Navigare in rete, condividere pensieri, foto e informazioni sui social e digitalizzare la nostra vita privata è comodo e divertente, ma le insidie e i pericoli sono innumerevoli. Abbiamo già parlato di attacchi informatici, malware, phishing ecc., ma che succede quando neanche ci accorgiamo del pericolo? Che succede quando, a nostra insaputa, vengono rubati e trapelati i nostri dati privati e personali?

Per definizione, non ci aspettiamo che queste informazioni trapelino online e, anche se dovesse succedere, non ci verrebbe mai in mente che possano in qualche modo danneggiarci. Secondo un recente studio di Kaspersky, il 37% dei millennial pensa di non essere abbastanza interessante per finire vittima del crimine informatico.

In vari paesi si stanno compiendo significativi sforzi per proteggere meglio i dati personali, i governi impongono nuove direttive per garantire la protezione e penalizzare la gestione irresponsabile delle informazioni private dei cittadini. Le nuove direttive sulla protezione, come il GDPR nell'UE e il Brazilian General Data Protection Act (LGPD), oltre ad aumentare il controllo sulle pratiche di trattamento dei dati, hanno costretto le organizzazioni a migliorare la loro sicurezza e prendere più seriamente la minaccia del trafugamento dei dati.

Tuttavia, questo non significa che i essi siano al sicuro. In alcuni casi, i dati rubati vengono utilizzati per pratiche di riscatto, in altri vengono pubblicati online. Altre volte si tratta di un misto di entrambe le cose: come quando gli hacker che hanno utilizzato il ransomware Maze, che minacciava di pubblicare dati privati se non veniva pagato il riscatto. Ma la maggior parte di queste informazioni finisce sul Dark Web come merce…anche molto accessibile. I forum e i mercati del dark net, essenzialmente mercati di beni fisici e digitali illegali, vengono utilizzati dai criminali informatici per vendere servizi e prodotti, dai malware ai dati personali.

Se dovessimo prendere in considerazioni tutte le offerte di dati personali sul darkweb, dovremmo scrivere un libro a parte, quindi ci concentreremo solo sulle categorie più popolari. Vediamo il costo dei singoli elementi:

Servizi di abbonamento: $0.50 - $8

Nel mondo dell'intrattenimento che si basa sull’abbonamento, l'accesso a piattaforme di streaming, di gioco o di contenuti popolari, è molto richiesto. Anche se i dati personali non vengono sfruttati in questo contesto, perdere l'accesso al proprio account di Netflix, Twitch o Pornhub non è gradevole. Le credenziali rubate non sono vendute solo al mercato nero, ma anche in comunissimi forum. Il dark web di solito offre pacchetti di credenziali che possono poi essere venduti singolarmente a più clienti. Il prezzo per l'accesso a questi servizi varia dai 50 centesimi agli $ 8.

Dati della carta d'identità: $0.5 - $10

I documenti d'identità sono il principale mezzo di identificazione nella maggior parte dei paesi, compresi gli Stati Uniti e tutta l’Europa. Anche se importanti, il costo di questi documenti sul mercato nero non è così alto e dipende da quanto è completa l'informazione. Ad esempio, le informazioni con un nome completo e un codice fiscale costerà un minimo di $0,50 a persona, mentre il prezzo per un pacchetto completo con numero di identificazione, nome completo, codice fiscale, data di nascita, e-mail e telefono cellulare, può arrivare a $10 a persona. Il prezzo varia anche a seconda delle dimensioni dell'acquisto - i dati venduti a pacchetto sono più convenienti della singola unità.

Scansione del passaporto: $6 - $15

I passaporti sono un altro tipo di documento di identificazione molto popolare tra i criminali informatici. In alcuni paesi come la Russia, l'Ucraina e altri ex Stati sovietici, vengono utilizzati al posto della carta d’identità e spesso richiesti per ricevere praticamente qualsiasi servizio – dallo sporgere denuncia al prendere un prestito

Le scansioni dei passaporti sono più costose dei semplici dettagli di identificazione, con prezzi che variano dai $6 ai $15, a seconda della qualità della scansione e del paese di origine. In genere, ci sono due tipi di scansione del passaporto- la scansione di un solo lato che, comprensibilmente, è più economica di una scansione di un passaporto completo.

Dati della carta di credito: $6 - $20

I dati della carta di credito rientrano nella categoria delle informazioni di base rubate e utilizzate dai criminali informatici. Le informazioni complete della carta di credito compresi il nome, il numero ed il codice di CVV, possono essere utilizzate per fare prelievi o acquistare le merci online. Il costo va dai $6 ai $20 a carta di credito. Il prezzo per tali dati è dettato dal paese di origine, dalla banca e soprattutto, a quanto ammonta la cifra. Naturalmente, i nuovi sistemi bancari antifrode stanno rendendo la vita più difficile agli hacker, costringendoli a trovare costantemente nuove metodologie. Tuttavia, con i dettagli della carta di credito come punto di partenza per la maggior parte di questi regimi, queste informazioni sono ancora lontane dall’essere obsolete.

Scansioni della patente: $5 - $25

Le patenti di guida sono un altro tipo di documento di identificazione molto richiesto, principalmente a causa del numero crescente di servizi che si possono ottenere con la patente. Solitamente, le informazioni vendute sui forum prevedono una scansione della patente con informazioni complete. Variando nel prezzo dai $ 5 ai $ 25, le patenti di guida possono essere utilizzate dai criminali informatici per il noleggio di auto, servizi locali o per frodi assicurative.

