Un vademecum per sapere chi sono coder, kid, drop e mob, ossia coloro che ci attaccano quotidianamente.
In questo spazio (Techne – Con parole mie) i protagonisti della tecnologia raccontano e si raccontano, portando alla luce la miscela virtuosa di tecnica ed esperienza al servizio delle esigenze dell’utenza. Parlano sulla base della conoscenza, evitando di fare riferimento alla propria produzione, bensì portando il discorso su un piano generale e fruibile da tutti.
Se in passato gli hacker hanno sferrato i loro attacchi spinti soprattutto dalla voglia di notorietà, oggi le motivazioni alla base del loro agire stanno cambiando e, sempre più spesso, ciò che sta dietro le loro operazioni è essenzialmente una questione di denaro. Il cyber crimine è diventato ormai infatti una vera professione (tanto che potremmo addirittura parlare di un modello di business) e la tipologia del criminale informatico sta cambiando di conseguenza: dall’immagine classica dell’individuo che non esce mai dalla propria camera, alla figura più tipica del criminale organizzato, molto simile a quella del trafficante di droga, coinvolto in attività di estorsione e riciclaggio di denaro.
Anche l’immagine dell’hacker come grande esperto tecnico sta lentamente tramontando: persone con conoscenze informatiche minime oggi possono infatti rubare migliaia di euro ogni giorno, senza allontanarsi dalla propria abitazione. Di fatto, l’unico momento in cui il criminale deve allontanarsi dal proprio pc è quando deve ritirare il denaro, e a volte nemmeno in quel caso.
La cosa sorprendente è che il guadagno è spesso più elevato di quanto sia possibile ottenere con una massiccia produzione e vendita di eroina di classe A (e con un rischio molto inferiore).
In ogni impresa, i modelli di business efficienti si basano sia sulla divisione orizzontale di processi di produzione, servizi professionali e canali di vendita (ciascuno dei quali richiede abilità e risorse specializzate), sia su una buona strategia di commercializzazione a seconda dalle forze della domanda e dell’offerta del mercato. Il cyber crime non è diverso; vanta un mercato internazionale vivace costituito da competenze, tool e prodotti finiti. Ha perfino una propria moneta.
Il cyber crime è cresciuto parallelamente all’aumento delle transazioni con le carte di credito sul web e al proliferare dei conti correnti bancari on line. Una volta che ci si è impossessati delle informazioni finanziarie relative a un conto e a una carta di credito, non solo si puo’ rubare senza essere scoperti, ma anche – attraverso un processo automatizzato guidato da virus – ipoteticamente per un numero infinito di volte.
Esistono molti e diversi metodi attraverso i quali è possibile ottenere i dati delle carte di credito e dei conti correnti. Ognuno di essi comporta naturalmente una propria combinazione di rischi, spese e abilità. La cosa più semplice è acquistare il “prodotto finito” e in questo caso useremo come esempio un conto corrente on line. Il prodotto è rappresentato dalle informazioni necessarie per ottenere un controllo “autorizzato” su questo conto corrente a 6 cifre. Il costo per ottenere queste informazioni ammonta a circa 400 dollari (la valuta con cui sempre trattano i criminali informatici trattano sempre in dollari). Sembra una cifra irrisoria, ma considerando il poco lavoro necessario a ottenere i dati e il basso rischio che si corre, si tratta di denaro facile. Inoltre, dobbiamo ricordare che questo è un commercio internazionale; molti cyber criminali di questa categoria provengono da paesi poveri dell’Europa dell’Est, Sud America o dell’Asia Sud-Est per i quali si tratta comunque di una somma significativa.
Il probabile luogo dove avvengono questo tipo di transazioni sarà una chatroom IRC (Internet Relay Chat) nascosta e il fee di $400 verrà facilmente trasformato in una qualche forma di denaro virtuale. I conti con denaro virtuale infatti non sono regolati da alcuna legislazione, sono registrati in paesi offshore e possono essere creati on line e trasferiti a conti di “denaro reale” in modo anonimo.
I diversi protagonisti nella comunità del crimine ricoprono ruoli di diversa importanza e che richiedono differenti specializzazioni. Possiamo dividerli in linea di massima nei gruppi che elenchiamo di seguito:
I coder – sono considerati i “veterani” della comunità hacker. Con qualche anno di esperienza nel campo e una lista di contatti fidati, i coder producono tool pronti all’uso come Trojans, mailer e bot o servizi come la creazione di un codice binario non rintracciabile dai motori Av, che saranno poi utilizzati dalla forza lavoro del crimine informatico, ovvero i kids. I coder possono guadagnare alcune centinaia di dollari per ogni attività criminale in cui sono coinvolti.
I kid – Sono così chiamati per la loro giovane età. la maggior parte non ha ancora 18 anni. Acquistano, commerciano e rivendono gli elementi di base del crimine informatico come mailing list di spam, php mailer, proxie, numeri di carte di credito host di hacker, pagine scam etc. I kids guadagnano meno di $100 dollari al mese, anche perché si derubano a vicenda a velocità impressionante.
