Gli usi che possono farne i criminali e alcuni consigli per tenere il vostro passaporto al sicuro

passaporti

A cura di Paul Bischoff

Alla fine di settembre 2018, Comparitech ha fatto una ricerca su diversi mercati illeciti per scoprire quanto valgono i passaporti sul dark web – siti come Dream Market, Berlusconi Market, Wall Street Market e Tochka Free Market.

Ecco che cosa abbiamo scoperto:

  • il prezzo medio per la scansione digitale di un passaporto è di 14.71 dollari
  • Fornendo anche una prova del proprio indirizzo o della propria identità – un selfie, una bolletta e/o la patente di guida – il prezzo medio passa a 61,27 dollari.
  • I passaporti australiani sono i più diffusi, eppure i più costosi (32 dollari)
  • Il prezzo medio di un passaporto “fisico” è di 13567 dollari
  • Il prezzo medio di un passaporto “fisico” contraffatto è di 1478 dollari

Le scansioni dei passaporti, contraffatte o reali, sono spesso accompagnate da altre forme di identificazione, in genere una bolletta, o un selfie del titolare con un documento d’identità. Questi optional si riflettono nel prezzo: costano molto di più di una semplice scansione digitale.

La maggior parte dell’analisi si è concentrata sulle scansioni digitali e sulle immagini dei passaporti reali. In totale, abbiamo trovato 48 elenchi unici per le scansioni di passaporti reali, 38 dei quali non sono stati venduti con alcun documento d’identità o indirizzo. Quei 48 elenchi coprivano 20 paesi.

Le scansioni dei passaporti di Australia e Regno Unito erano le più frequenti, e quelle australiane in media le più costose. Non abbiamo trovato uno schema coerente con i prezzi in base al paese; non sembravano basati sulla scarsità dei passaporti o sulla potenza del paese. Un’ampia gamma di venditori vendono scansioni del passaporto, ma solo una manciata sembra essere specializzata in questi prodotti.

Tipi di passaporti in vendita sul dark web

I passaporti venduti sul web scuro sono disponibili nei seguenti formati:

  • Modelli Photoshop modificabili, utilizzati per effettuare scansioni di passaporti falsi. Questi modelli costano molto poco e sono disponibili per quasi tutti i paesi occidentali. Costituiscono la maggior parte delle quotazioni di mercato quando si cerca il termine “passaporto”.
  • Scansioni digitali. Queste scansioni di veri passaporti costano circa 10 dollari ciascuna e sono spesso vendute all’ingrosso. Sono disponibili per diversi paesi e sono abbastanza comuni.
  • Falsificazione fisica del passaporto. Abbiamo trovato elenchi di falsificazioni di passaporti contraffatti per una manciata di paesi europei. In genere costano circa 1000 dollari.
  • Veri passaporti fisici. Questi sono il vero affare, quindi non sono comuni né economici. La maggior parte di essi costano più di 12000 dollari.

Tutti questi passaporti sono venduti sul dark web in cambio di cripto valute, tipicamente Bitcoin o Monero.

Come possono essere usati dai criminali?

Alcuni degli obiettivi più comuni per i criminali che acquistano le scansioni dei passaporti includono scambi di valuta criptocurrency, sistemi di pagamento e siti web di scommesse.

Apertura di conti bancari

Alcune banche e altri istituti finanziari richiedono solo due elementi di identificazione per aprire un nuovo conto. Con un passaporto e una patente di guida rubati, ad esempio, i truffatori possono aprire conti e raccogliere i premi di iscrizione a nome della vittima, oppure utilizzare il conto per incassare altre transazioni illegali. Si tratta di una truffa chiamata “bank drop”, che può implicare la vittima in altri reati.

Supponiamo che le scansioni reali siano più efficaci delle contraffazioni Photoshopped per le truffe bancarie.

Truffe legate al recupero account

In questa truffa, gli hacker utilizzano travisamento e social engineering per aggirare l’autenticazione a due fattori, e abusano del processo di recupero dell’account utilizzato in molti siti. Il recupero dell’account richiede spesso la scansione o lo scatto di una foto di un documento d’identità fisica, come il passaporto.

I truffatori possono modificare le scansioni ID per impersonare i titolari di account su un certo numero di siti web che richiedono un ID fotografico per la verifica e il recupero dell’account.

