L'FBI, insieme Trend Micro, ha messo fine a una truffa online da 14 milioni di dollari, che ha colpito ben quattro milioni di persone in cento paesi. Secondo la società di sicurezza si tratta del "più grande colpo inferto alla cyber criminalità fino ad ora"
La "operazione ghost click" ha portato all'arresto di sei persone di nazionalità estone, che avevano messo in piedi un sofisticato sistema per manipolare la pubblicità online. L'attacco è cominciato nel 2007, quando i criminali hanno infettato circa 4 milioni di computer con il virus DNSChanger. Ma Trend Micro monitorava le attività delle società coinvolte già dal 2006.
Vladimir Tsatsin, AD di Rove
DNSChanger s'incaricava poi di dirottare il traffico del computer colpito verso server pericolosi, anche a partire da link legittimi. "Gli ignari utenti quando effettuavano una ricerca online venivano reindirizzati verso altri siti o vedevano apparire messaggi pubblicitari che però generavano entrate per i criminali e non per gli editori legittimi".
Da una parte l'utente si trova su siti diversi da quello desiderato, e potenzialmente fraudolenti. Dall'altra i proprietari di DNSChanger riuscivano a ottenere guadagni da un mercato pubblicitario parallelo. Di fatto per l'utente infetto poteva anche non esserci nessun pericolo diretto: bastava mostrargli i giusti annunci pubblicitari per far funzionare il trucco. Probabilmente, ma non è chiaro, anche gli inserzionisti non sapevano di essere finiti dentro a uno schema criminoso – anzi, in un certo senso sono loro ad aver pagato il conto, visto che erano loro a pagare per mostrare la pubblicità su questa sorta di circuito alternativo.
A raccogliere i profitti pensava infine una società estone chiamata Rove Digital, una holding dicomodo che comprendeva diverse altre società, in un tipica schema di "scatole cinesi" che rende difficile risalire ai veri responsabili. All'esterno Rove era una comune società del settore IT, e diversi dei suoi dipendenti non sapevano per chi stavano davvero lavorando.
Le autorità hanno sequestrato i server di DNSChanger, sostituendoli con computer legittimi, "nella speranza che gli utenti infetti non avranno problemi a navigare". Si perché il virus fa proprio ciò che dice il nome, cioè modifica i DNS impostati dal sistema operativo. Se questi vengono fisicamente spenti il computer non può più navigare a meno di un intervento manuale, di cui non tutti sono capaci.
I nuovi server installati dall'FBI quindi non rimuovono il virus, ma lo rendono solo inoffensivo – perché annullano il dirottamento del PC. Resta la possibilità che i PC abbiano subito anche altre infezioni.
Tutto considerato il metodo scelto da Rove ha qualcosa di brillante. I responsabili sono finiti giustamente dietro le sbarre, ma di certo hanno dimostrato una grande creatività in un'idea che in un certo senso è ammirabile.