Il rischo di essere “scippati” la propria identità, con il conseguente pericolo di essere truffati o derubati, continua a serpeggiare in Rete. Secondo le stime di Top10VPN.com, società londinese che valuta e confronta servizi di Vpn, i cybercriminali alla caccia di credenziali possono trarre in media un valore di 820 sterline a persona (circa 923 euro) rivendendo sul dark Web una cinquantina di account. Mai si è ripetuto abbastanza, di questi tempi, quando il primo valore dell'economia digitale siano i dati e questa stima, pubblicata un paio di settimane fa ma rimbalzata sui media nostrani solo ora, ne è l'ennesima conferma.
Top10VPN.com ha derivato il calcolo delle 819,57 sterline osservando i prezzi di una serie di dati rivenduti su markeplace illegali come Dream, Point e Wall Street Market, e derivandone poi un indice, dunque sommando il ricavato della vendita di una cinquantina di account riferiti a un singolo individuo. Le credenziali prese in considerazione spaziano da quelle di social network come Facebook a sistemi di pagamento come PayPal, fino alle piattaforme di comunicazione come Skype e ai profili Apple ID, a siti di viaggi, a negozi di e-commerce, a servizi di consegna di cibo a domicilio, senza trascurare nemmeno i siti di online dating e, naturalmente, gli account di posta elettronica.
Osservando il “listino prezzi” si nota come le cifre non siano direttamente legate alla popolarità di un servizio, dato che per esempio un account di Gmail viene venduto in media a 75 centesimi di sterlina, mentre uno registrato su Aol costa 3 sterline. Tra le piattaforme di contenuti digitali, i dati di login ai profili Apple ID sono tra i più costosi, oltre dieci sterline, mentre per Netflix e Spotify si spende meno di sei sterline. Ben su altre cifre viaggiano i dati che garantiscono un accesso più diretto ai soldi della povera vittima, come quelli di login ai servizi di online banking (167,8 sterline), a Western Union (72,8 sterline), a carte di credito (56,5 sterline), ma più di tutto vale e costa la possibilità di controllare un profilo PayPal, valutato quasi 280 sterline. Le informazioni contenute su un passaporto (ottenibili, per esempio, tramite inganni di phishing) possono fruttare ai venditori poco meno di una quarantina di sterline.
Al di là delle cifre dell'indice, il lavoro di Top10VPN.com è interessante perché svela alcuni aspetti del modus operandi dei ladri di identità. Si acquistano credenziali AirBnb (a meno di 6 sterline), per esempio, per modificare i dati di pagamento della persona che mette a disposizione l'appartamento e trasferire i guadagni su se stessi. Mascalzoni di nazionalità russa, invece, hanno rubato credenziali di Uber (vendute a 5 sterline) per manipolare i dati dei tragitti, impostando destinazioni dall'altra parte del mondo, e far pagare all'utente delle cifre astronomiche. L'accesso ad account di Booking.com, invece, permette di aggiungere costosi extra alle prenotazioni autentiche nonché di rubare dati di carta di credito. Il furto delle credenziali di Skype è utile per realizzare campagne di spam, mentre entrare in un account Dhl permette ai malintenzionati di modificare gli indirizzi di consegna di acquisti già pagati, facendo recapitare a se stessi merci costoste. Poter spiare foto e messaggi presenti su Facebook, invece, non frutta vantaggi immediati ma può servire per raccogliere informazioni sugli utenti e confezionare truffe su misura.
La caccia alle password, insomma, ha parecchie ragioni per essere sempre di moda. I monitoraggi di Barracuda Networks hanno evidenziato una tendenza dei criminali a usare specifici malware capaci di carpire credenziali di accesso di vario tipo, o intercettandole attraverso il browser o sottraendole direttamente dal dispositivo (nel caso, per esempio, siano archiviate su un Pc attraverso programmi di password manager). I malware in questione sono spesso sguinzagliati attraverso allegati di posta elettronica infetti, tipicamente in formato Word o Excel; nelle email si spinge l'utente ad aprire l'allegato invogliandolo con promesse varie oppure fingendo che il documento lo riguardi personalmente, per esempio che si tratti di un foglio legato alla dichiarazione dei redditi. Anche Barracuda sottolinea come alcuni tipi di informazione (in testa carte di credito e online banking) siano più ovviamente e direttamente monetizzabili, ma come anche gli account email o i profili social intercettati possano servire per costruire truffe.