Almeno cinque milioni di persone hanno subito il furto della propria identità online, venduta sui bot market a un prezzo medio di 6 €. Di tutte le persone colpite, 130mila sono italiane. Questo pone l’Italia all’ottavo posto delle nazioni più colpite al mondo (la Francia è 13° e la Germania 17°).
L’Italia, inoltre, è stato il Paese più colpito dal bot market Genesis. Circa il 30% dei dati venduti su questo mercato del dark web è italiano. Per confronto, i dati francesi rappresentano solo il 7% dello stesso mercato e quelli tedeschi meno del 3%.
Queste cifre derivano da una ricerca condotta dalla società di sicurezza informatica NordVPN, che ha esaminato tre principali bot market. In questa circostanza, la parola “bot” non indica un programma autonomo, ma si riferisce a un malware di raccolta dei dati.
I bot market sono marketplace online che gli hacker sfruttano per vendere i dati rubati dai dispositivi delle loro vittime attraverso malware bot. I dati vengono venduti in pacchetti, i quali includono dati di login, cookie, digital fingerprints e altre informazioni: in pratica, l’identità digitale completa di una persona compromessa.
“Ciò che rende i bot market diversi dagli altri mercati del dark web è la loro capacità di raccogliere grandi quantità di dati su una persona in un unico posto. E una volta venduto il bot, garantiscono all’acquirente che le informazioni della vittima saranno aggiornate fintanto che il dispositivo è infettato dal bot”, afferma Marijus Briedis, CTO presso NordVPN. “Una semplice password non ha più valore per i criminali, quando possono acquistare dati di login, cookie e impronte digitali con un click per soli sei euro”.
I ricercatori hanno analizzato tre principali bot market: il Genesis Market, il Russian Market e 2Easy. Tutti i mercati erano attivi e accessibili sul Surface Web al momento dell’analisi. I dati sui bot market sono stati elaborati in collaborazione con ricercatori indipendenti di terze parti specializzati nella ricerca sugli incidenti di sicurezza informatica.
Le tipologie più comuni di malware che rubano i dati sono RedLine, Vidar, Racoon, Taurus e AZORult.
Quali informazioni gli hacker vendono sui bot market?
- Screenshot di un dispositivo. Durante un attacco malevolo, un virus potrebbe acquisire uno screenshot della schermata dell’utente. Può persino scattare una foto con la webcam dell’utente.
- Login e altre credenziali. Quando un virus attacca il dispositivo dell’utente, potrebbe acquisire i dati di accesso salvati nel browser. La ricerca ha scoperto 26,6 milioni di dati di login rubati sui mercati analizzati. Tra questi, 720mila erano login di Google, 654mila di Microsoft e 647mila di Facebook.
- Di solito, questi vengono sottratti dal browser dell’utente e aiutano i criminali a bypassare l’autenticazione a due fattori. La ricerca ha trovato 667 milioni di cookie rubati sui mercati analizzati.
- Digital Fingerprints. L’impronta digitale di una persona include la risoluzione dello schermo, le informazioni sul dispositivo, la lingua predefinita, le preferenze relative al browser e altre informazioni che rendono unico l’utente. Molte piattaforme online tengono traccia delle impronte digitali dei loro utenti per assicurarsi di autenticarli correttamente. Durante la ricerca, sui mercati analizzati sono state trovate 81mila digital fingerprints
- Moduli a compilazione automatica. Molte persone utilizzano la funzione di compilazione automatica per i propri nomi e indirizzi e-mail, nonché per le carte di pagamento e gli indirizzi. Tutti questi dettagli possono essere rubati dal malware. Durante la ricerca, sul mercato preso in esame sono stati trovati 538mila moduli a compilazione automatica.
Un crimine perfetto sfruttando i bot
La cosa più spaventosa dei bot market è che rendono facile per gli hacker sfruttare i dati della vittima. Persino un criminale informatico alle prime armi può connettersi all’account Facebook di un utente se è in possesso dei cookie e delle digital fingersprints, tutte cose che permettono di bypassare l’autenticazione a più fattori.
Dopo aver eseguito l’accesso all’account di un utente, un criminale informatico può provare a contattare le persone presenti nell’elenco degli amici della vittima e inviare link dannosi o chiedere un trasferimento di denaro. Inoltre, può anche pubblicare informazioni false sul feed social della vittima.
Le informazioni rubate dai moduli a compilazione automatica o semplicemente attraverso uno screenshot del dispositivo possono contribuire a rendere più credibili e affidabili queste attività. E non sarà possibile rilevare chi ha utilizzato i dati dell’utente.
“Alcune strategie sono ancora più semplici. Un hacker può, ad esempio, assumere il controllo dell’account Steam di una vittima cambiando la password. Gli account Steam vengono venduti a cifre che raggiungono i 6.000 dollari per account e possono essere soldi facili per un criminale”, afferma Marijus Briedis.
I criminali più sofisticati acquistano queste informazioni e prendono di mira le aziende con attacchi di phishing, cercando di spacciarsi per i dipendenti dell’azienda stessa.
“Per proteggervi, utilizzate sempre un antivirus. Altre misure che potrebbero aiutare: un password manager (gestore di password) e strumenti di crittografia dei file per assicurarsi che, laddove un criminale dovesse infettare il dispositivo, avrebbe ben poco da rubare”, aggiunge Marijus Briedis.