Come avere un ritorno sull’investimento del 300% in pochi giorni
Saranno gli hacker a mettere in crisi il commercio di eroina? La domanda è prematura ma non fuori luogo. Finita la fase artigianale il crimine in rete ha ormai fatto il salto di qualità. Prima cercava la notorietà ora vuole il denaro. Prima agiva spesso da solo oggi si muove con bande criminali specializzate in questo tipo di reati che implicano rischi enormemente più bassi rispetto allo spaccio di droga.
Il crimine in rete, infatti, è più veloce, più difficile da individuare, genera maggior profitto (con un ritorno di investimenti di circa 400 volte maggiore alla spesa) non è violento ed anche alla portata di un maggior numero di persone. L’importante è avere buone conoscenze informatiche più facili da reperire nei paesi con una buona tradizione accademica come la Russia. Impietoso il confronto con lo spaccio di droga che richiede mesi o anni di preparazione, è sotto la lente di tutti i governi, è estremamente costoso, molto pericoloso e uccide.
Stesso discorso vale per la pirateria del software. Come spiega il comandante del Gico del nucleo polizia tributaria di Cagliari della Guardia di finanza maggiore Mario Piccinni in un incontro organizzato a Milano da Assintel, “un kg di cocaina ha un ricarico dal grossista al dettagliante del 100%, mentre un pacchetto software ha un ricarico del 900%”.
Anche in rete il gioco si fa sempre più pesante.
Guillaume Lovet, Emea threat response team leader di Fortinet in un intervento alla Virus bulletin conference, racconta che il cyber crime è cresciuto parallelamente all’aumento delle transazioni con le carte di credito sul web e al proliferare dei conti correnti bancari on line. Una volta che ci si è impossessati delle informazioni finanziarie relative a un conto e a una carta di credito, non solo si puo’ rubare senza essere scoperti, ma anche – attraverso un processo automatizzato guidato da virus – lo si può fare ipoteticamente per un numero infinito di volte. Esistono molti e diversi metodi attraverso i quali è possibile ottenere i dati delle carte di credito e dei conti correnti. Ognuno di essi comporta naturalmente una propria combinazione di rischi, spese e abilità. La cosa più semplice è acquistare il “prodotto finito”.
Il prodotto è rappresentato dalle informazioni necessarie per ottenere un controllo “autorizzato” su un conto corrente a sei cifre. Il costo per ottenere queste informazioni ammonta a circa 400 dollari. Il probabile luogo dove avvengono questo tipo di transazioni sarà una chatroom Irc (Internet relay chat) nascosta e il fee di 400 dollari sarà facilmente trasformato in una qualche forma di denaro virtuale. I conti con denaro virtuale infatti non sono regolati da alcuna legislazione, sono registrati in paesi offshore e possono essere creati on line e trasferiti a conti di “denaro reale” in modo anonimo.
Ottenere il controllo di un conto bancario è un’operazione che sempre più spesso viene portata a compimento con tecniche di phishing. I tool di phishing che sono qui elencati possono essere acquistati molto facilmente: una lettera di scam (termine che indica un tentativo di truffa) o una pagina di scam in un linguaggio a scelta, una lista di spam, una selezione di mailer php per inviare 100,000 mail in sei ore, un sito web per ospitare per alcuni giorni la pagina della truffa, e infine una carta di credito rubata ma valida con cui registrare un dominio costano in tutto circa 60$.
Questo tipo di attività di phishing lascerà circa 20 conti bancari scoperti di una cifra che varia tra i $200 e i $2,000 dollari in valuta virtuale, se questi dettagli venissero semplicemente venduti a un altro criminale informatico. Nel peggiore dei casi si potrebbe avere un ritorno sull’investimento del 300% ma potrebbe anche arrivare 10 volte tanto.
Ritorni ancora più grandi si possono ottenere utilizzando i cosiddetti “drop” per convertire il denaro in contante. I rischi sono però alti: i “drop” possono anche richiedere fino al 50% del valore del conto come commissione e creare rischi di essere derubati o denunciati alla polizia. I phisher più attenti spesso si tengono il più possibile fisicamente lontani dalla conversione in denaro delle loro attività fraudolente, attraverso una serie di drop che non si conoscono reciprocamente. Tuttavia, anche considerando un 50% di commissione, e un tasso di rischio furto del 50%, se ipotizziamo una cifra rubata che varia tra i 10,000-100,000 dollari, il phisher avrà comunque un ritorno che oscilla tra le 40 e le 400 volte l’investimento iniziale dell’operazione di phishing.
In operazioni su larga scala, vengono utilizzati conti offshore per accumulare i proventi da operazioni illecite. Questo processo è più complicato e più costoso, ma in ultima analisi, conclude Lovet, anche più sicuro.
In Italia, come spiega Piccinini, la situazione è differente. Il trasferimento di somme di denaro nei Paesi dell’Est è più complicato e allora entra in scena il financial manager che, reclutato con finte mail, inconsapevolmente o meno, mette a disposizione un suo conto corrente per trasferire il denaro. Prendendosi una percentuale del 10% attraverso un money trasfer passerà poi i soldi agli autori della truffa che, paradossalmente, rischiano meno dal punto di vista penale di chi ricicla il denaro.