I drop – Sono gli individui che trasformano il denaro virtuale ottenuto con l’attività del crimine informatico in denaro reale. Generalmente vivono in paesi in cui le leggi contro il crimine in rete non sono severe (Bolivia, Indonesia e Malesia sono in cima alla lista) e rappresentano indirizzi sicuri a cui inviare le merci acquistate con i dati finanziari rubati, o conti correnti legittimi per trasfere il denaro guadagnato illegalmente e riuscire a effettuare pagamenti in maniera apparentemente legale.
I mob – coloro che operano professionalmente nelle organizzazioni criminali lavorando con tutte o alcune delle figure sopra descritte. Nei libri paga del crimine organizzato compaiono spesso drop sicuri e coder affermati.
Ottenere il controllo di un conto bancario è un’operazione che sempre più spesso viene portata a compimento con tecniche di phishing. I tool di phishing che sono qui elencati possono essere acquistati molto facilmente: una lettera di scam o una pagina di scam in un linguaggio a scelta, una lista di spam, una selezione di mailer php per inviare 100,000 mail in sei ore, un sito web per ospitare per alcuni giorni la pagina di scam, e infine una carta di credito rubata ma valida con cui registrare un dominio costano in tutto circa 60$. Questo tipo di attività di phishing lascerà circa 20 conti bancari scoperti di una cifra che varia tra i 200 e i 2.000 dollari in valuta virtuale, se questi dettagli venissero semplicemente venduti a un altro criminale informatico. Nel peggiore dei casi si potrebbe avere un ritorno sull’investimento del 300% ma potrebbe anche arrivare 10 vote tanto.
Ritorni ancora più grandi si possono ottenere utilizzando i cosiddetti “drop” per convertire il denaro in contante. I rischi sono però alti: i “drop” possono anche richiedere fino al 50% del valore del conto come commissione e creare rischi di essere derubati o denunciati alla polizia. I phisher più attenti spesso si tengono il più possibile fisicamente lontani dalla conversione in denaro delle loro attività fraudolente, attraverso una serie di drop che non si conoscono reciprocamente. Tuttavia, anche considerando un 50% di commissione, e un tasso di rischio furto del 50%, se ipotizziamo una cifra rubata che varia tra i $10,000-$100,000 dollari, il phisher avrà comunque un ritorno che oscilla tra le 40 e le 400 volte l’investimento iniziale dell’operazione di phishing.
In operazioni su larga scala, vengono utilizzati conti offshore per accumulare i proventi da operazioni illecite. Questo processo è più complicato e più costoso, ma in ultima analisi anche più sicuro.
L’allarmante efficienza del crimine informatico può essere illustrata in maniera illuminante paragonandolo al business del narcotraffico. Il primo è più veloce, più difficile da individuare, generatore di maggior profitto (con un ritorno di investimenti di circa 400 volte maggiore alla spesa) e soprattutto non violento. Il secondo richiede mesi o anni di preparazione, è sotto la lente di tutti i governi, estremamente costoso e molto pericoloso
Se aggiungiamo il phishing alle altre attività cyber criminali basate sull’hacking e sulle tecnologie virus (quali carding, installazione di adwre e spyware, estorsione online, spionaggio industriale) troveremo un ricco ecosistema di microaziende e organizzazioni internazionali che lavorano insieme in maniera produttiva e con profitti davvero notevoli. Senza dubbio queste persone minacciano privati e aziende con il pericolo di perdite anche molto elevate e devono essere fermate.
Oltre a virus, worm, bot e Trojan, le organizzazioni stanno in particolare avendo a che fare con tecniche di social engineering e applicazioni che nella rete si camuffano come se fossero benigne. Adottare un approccio reattivo a questo attacco, significherebbe limitarsi a proteggere le reti con firewall stand alone, apparecchiature di intrusion prevention soluzioni anti virus e anti spyware nel disperato tentativo di toppare ogni falla. Ma questa strategia si sta rivelando errata in quanto comporta una spesa di milioni di euro, e nonostante questo si verificano continue falle.
Per combattere il cyber crime, è necessaria una seria legislazione a livello internazionale e una coordinazione capace di superare i confini dei singoli stati. Ma è anche necessario elaborare una risposta creativa da parte delle organizzazioni tenute “sotto tiro”. Le soluzioni di sicurezza reattiva “pezzo a pezzo” stanno lasciando spazio a sistemi di sicurezza multi threat unificati. Invece di dover installare, gestire e mantenere differenti dispositivi, le organizzazioni possono oggi consolidare le loro funzionalità di sicurezza in un unico apparecchio. Queste misure combinate, unite a una maggior consapevolezza degli utenti sono la miglior contromisura nei confronti delle attività dei cyber criminali.
(*) Threat Response Team Leader di Fortinet – Il presente intervento è basato su un paper dal titolo “Dirty Money on the Wires: The Business Models of Cyber Criminals” scritto per la 2006 Virus Bulletin Conference.