Ecco un esempio di come una scansione del passaporto potrebbe essere utilizzata in una truffa per il recupero dei conti:

  • Le vittime hanno un conto in cripto valuta. Hanno impostato l’autenticazione a due fattori (2FA) sul loro conto, quindi viene inviato un codice ad un’applicazione sul loro telefono per verificare i dati di accesso.
  • Attraverso qualche altro espediente, il truffatore ruba la password dell’utente (magari attraverso il phishing o una violazione dei dati). Ma poiché sull’account è abilitata la 2FA, non può entrare.
  • Invece, il truffatore si finge la vittima, dicendo di aver perso l’accesso al telefono e di non poter ottenere il PIN di autenticazione.
  • Il wallet di cripto valuta richiede che il titolare del conto invii una scansione del proprio ID per provare la propria identità prima di reimpostare la 2FA. In molti casi, le aziende richiederanno alla persona di fare un selfie mentre tiene in mano il documento – da qui il prezzo più alto per le scansioni dei passaporti con selfie.
  • Il truffatore modifica le scansioni prese dal dark web, se necessario, in modo che corrispondano ai dati personali della vittima, poi le invia.
  • Una volta ricevuta la prova dell’identità, il sistema ripristina o rimuove la 2FA sull’account, consentendo all’hacker di accedere ai beni criptati della vittima e di scaricarli. Gli hacker cambiano regolarmente le password e gli indirizzi e-mail associati agli account per rendere più difficile per il proprietario dell’account riacquisirne il controllo.

Molti fornitori del mercato nero offrono di modificare le informazioni riportate nei documenti per abbinarvi qualsiasi nome e altri dettagli forniti dall’acquirente. L’acquirente può richiedere passaporti di persone con un certo sesso, colore dei capelli, colore della pelle, colore degli occhi e data di nascita approssimativa.

Quando si utilizzano i modelli di Photoshop, i criminali devono semplicemente inserire le informazioni che desiderano e inserire la propria foto. I numeri di passaporto sono sequenziali e quindi non difficili da indovinare, e la maggior parte delle aziende che richiedono la prova d’identità non verifica se il numero di passaporto corrisponde al titolare del passaporto.

Passaporti fisici

Tutti i passaporti fisici che abbiamo trovato in vendita sul web erano di paesi europei. I passaporti fisici venduti sul dark web sono disponibili in due forme: autentici e falsi. Possono essere utilizzati per qualsiasi reato legato alla frode, nonché per l’immigrazione clandestina, la tratta di esseri umani e il contrabbando.

I passaporti autentici rilasciati dallo stato sono difficili da trovare e costano molto, da 8216 dollari (Germania) a 17116 dollari (Regno Unito). Il prezzo medio degli otto passaporti apparentemente autentici era di 13567 dollari. Almeno un fornitore sostiene che questi passaporti provenivano dai “nostri contatti corrotti della polizia dell’immigrazione”, anche se non abbiamo modo di verificarlo. In molti casi gli acquirenti hanno la possibilità di specificare quali dettagli sono inclusi nel passaporto, compresi i timbri per determinati paesi.

Le falsificazioni costano circa un decimo del prezzo, ma sempre più di 1000 dollari. Il prezzo medio dei sei venditori che vendono falsificazioni è stato di 1478 dollari. Gli acquirenti presentano le informazioni e la foto da utilizzare nella contraffazione quando si effettua l’acquisto.

Come proteggere il vostro passaporto

Proteggere il proprio passaporto è difficile perché è richiesto di mostrarlo in moltissime occasioni durante il viaggio. I passaporti sono richiesti ai punti di controllo dell’immigrazione, ai check-in degli hotel e quando ci si rivolge a posti di lavoro e scuole all’estero. I passaporti sono spesso scansionati e conservati su computer che potrebbero non essere sufficientemente sicuri. Qualcuno con accesso a queste scansioni potrebbe essere venderli sul dark web. È facile immaginare un receptionist in un ostello a buon mercato che gira scansioni della clientela sul dark web per pochi spiccioli.

Si dovrebbe fare tutto il possibile per proteggere il passaporto in modo che non venga usato impropriamente dai criminali. Ecco alcuni suggerimenti:

  1. In molti casi, è possibile fornire una copia del passaporto invece di farla scansionare da uno sconosciuto. Eseguite le scansioni in bianco e nero prima del vostro viaggio, perché la maggior parte dei criminali vuole delle copie a colori.
  2. Non postare foto dell’interno del proprio passaporto sui social
  3. Distruggete i vecchi passaporti, non buttateli semplicemente via
  4. Non lasciate il vostro passaporto nel bagaglio stivato di aerei, treni o autobus
  5. Fate attenzione ai borseggiatori e utilizzate una borsa antifurto.
  6. Non lasciate il vostro passaporto in giro in vostra assenza, ad esempio in una stanza d’hotel. Mettetelo sotto chiave quando possibile
  7. Non salvate copie del vostro passaporto su dispositivi che possano essere rubati o violati. Criptate le scansioni e salvatele su un hard drive apposito o sul cloud
  8. Non conservate il vostro passaporto con altri documenti che potrebbero essere usati per rubare la vostra identità