Dati personali e carte di credito venduti nel web sommerso

Intel Security (l’ex McAfee) ha pubblicato un interessante studio che rivela le fasce di prezzo dei dati rubati, acquistati e venduti nei marketplace dei criminali informatici.
Esiste infatti, da anni, un’economia sommersa dei dati (tra l’altro è proprio questo il titolo della ricerca di Intel Security, consultabile a questo indirizzo): gruppi di criminali informatici usano infatti rivendere, tra le pieghe del Web, dettagli di carte di credito, credenziali di accesso ai conti bancari, ai servizi di bonifico bancario, di trasferimento di denaro, credenziali di accesso ai servizi di pagamento on-line, a servizi di contenuti premium, reti aziendali, conti fedeltà e servizi di aste online.

I dati relativi alle carte di pagamento sono forse il tipo di dati rubati e venduti con maggiore frequenza. I ricercatori hanno individuato una gerarchia di valore che viene stilata sulla base delle modalità con cui i dati vengono rubati e catalogati. L’offerta di base comprende, ad esempio, il numero di conto principale, la data di scadenza della carta ed il codice CVV2.

I prezzi aumentano quando l’offerta comprende ulteriori informazioni permettendo ai criminali di realizzare più cose con i dati a disposizione. Dati come il numero di conto bancario, la data di nascita della vittima, l’indirizzo di fatturazione della vittima, codici PIN, il numero di previdenza sociale, la data di nascita, il nome da nubile della madre, il nome utente e la password utilizzati per accedere, gestire e modificare l’account online del titolare della carta richiedono esborsi economici più importanti.

Una “scheda completa” di un utente da aggredire (residente in un Paese dell’Unione Europea) viene ad esempio commercializzata a 45 dollari mentre si parte da 25-30 dollari per i dati basilari.

A seconda di quanta disponibilità vi sia su una carta di credito od un conto corrente bancario, le cifre richieste dai criminali possono salire vertiginosamente: un conto bancario con saldo sui 2.200 dollari può valere fino a 190 dollari. Il costo delle credenziali di accesso al conto in banca unito alla possibilità di trasferire di nascosto denaro verso banche negli Stati Uniti si aggira tra i 500 dollari per un conto con saldo 6.000 dollari, a 1.200 dollari per un conto con saldo di 20.000 dollari.

Nella maggior parte dei casi, le credenziali altrui vengono “rastrellate” sui sistemi degli utenti. È quindi porre la massima attenzione nel mettere in sicurezza, in primis, il browser web ovvero il componente che spesso funge da porta di accesso per il malware: Browser più sicuro, quali i passaggi da seguire.
Attenzione anche al phishing (Come riconoscere email phishing) ed all’identità e all’origine dei software che si scaricano e si installano in locale (Come non prendere virus e malware quando si scaricano programmi).

Gran parte delle attività di vendita poste in essere dai criminali informatici vengono svolte nell’ambito del deep web, quel web sommerso che non è immediatamente accessibile e che si apre al browser solo previa installazione del client TOR (Anonimato in Rete con TOR: per visitare qualunque sito tutelando la propria privacy).