Probabilmente conoscete già questo strano fenomeno: gli incidenti aerei attirano molto di più l’attenzione rispetto agli incidenti d’auto, anche se il numero di vittime all’anno è decisamente inferiore nella prima situazione. Questo fenomeno si applica anche ad altri aspetti della vita, compresi la cybersecurity e le informazioni prese dai cybercriminali.
Quando nel 2014 abbiamo scoperto che il gruppo di cybercriminali Carbanak si era impossessato di oltre un miliardo di dollari, per la stampa è stata una notizia bomba. Tuttavia, non dovremmo dimenticare che le truffe più comuni che colpiscono ogni giorno le carte di credito portano a perdite economiche decisamente più importanti. Ad esempio, il giornale The Nilson Report ha calcolato che nel 2018 le truffe sulle carte di credito hanno provocato perdite economiche di circa 24 miliardi di dollari, cifra che si prevede aumenti in modo significativo quest’anno. Il carding (così i cybercriminali e gli esperti in sicurezza informatica chiamano le truffe che riguardano le carte di credito) non è affatto morto. Anzi.
Questo dato può sorprendere, considerando che sempre più banche implementano severi sistemi di sicurezza e soluzioni intelligenti basate sull’apprendimento automatico per prevenire le truffe e per evitare che vengano rubati fondi dalle carte di credito. In teoria, questi sistemi dovrebbero fare da deterrente per i cybercriminali alle prime armi, eppure le statistiche dicono il contrario. Sui forum della darknet, se qualcuno fa una domanda del tipo “qual è il primo passo nella carriera di un cybercriminale?” tutti risponderanno “il carding“.
Per fortuna, il carding è diventato più difficile grazie alle misure di sicurezza implementate dalle banche e dalle piattaforme di pagamento. Purtroppo, invece, in realtà i sistemi antifurto non funzionano così bene; inoltre, coloro che vogliono cimentarsi nel furto di denaro dalle carte di credito hanno a disposizione servizi appositi e strumenti per farlo (e un mercato dove trovarli).
Impronta digitale: prendere in prestito un’identità per rubare da una carta di credito
Il ricercatore di Kaspersky Lab Sergey Lozhkin ha scoperto un mercato nella darknet che si chiama Genesis e che viene utilizzato per rivendere le maschere digitali. Lozhkin ha approfondito l’argomento in occasione del suo intervento al Security Analyst Summit 2019. Una maschera digitale consiste nell'”impronta digitale” dell’utente (cronologia web, informazioni del browser e del sistema operativo, plugin installati etc.) oltre alle informazioni sul comportamento dell’utente, quello che fa online e come lo fa.
Perché i cybercriminali dovrebbero rivendere queste maschere digitali e cosa hanno a che vedere con il carding? Queste informazioni vengono utilizzate dai sistemi antifurto per verificare che l’utente autorizzato sta accedendo al servizio. Se la maschera digitale di un sistema antifurto trova delle corrispondenze con quanto visto in precedenza (e che appartiene all’utente), la transazione viene considerata legittima. Per molte banche, ciò vuol dire che non è necessario neanche richiedere un codice 3D Secure via SMS o notificazione push da inviare agli utenti per confermare la transazione.
Se il cybercriminale in qualche modo riesce a rubare la vostra maschera digitale e le vostre credenziali di banking online, il sistema antitruffa non vedrà nulla di sospetto e non darà l’allarme. Così i cybercriminali prosciugheranno il vostro conto senza che nessuno se ne accorga.
Ecco perché i cybercriminali si appropriano dei dati dai dispositivi degli utenti e li mettono in vendita su Genesis. Altri cybercriminali compreranno questi dati, il cui costo varia dai 5 ai 200 dollari a seconda del volume di dati e delle credenziali di accesso, e le utilizzano per spacciarsi per i proprietari della maschera digitale.
Per fare tutto ciò basta utilizzare un plugin gratuito per il browser (sviluppato da coloro che hanno creato Genesis) che si chiama Genesis Security. Il plugin permette di utilizzare la maschera digitale per ricreare l’identità virtuale del legittimo utente e ingannare così i sistemi antitruffa. In pratica, il plugin modifica i parametri che analizzano questi sistemi per farli combaciare con quelli del dispositivo della vittima, ricreando così il loro comportamento online.
Raccolta di impronte digitali
I cybercriminali autori di Genesis dove prendono i dati che poi rivendono? La risposa è semplice anche se un po’ vaga: da vari esemplari di malware.
Non tutti i tipi di malware provano a cifrare i vostri dati per richiedere un riscatto o per appropriarsi dei vostri soldi dopo aver preso il controllo del dispositivo. Ci sono malware che rimangono nell’ombra, raccolgono tutti i dati possibili per creare le maschere digitali che verranno poi rivendute su Genesis.
Altri modi per bypassare i sistemi antitruffa
Il primo modo per aggirare i sistemi di prevenzione delle truffe è avere un aspetto famigliare agli altri sistemi o un aspetto completamente nuovo. I cybercriminali conoscono entrambi i modi e, ovviamente, c’è un servizio su Internet anche per questo.
Con l’espressione “completamente nuovo” si intende che non ci sono praticamente parametri di corrispondenza tra la maschera digitale utilizzata e qualsiasi altra maschera di cui è a conoscenza il servizio. Questo significa che i cybercriminali non sono autorizzati a collegarsi al servizio con attivo un sistema di prevenzione delle truffe (anche installando un altro browser sul PC) se alcuni parametri (come l’hardware del computer, la risoluzione dello schermo o altro) corrispondono a quelli della maschera digitale utilizzata precedentemente.
Tuttavia, esiste un servizio chiamato Sphere che consente ai cybercriminali di creare una nuova identità digitale e di personalizzare tutti questi parametri, così agli occhi del sistema antitruffa sembrerà tutto completamente nuovo. E non c’è alcun motivo per non fidarsi di questa nuova persona.
Come difendersi
Insomma, non importa quanto sia avanzato il sistema antitruffa, queste tecniche continuano a funzionare perché gli algoritmi di questi sistemi (che determinano se una persona è autorizzata ad accedere ai fondi oppure no) si affidano agli stessi dati raccolti dai cybercriminali.
Allora ci chiediamo: è possibile difendersi da queste truffe così avanzate sulle carte di credito?
Dal punto di vista delle banche, è obbligatorio introdurre l’autenticazione a due fattori, impiegando magari come secondo fattore di verifica alcuni sistemi biometrici quali la lettura delle impronte digitali (reali), la scannerizzazione dell’iride o il riconoscimento facciale.
Dal punto di vista dell’utente, l’unico modo per proteggervi da questo tipo di truffe è evitare che i cybercriminali possano raccogliere i dati della vostra maschera digitale. Vi consigliamo di installare una soluzione di sicurezza robusta in grado di eliminare qualsiasi malware che provi ad appropriarsi dei vostri dati.