Guillaume Lovet di Fortinet spiega quanto sia redditizio il crimine in rete
Non si vive di solo phishing. La fantasia dei cyber criminali è fervida e altri sono i modi con cui ci si procura del denaro. Con poca fatica, altrettanti rischi e business model profittevoli.
Al momento, spiega Guillaume Lovet Emea threat response team leader in Fortinet in un intervento presentato nel corso della Virus Bulletin Conference, “i profitti generati dalla cybercriminalità a livello mondiale si aggirano tra i 50 e i 100 miliardi di dollari all’anno e si avvicinano ai ricavi dell’attività del traffico di sostanze illecite”.
Cifre molto a spanne che nascondono una realtà dove i tradizionali defacement (la sostituzione delle home page dei siti) servono solamente come mezzo d’espressione di orgoglio nazionale o etnico da parte di giovani esponenti di minoranze, che per definizione non sono motivati da fini di lucro. In ogni caso, di recente abbiamo assistito a un’interessante evoluzione del fenomeno nei casi in cui i defacer, oltre ad affermare la propria identità etnica o religiosa, hanno aggiunto un sistema per generare qualche dollaro.
Ma il pericolo non viene da qui.
Danni molto maggio ha inferto l’attacco Mpack che nel giugno 2007 ha compromesso più di 8000 siti italiani in quello che sembrava l’hacking di un server principale di hosting. I costi dell’operazione prevedono l’acquisto del software Mpack per 700 dollari, 10.000 dollari per la compromissione del server di una società di hosting che ospita migliaia di siti e altri 50 dollari per altre operazioni.
“La parte più difficile – osserva Lovet – è la violazione dell’azienda di hosting. Non esiste una regola universale, ma supponendo che i server di una società di hosting di alto profilo dispongano di tutte le patch è comunque possibile comprometterne uno con un cosiddetto 0-day exploit (cioè un exploit non pubblico per cui non esiste patch). Nel mercato nero della cybercriminalità, il prezzo di questo tipo di exploit va dai 5000 ai 50.000 dollari”.
Ipotizzando che diecimila siano i pc infetti che diffondono lo spam, che ognuno invii centomila mail pagate dagli inserzionisti 0,03 cent l’una, in una volta si hanno ricavi per 30.000 dollari. Senza il costo dell’exploit il guadagno sarebbe di circa 290.000 dollari.
Ovviamente è possibile aumentare la produttività del modello facendo svolgere più compiti alle macchine infette, usandole non solo per diffondere spam, ma anche per impiantare adware, trojan, frodi coi click e altro.
Anche il Web 2.0 ha i suoi pericoli. Uno spammer in possesso di seimila account può raggiungerne circa sessantamila indirizzi grazie ai siti di social networking. Ipotizzando che i 60.000 messaggi pubblicitari inviati saranno visti 1.800.000 volte al giorno con un click-through rate del 5% (su 100 persone che visitano la pagina, 5 cliccheranno il commento di spam), questo significa 90.000 click al giorno che fanno un utile netto di 4.500 $ dollari al giorno, ipotizzando un compenso basso di 0.05$ e quindi 135.000$ al mese.
Stime non precise e discutibili ma che danno un’idea della redditività di certe operazioni. Poi ci sono worm come Samy che nel giro di 20 ore, ha infettato più di un milioni di profili individuali. Teoricamente questo significa che il worm potrebbe avere spedito (per conto degli utenti infetti) annunci pubblicitari ad almeno 1 milione di profili diversi. Considerando ancora un click-through rate del 5%, a 0,05$ per click, vorrebbe dire almeno 75.000$ nelle prime 24 ore e probabilmente più di mezzo milione di dollari in meno di una settimana.
In questo caso, viste le cifre in gioco e la tracciabilità finanziaria dei programmi di affiliazione, secondo Lovet, i rischi sono elevati. Per questo è probabile che i phisher dei siti di social networking non usino la riserva di account rubati per il proprio tornaconto ma semmai li affittino a spammer hardcore come farebbero i proprietari di botnet. Da qui deriva un business model che prevede 720 dollari di costi e per l’affitto dei servizi di un phisher di un sito di social networking e 15.000 dollari di profitti in un mese frutto del Click-through e del pay-per-click.
