Genesis: il mercato nero dei tuoi dati bancari

Hacker’s Dictionary. Login, password, e maschere digitali. I ricercatori di Kaspersky hanno scoperto come gli hacker criminali sfruttano i sistemi antifrode delle banche per truffarne i clienti

di ARTURO DI CORINTO per Il Manifesto del 24 Aprile 2019

Due giorni fa un 24enne italiano ha rubato le credenziali di un milione e mezzo di email di Virgilio e di Libero. Con quei dati è facile impersonare qualcuno nel cyberspace, spacciarsi per un creditore o accedere ai servizi finanziari della vittima vista la tendenza a usare stessa login e stessa password per ottenere servizi diversi. Commettendo così un grave errore.

Durante il Kaspersky Security Analyst Summit 2019 a Singapore i ricercatori dell’omonima azienda di cybersecurity hanno svelato un nuovo tipo di truffa che coinvolge i clienti delle banche: la compravendita dei loro profili digitali generati dalle impostazioni antifrode.

I ricercatori hanno scoperto il posto dove si vendono queste informazioni tanto sensibili. Si tratta di un marketplace illegale nel Dark Web di nome Genesis. Dentro Genesis è possibile scegliere tra 60.000 identità digitali rubate per aggirare le impostazioni antifrode delle banche. Per essere precisi si tratta di «digital mask», profili cliente unici – e per questo considerati altamente affidabili – di chi svolge transazioni elettroniche, ad esempio utilizzando la carta di credito.

Ma che cosa sono queste maschere digitali? Le maschere digitali rappresentano l’alter ego elettronico del cliente, il suo avatar, che risulta dalla combinazione di informazioni tecniche relative ai dispositivi usati dal cliente – comprese le informazioni su schermo, sistema operativo, browser, estensioni, accessi biometrici – in aggiunta ai cookie e ai tracker usati da chi gli offre il servizio.

Ogni volta che un utente inserisce le proprie informazioni finanziarie, di pagamento o personali all’interno di un sistema per le transazioni online, le soluzioni antifrode avanzate, basate sui principi del machine learning, procedono a un confronto tra l’utente stesso e la sua «maschera digitale».

Grazie a queste informazioni le organizzazioni finanziarie possono arrivare a determinare con un buon tasso di probabilità se è davvero il loro cliente ad aver inserito quelle credenziali oppure se si tratta di un cybercriminale che cerca di acquistare dei beni e servizi utilizzando i dati rubati, per decidere infine se approvare, negare o rimandare la transazione.
Per compiere la frode i clienti di Genesis acquistano le «maschere digitali» sottratte in precedenza, le accoppiano a login e password rubate ai siti online e ai servizi di pagamento o ricevute via email, simulando l’attività di un utente reale.

Se i cybercriminali sono in possesso delle credenziali di conto di un utente legittimo l’hacker malvagio può accedere al conto online oppure effettuare nuove transazioni, apparentemente affidabili, a suo nome.

«Il dramma – dice l’ingegnere Pierluigi Paganini, autore di Digging in the Deep Web – è che nel Web oscuro i black marketplace come Genesis sono parecchi. Spesso sono gestiti da owner particolarmente prolifici nella compravendita illegale di dati che godono di un’alta reputazione nelle comunità underground proprio perché in grado di offrire ogni tipo di informazione collegata alla vittima del furto digitale. Si può perfino scegliere tipo, località e provenienza dei dati bancari rubati per commettere reati specifici, a danno di utenti specifici, in paesi specifici».

Dentro Genesis però ci sono anche maschere digitali nuove di zecca, cioè create da zero, grazie a email e password e l’indagine condotta da Kaspersky svela proprio come i criminali informatici utilizzino attivamente questi «doppelgänger» digitali i cui prezzi vanno dai 5 ai 200 dollari, per aggirare le misure antifrode.