Comprare dati rubati su internet è davvero conveniente

In occasione delle vacanze di Natale, due ricercatori di sicurezza informatica hanno pubblicato un listino prezzi applicato dagli hacker per effettuare vari servizi, tra cui furto dei numeri di carta di credito, contraffazione di documenti, attacchi DDoS e violazione di dati .

Joe Stewart, direttore della Malware Research for the Counter Threat Unit alla Dell SecureWorks, e David Shear, un ricercatore indipendente, hanno raccolto dettagli su quanto costino il furto di credenziali e le operazioni di hacking su commissione: nella maggior parte dei casi, probabilmente meno di quanto vi aspettate.

La parte interessante dei loro risultati—a parte i prezzi stracciati—riguarda il fatto che la "underground hacking economy" non è cambiata molto dall'ultima volta che i ricercatori hanno effettuato il loro studio nel 2011. "L'unica differenza evidente è il calo di prezzo per i dati di accesso ai conti bancari online, per i Fullz o le credenziali personali", afferma il rapporto.

I "Fullz" sono una raccolta di dati personali che includono nome e cognome, indirizzo, numero di telefono, e-mail, data di nascita, numero di previdenza sociale e di solito alcune informazioni bancarie come i dati di login. I Fullz di solito costavano tra i 40 e i 60 dollari sul mercato nero, ma adesso te li puoi portare a casa per 25 dollari negli Stati Uniti e 30-40 in altre parti del mondo. La ragione del calo di prezzo è un aumento "massiccio" dell'offerta—oggi ci sono molti più numeri di carte di credito clonate e dati personali violati che transitano sul mercato nero.

Da soli, i numeri di carta di credito—compreso il codice CVV—sono incredibilmente a buon mercato. Negli Stati Uniti costano meno di 10 dollari, con i dati della banda magnetica disponibili a un costo aggiuntivo. Nel complesso, le carte del resto del mondo sono generalmente più costose, ma comunque si parla di poco meno di 20 dollari l'una. Le credenziali diverse da quelle statunitensi, con numeri di carte clonate e conti bancari, in realtà valgono sempre qualcosa di più rispetto ai loro omologhi americani, ma i ricercatori non hanno tratto alcuna conclusione sul perché.

Altre informazioni sorprendentemente poco costose includono i dati di login al conto bancario e alcune combinazioni di password. Credenziali di questo genere per un account con un saldo tra 70.000 e 50.000 dollari costano circa 300 bigliettoni, forse meno, a seconda della banca e della nazionalità.

Anche altri servizi di hacking tristemente noti, come computer infettati da malware o botnet, sono altrettanto a buon mercato. Nel caso più economico, 1.000 bot costano appena 20 dollari. Il prezzo sale a 15.000 macchine infettate per 250 verdoni. In questo caso, però, i computer americani costano di più di quelli situati in Asia per ragioni legate alla migliore qualità delle connessione internet.

I computer infettati da malware hanno una varietà di usi, e i truffatori informatici spesso li mungono per raccogliere credenziali finanziarie, creare spam bot, e in alcuni casi per installare ransomware. Il ransomware limita l'accesso a un computer finché non viene pagato un riscatto all'hacker che ha il controllo della macchina, e secondo McAfee è un fenomeno che sta diventando sempre più diffuso in tutto il mondo.

Un'altra opzione disponibile sul mercato nero, che consente l'accesso remoto a un computer, è il "remote access trojan" o RAT. Secondo la ricerca, un RAT costerebbe tra i 50 e i 250 dollari, spesso con un pacchetto software opzionale per rendere il trojan "del tutto invisibile" ai software antivirus. Nel caso siate troppo pigri per impostare il server di controllo remoto, un hacker è felice di farlo al posto vostro per un extra di 20-50 bigliettoni.

Per i più esperti, c'è la possibilità di ottenre il nuovo kit di exploit che risponde al nome di Sweet Orange. Non è affatto economico, e può arrivare a circa 450 dollari a settimana o 1.800 al mese. In realtà il kit di exploit è un pezzo di codice nascosto su un sito web che individua e sfrutta le vulnerabilità delle applicazioni di diversi computer. Nonostante il prezzo sia più elevato rispetto ad altri servizi di hacking, è più conveniente del suo famoso predecessore, il fu exploit BlackHole.

A completare il listino prezzi ci sono gli attacchi DDoS, proprio come quelli resi famosi dal gruppo di hacktivisti Anonymous. Sono affittabili a ore, giorni o settimane e costano, rispettivamente, da tre a cinque, 90-100 e 400-600 dollari. Tutti i servizi offrono la garanzia di mettere fuori gioco il sito bersaglio, e ovviamente gli hacker di una certa fama costano più degli altri. D'altra parte, una classica intrusione nel sito web di un'azienda o un'organizzazione costa dai 100 ai 300 verdoni—ma può costare anche di più a seconda della reputazione degli hacker. Tuttavia, il servizio non è rivolto a qualsiasi tipo di obiettivo: gli hacker censiti dai ricercatori hanno messo in chiaro che non avrebbero mai attaccato siti web governativi o militari.

In conclusione, i ricercatori hanno scritto che non c'è affatto "carenza di hacker disposti a fare qualsiasi cosa, legata ai computer, per i soldi. Inoltre, trovano di continuo modi per monetizzare i dati personali e aziendali." E più il numero di hacker là fuori aumenta, più i loro prezzi diventano competitivi. Forse è il momento di mettere la sicurezza online in cima alla vostra lista di cose da migliorare per il nuovo anno.