Cartelle cliniche - $1 - $30

Il mondo sta diventando sempre più digitalizzato, persino alcuni aspetti che non pensavamo sarebbero mai finiti in rete. Prendete le cartelle cliniche, ad esempio: gli hacker hanno messo le mani anche su quelle.

Nel 2012, durante l’analisi di diversi tipi di dati disponibili sul mercato nero, non c’era traccia di informazioni mediche. Ora, tuttavia, questi dati sono molto richiesti, in quanto possono essere utilizzati per tutta una serie di attività fraudolente, dall'ottenimento di servizi di assicurazione sanitaria, all'acquisto di farmaci regolamentati. Possono anche essere utilizzati per richiedere un riscatto. 

Le fughe di informazioni mediche possono diventare molto spiacevoli, in quanto le vittime che sono già vulnerabili si trovano in una posizione ancora più vulnerabile. 

Selfie con documenti: $40 - $60

Ti sei mai fatto un selfie con il passaporto o il documento? Ultimamente le organizzazioni aderiscono ai cosiddetti programmi di Know-Your-Client (KYC), che richiedono la verifica dell’identità per le varie operazioni. Ad esempio, i social network richiedono selfie con documenti quando gli utenti hanno bisogno di recuperare l'accesso al proprio account e i dipendenti della banca di scattare foto come queste quando consegnano le carte di credito a casa dei clienti.

Utilizzare un passaporto rubato o il selfie di un documento identificativo, permette ai truffatori di aggirare le linee guida KYC e continuare a riciclare denaro. Questi documenti possono essere utilizzati anche per una vasta gamma di servizi - dal noleggio di un’auto a micro-prestiti, o per truffare le compagnie di assicurazione. Questi dati permettono ai criminali informatici di entrare nella cache o di eseguire le loro truffe, ma anche di ricattare le persone identificate in questi documenti. Di conseguenza, si tratta di informazioni molto preziose, che variano dai $40 ai $60 a persona.

Online banking e conti Paypal: $50 - $500

Un altro tipo di dati finanziari è l'accesso bancario online e le informazioni sul conto Paypal. Entrambi forniscono un accesso diretto ai fondi delle vittime e Paypal è un punto di riferimento per i criminali informatici che vogliono riciclare i loro soldi e ritirarli senza alcun controllo di sicurezza. L'accesso all'online banking è generalmente valutato tra l'1 e il 10 per cento dei fondi disponibili nel conto, mentre i conti Paypal costano dai $50 ai $500, a seconda del credito disponibile e delle precedenti operazioni degli utenti.

Accesso non autorizzato alle e-mail e ai social media: $400 - $800

Esiste un servizio nella darknet che vìola uno specifico account o un’e-mail, il costo è di $400 ad account. Tuttavia, i metodi impiegati da coloro che offrono tali servizi sono piuttosto basilari: spesso indovinano la password, o controllano se l'account sia già presente nei database disponibili, o magari utilizzano attacchi di ingegneria sociale per fare in modo che sia l'utente stesso a rivelare la sua password. L’autenticazione a due fattori e le varie altre misure di sicurezza che i social network e le caselle di posta hanno adottato, rende il procedimento più complesso. Di conseguenza, la maggior parte di questi tipi di offerte sui mercati neri sono, paradossalmente, truffe contro altri criminali informatici.

Tuttavia, questo non esclude la possibilità di un vero e proprio attacco mirato: più nascosto, con metodi tecnicamente più complessi ed impiegati da hacker esperti, questi servizi di solito costano molto. Ad esempio, il criminale identifica una specifica e-mail della potenziale vittima, invia un’e-mail spear-phishing chiedendo al soggetto di scaricare un malware che sarà in grado di raccogliere informazioni come la password e infine, ottiene l’accesso agli account. Questo tipo di servizio tuttavia, è estremamente costoso, richiede molto tempo e di solito sono eseguiti da persone esperte. 

Proteggere i tuoi dati e te stesso

Con la nostra sempre più crescente presenza online è quasi impossibile essere completamente anonimi in rete. Una persona sufficientemente determinata, anche con poche abilità informatiche ma che ha accesso a informazioni privilegiate (come, ad esempio, un investigatore privato o un funzionario di polizia) ci metterà molto poco a trovare almeno qualche dato su di te.

Ciò significa che la privacy online consiste quasi sempre nel valutare i rischi che si affrontano e nell'adottare misure adeguate a mitigarli. 

La prima cosa da fare se si vuole proteggersi contro il doxing, è quello di fare una ricerca per vedere quanto su di te c’è effettivamente in rete. Prova a cercare su Google il tuo nome, combinalo con altri dati su di te, come la tua residenza o l'anno di nascita per restringere il campo. Prova a cercare le tue e-mail online. Se il tuo nome non è molto popolare, puoi anche richiedere una notifica da Google se il tuo nome compare online.

Se si dispone di profili di social media pubblici, ricontrollare i post pubblicati. Controlla se contengono geotag con luoghi che frequenti, come la tua casa o il tuo ufficio, o foto che possono rivelare la loro posizione. Certo, non tutte le foto sono pericolose, ma più sono specifiche, più sono rischiose. Controlla che i tuoi vecchi post non contengano dati privati, come i nomi dei tuoi familiari. Se hai un profilo privato, controlla se conosci davvero tutte le persone nella tua lista di amici.

Ricorda che, oltre ai social network, ci sono molte altre applicazioni che hanno una componente sociale e possono rivelare informazioni su di te. Prestare particolare attenzione alle applicazioni che registrano geodati, come le app di fitness tracking. Controlla che il tuo account in queste app sia privato.

Tweet