo di uno o più server.Le bacheche di messaggi, benché non visibili agli utenti non registrati, non filtrano le nuove registrazioni limitandosi a verificare la validità dell'indirizzo di e-mail utilizzato per la registrazione dell'account.In questo modo è possibile esplorare tutte le aree della bacheca di messaggi registrandosi tramite un indirizzo di e-mail anonimo.Nel mercato nero di Internet esistono indubbiamente anche gruppi più riservati, che fanno ogni sforzo per rimanere nascosti alle forze dell'ordine.

All'interno di queste comunità, i truffatori vendono i propri servizi, si scambiano suggerimenti e informazioni per avere conversazioni più riservate al di fuori della rete IRC, ad esempio, tramite messaggistica istantanea o e-mail. Gli aggressori meno esperti possono utilizzare le bacheche di messaggi per trovare istruzioni dettagliate sull'arte della frode on-line; ad esempio, come ottenere numeri di carta di credito, dove acquistare beni on-line utilizzando dati fraudolenti e così via. I truffatori più esperti offrono servizi specializzati e di solito partecipano a una sorta di divisione dei compiti: la maggior parte degli aggressori non gestisce un attacco dall'inizio alla fine, ma affida almeno alcune operazioni ad altri membri della comunità.I vari ruoli ricoperti dai membri del mercato nero sono descritti di seguito.

Com'è facile immaginare, tra ladri on-line non vigono regole d'onore. Le bacheche di messaggi vengono utilizzate anche per esporre i membri della comunità che rubano ad altri membri, venendo meno agli accordi di pagamento con il fornitore dei dati rubati.Questi truffatori impopolari sono noti come "ripper", che sul mercato nero è considerato un grave insulto.

Ruoli del mercato nero
Un attacco di phishing riuscito comprende di solito una serie di attività cui partecipano diverse persone, ognuna con un ruolo diverso. Generalmente gli aggressori non dispongono di tutte le competenze necessarie per svolgere tutte queste attività e devono quindi fare affidamento l'uno sull'altro per coprire tutte le aree di specializzazione. Fortunatamente, molti phisher non sembrano avere una preparazione tecnica abbastanza avanzata per sfruttare le vulnerabilità del software e introdursi nei sistemi, né molti di loro sembrano essere in grado di automatizzare le proprie truffe mediante un sofisticato software bot o altri programmi di utilità specializzati.

Ecco alcuni dei diversi ruoli necessari per portare a compimento un attacco:

Spammer: responsabile dell'invio di e-mail di phishing al maggior numero di indirizzi di e-mail possibile.
Progettisti Web: responsabili della creazione di siti Web nocivi che assomigliano il più possibile a quelli legittimi da emulare.
Exploiter: in genere aggressori dilettanti noti come "script kiddies", ragazzini degli script, i quali identificano i computer vittima (chiamati "root") che saranno utilizzati per ospitare un sito di phishing o per trasmettere i messaggi di spamming. In alcuni casi, gli exploiter si introducono direttamente nei database di carte di credito per raccogliere i dati, saltando del tutto la fase di phishing.
Cassieri: responsabili del ritiro dei fondi da una carta di credito o da un conto bancario compromessi e della trasformazione in denaro per conto del phisher.
Ricettatori: questi membri sono in grado di ricevere merci acquistate con i dati di carte di credito rubati presso un punto di raccolta non rintracciabile.I beni acquistati con informazioni su carte di credito e conti correnti bancari rubate sono considerati "carded" e i truffatori di questo tipo "carder".

Merci sul mercato nero
Phisher e truffatori commerciano in un'ampia varietà di articoli. Di seguito viene presentato un elenco parziale di articoli considerati di valore:

numeri di carte di credito: di solito, perché questi abbiano valore devono essere accompagnati anche dai numeri CVV2 (numeri di 3-4 cifre sul retro della carta)
accesso root o amministrativo a server: server violati ai quali hanno accesso i truffatori vengono utilizzati per ospitare i siti di phishing e sono normalmente chiamati "root" dai partecipanti a questi forum e chat.
elenchi di indirizzi di e-mail: vengono utilizzati per pubblicità spamming o come destinatari di una truffa di phishing.
conti bancari on-line.
conti di servizi di pagamento on-line, come e-gold.E-gold è popolare tra i truffatori perché il denaro viene inviato immediatamente e non è generalmente rintracciabile.

valuta contraffatta: il denaro contraffatto viene stampato e inviato tramite posta ordinaria.Ecco un esempio di richiesta di valuta contraffatta:

[Jamal] ho bisogno di 1 per fare molte banconote da 20 dollari
 [Jamal] perché abito in canada 
[Jamal] possiamo fare un sacco di soldi se puoi 
[Jamal] le userò in altri negozi e restituirò l'articolo 
[Jamal] se puoi fare copie della banconota e mandarmele, 
io le cambierò in denaro autentico e te 
ne manderò la metà tramite Western Union

Conti Western Union: Western Union è un servizio molto diffuso perché il denaro viene inviato immediatamente e non è rintracciabile né recuperabile.

Tutti queste merci vengono acquistate e vendute tramite conversazioni nelle chat IRC o in modo più organizzato mediante forum on-line, dove il venditore può ottenere un account "fornitore" e concludere affari. Questo permette di pubblicare un elenco di prezzi strutturato per i potenziali acquirenti.Gli utenti forniscono un feedback sulle proprie esperienze con i "fornitori" fraudolenti, creando una specie di sistema di valutazione della fiducia che scoraggia i potenziali "ripper". Ai fornitori può venire richiesto anche di pagare una quota d'iscrizione iniziale e di passare attraverso una fase di verifica prima di venire configurati come fornitori nel forum del crimine informatico.

Marketing e promozioni
L'esempio seguente, ripreso da un forum di frodi on-line, illustra che questi "fornitori" considerano molto seriamente i propri affari, in alcuni casi offrendo promozioni, svendite e garanzie. Nella "promozione" seguente viene offerto uno sconto per acquisti a volume e schede telefoniche gratuite.

Smile Buy Cheap Cvv2s And Get Gifts
Hello all carders !

Iam glad to offer my service to serve all you guys.
Iam selling US cvv2 with NO LIMIT (UK & Canadian and
   International cvv2s will be available soon)

* Cvv2s have the following information:

- Card Number
- Card Expiry
- CVV2
- First & Last Names
- Address & City
- State & Zip/Postal code
- Country (US)
- Phone #

======= Here is the price ========

* For US cvv2 :

1 -> 40 cvv2s : $1.5 per card
100+ cvv2s : $1 per card

* For UK ccs : 1$ per each (come with : Name, Address,
   Town, County, Postcode, Ccnumber, exp, from date,
   and issue number)

* If you request the following information for Cvv2:

Special Card Type +$0.50
Email, Password +$3
Special Gender +$2
Special bins : +$1
* Special Offers :

If your order > 50$ , u will get a calling card with 5$
If your order > 100$ , u will get a calling card with 10$
If your order > 200$, u will get a calling card with 20$