Vi siete mai chiesti quanto valgano i computer hackerati, gli indirizzi email o gli account online? Compromettere un conto in banca online o un account PayPal deve apportare certamente interessanti benefici a un criminale, ma possiamo dire lo stesso di un account Facebook, Skype o delle altre miriadi di servizi online?
Ci sono almeno due modi attraverso i quali possiamo calcolare il valore. Uno di questi è economico: qual è il valore di mercato di un account craccato? Questi account sono molto preziosi soprattutto in ingegneria sociale. Infatti, vengono spesso usati in attacchi phishing compresi all’interno di un attacco di più grande dimensioni che ha come oggetto la violazione di altri target. Ma in che modo vengono usati? E qui arriviamo al secondo modo.
Fortunatamente per noi, Brian Krebs, reporter del Washington Post e uno dei giornalisti del settore più rispettati, ha pubblicato sul suo sito Krebs on Security, uno tavola dove viene indicato il valore di una macchina compromessa. Ha studiato l’idea varie volte e ha incluso una valutazione sulle email hackerate e sugli account. Sulla base delle ricerche di Krebs, l’istituto SANS ha elaborato una tavolta disponibile in varie lingue (si veda l’immagine sottostante):
Iniziamo con il valore economico degli account e osserviamo le stime di Krebs calcolate tenendo in considerazione i forum del mercato nero dove in genere vengono venduti. L’esperto afferma che un venditore può vendere un account iTunes per circa 6 €; un account Fedex.co, Continental.com, United.com e Groupon per circa 4/5 €; un account Facebook e Twitter attivo per circa 1,5 €. Sono sicuro che i prezzi di questi account si alzeranno un po’ se appartengono a target importanti, come diplomatici, persone prominenti del mondo degli affari, celebrità, impresari e così via. In un appartato separato, Krebs ha rilevato che Dell, Overstock, Waltmart, Tesco BestBuy, Target e altri account retail online possono valere circa 1 o 2 €.
L’aspetto più curioso riguarda gli account PayPal o i conti in banca online: il loro valore non è così alto come si potrebbe pensare. Ipotizziamo per esempio che voi abbiate nel conto online o nella carta di credito associata a PayPal 2.000 euro. Pensate che il vostro account valga molto? Non è proprio così. I criminali che compromettono questi account lo fanno all’ingrosso e coloro che li compromettono, non li svaligiano. È un compito arduo e troppo pericoloso. Quello che fanno è hackerare l’account e venderne l’accesso nei forum del mercato nero.
Ho letto varie sentenze e ricerche relative ai prezzi imposti da particolari gang di criminali in seguito a truffe di carte di credito o violazioni di account PayPal. Il valore di tali account varia molto, ma in generale il prezzo aumenta se l’account appartiene a un cittadino statunitense o europeo e dipende dai soldi contenuti nel conto. Il valore dell’account sarà maggiore per quei servizi associati a un account bancario o alla carta di credito o a una verificazione via email. A questo proposito, Dancho Danchev, un importante ricercatore in materia di sicurezza IT, ha scritto a febbraio un’eccellente articolo sul come questi fattori possano cambiare il valore dell’account PayPal compromesso.
Un altro modo molto popolare per fare soldi attraverso un account violato è usare i money mule (muli o intermediari che muovono denaro). In questi casi, l’account di per sé vale molto di più di quello che contiene al suo interno. In poche parole, gli operatori money mule pubblicano annunci dove viene offerta la possibilità di guadagnare ‘soldi facili’, spostando i soldi da un conto in banca e trasferendoli sul conto del criminale. I ladri che organizzano queste truffe non pubblicano annunci in cerca di money mule, ma la gente che accetta queste offerte lo sono a loro insaputa, fungendo da money mule senza saperlo. Molto spesso non sono nemmeno pagati dopo il ritiro e il trasferimento del denaro.
È difficile dare un valore alle email e agli account bancari perché la maggior parte del loro valore dipende dal contenuto degli account e dall’identità dei loro proprietari (e questo ci fa riflettere sul valore non economico di tali account). La mail è molto spesso il nucleo centrale attraverso la quale viene gestito un account. Quando dimenticate una password, la si può resettare attraverso l’email. Per esempio, le password che utilizzo sono molto complesse e talvolta non mi resta altra possibilità se non quella di resettarle perché non me le ricordo.
Io personalmente tengo sempre in considerazione le norme di sicurezza con i miei account e vi consiglio di fare altrettanto perché se l’account email a cui sono collegati tutti i vostri account e servizi viene hackerato, potete ritrovarvi in un bel guaio. Vi raccomando di cambiare la password ogni quadrimestre e di installare e adottare ogni implementazione di sicurezza appena disponibile. La doppia autenticazione e l’autenticazione mobile sono un imperativo categorico. Io, per esempio, posso resettare la password della mia email via dispositivo mobile e utilizzo un account email segreto attraverso il quale recuperare l’email primaria nello sfortunato caso che qualcuno craccasse il mio account e rubasse il mio telefono. Lo stesso vale per il mio conto in banca dove ho attivato il secondo passaggio di autenticazione e ho adottato una password forte.
Un account email violato è inoltre un pericolo per tutti i vostri contatti. Lo stesso si può dire per gli account social network. Le persone con cui siete in contatto hanno fiducia in voi. Se qualcuno dei vostri amici ricevesse da un account email conosciuto un’email phishing con un link pericoloso, probabilmente lo aprirebbe e lo stesso può succedere a voi. Dunque è bene accettare l’idea che un abbassamento della guardia rispetto alle norme di sicurezza potrebbe arrecare seri danni a coloro che vi circondano. Pensateci su e cercate di prestare sempre la massima attenzione e di evitare le trappole dei cybercriminali.