mercoledì 30 dicembre 2020

A Che Prezzo Vengono Venduti I Dati Personali Sul Deep Web?

Sul Deep Web (Darknet più precisamente) tutti i dati personali derivanti da leak, attacchi phishing e quant'altro presentano un determinato costo (questa pratica di vendere queste informazioni è conosciuta come "Doxing"). Secondo i risultati di una ricerca di Kaspersky, i dati identificativi hanno un costo compreso tra 40 centesimi e 8 euro. In questa categoria di dati rientrano il nome completo, il codice fiscale, la data di nascita, l’indirizzo e-mail e il numero di cellulare (usati per il Sim Swap ad esempio). Il selfie con i documenti (passaporto o patente) vengono venduti tra 30 e 50 euro mentre una scansione del passaporto vale tra 4 e 13 euro. La scansione della patente è venduta da 4 a 21 euro.
I dati del conto corrente bancario sono venduti a circa 1/10% del suo valore. Un account PayPal, invece, vale tra 40 e 418 euro. Per i dettagli della carta di credito è possibile ottenere dai 5 ai 16 euro. Per quanto riguarda i dati d’accesso ad un servizio d’abbonamento, la quotazione è compresa tra 40 centesimi e 7 euro. 


DATA BREACH LEDGER
Si tratta di un attacco recente avvenuto una decina di giorni fa dove gli indirizzi di residenza appartenenti a circa 270.000 clienti di Ledger sono stati pubblicati su forum, disponibili pubblicamente per il download e la consultazione (sono stati rubati anche 1 milione di indirizzi mail iscritti alla newsletter). Questa società è impegnata nella commercializzazione di wallet hardware per criptovalute attraverso i quali gestire cripto quali Bitcoin.
Queste informazioni sono state rubate durante una violazione di giugno 2020, perpetrata facendo leva su una vulnerabilità scovata nel sito ufficiale. L’esito del data breach è la condivisione di questo archivio contenente due file: il primo si chiama "All Emails (Subscription).txt" e l’altro "Ledger Orders (Buyers) only.txt", quest’ultimo con nomi, cognomi, indirizzi e numeri di telefono per un totale pari a 272.853 clienti.
Come sempre in questi casi per i diretti interessati c’è anzitutto il rischio di essere presi di mira da campagne di phishing. 
Il fatto che siano stati rubati anche gli indirizzi di residenza potrebbe costituire un’arma in più nelle mani di malintenzionati e criminali: l’esca per truffe e raggiri potrebbe essere recapitata non più solo tramite email, ma direttamente a domicilio (alcuni utenti sarebbero già stati minacciati fisicamente).
In realtà non è la prima volta che succede, infatti ad aprile 2020 un hacker che aveva prima violato Ethereum.org provò a vendere i dati degli utenti di tre popolari wallet hardware: Ledger, Trezor e KeepKey.
In particolare, pare che abbia hackerato tre database SQL contenenti nomi, indirizzi, numeri di telefono ed e-mail (ma fortunatamente non le password) di oltre 80.000 persone. Il criminale pubblicò l'annuncio di vendita su una piattaforma d'investimento online.
L'hacker disse di essere in possesso di dati corrispondenti a quasi 41.500 utenti di Ledger, 27.100 di Trezor e 14.000 di KeepKey.
Pare che questi dati sarebbero stati rubati sfruttando una vulnerabilità presente sulla celebre piattaforma di e-commerce Shopify.
L'hacker sostenne anche di possedere l'intero database SQL dell'exchange sudcoreano Korbit, tre database della piattaforma messicana di trading Bitso, nonché i dati degli account, password comprese, delle piattaforme Blockcypher, Nimirum e Plutus.
Anche un rappresentante di Bitso ha tuttavia confermato che l'azienda "non ha trovato prove del fatto che entità di terze parti dispongano di informazioni sufficienti per accedere agli account dei nostri clienti". 
Poco tempo dopo, anche BlockFi ha segnalato una fuga di dati, in seguito a un attacco SIM swap: pare che gli hacker siano riusciti a mettere le mani sui nomi, indirizzi e-mail, date di nascita e indirizzi fisici degli utenti. A fine aprile anche Etana, società di custodia che offre servizi al noto exchange di criptovalute Kraken, subì un attacco simile.


HO MOBILE
E' del 29 dicembre invece la notizia secondo la quale dati sensibili di due milioni e mezzo di utenti dell’operatore Ho.Mobile di Vodafone sarebbero stati messi in vendita sul Deep Web. Se confermato, gli utenti potrebbero essere a rischio di truffe e ricatti. Tra le informazioni che potrebbero essere state compromesse, secondo quanto riferiscono gli esperti di cybersecurity Bank Security su Twitter, ci sono nomi, cognomi, email, indirizzo di casa, codice fiscale, partita iva, indirizzo di fatturazione, numero di telefono, stato di attivazione del servizio e anche il codice ICCID (codice che identifica la sim).
Dell'attacco e del furto non ci sono al momento reali conferme. Ma Bank Security, per sostenere quanto riferito, ha pubblicato un esempio dei dati trafugati (anonimizzati). L'operatore Vodafone, proprietaria del brand  Ho.Mobile, fa sapere di non avere al momento evidenze di attività illegali ai danni degli utenti. Se l'attacco fosse confermato, il principale rischio per gli utenti sarebbe il già citato Sim Swap. I dati sarebbero sufficienti ai criminali per ottenere una sim intestata al nome della vittima. Ad esempio dichiarando che la vecchia sim è stata rubata o smarrita. A volte i criminali usano un documento falso per farsi identificare, nei tentativi di sottrazione fisica delle sim. Ma per riuscirci può bastare dichiarare a voce la propria identità e confermarla con i vari dati rubati, incluso il codice della vecchia sim (non c'è controllo dell’identità in caso di semplice cambio sim, senza attivazione di nuovi contratti o servizi). Grazie alla sim intestata alla vittima, il criminale ottiene così il controllo su quel numero di telefono, dove potrà ricevere le password temporanee di accesso a vari servizi. Tra cui il conto corrente. È possibile così svuotarlo, ordinando dall’e-banking un bonifico. Tra le cronache degli ultimi mesi si riportano furti da 10mila a 50mila euro in tutta Italia. Tutti i servizi online che usano gli SMS per confermare l’accesso con una password temporanea, sono sensibili a questa truffa. Finora l’unico modo di difendersi era evitare di usare l’SMS come "secondo-fattore" di autenticazione e quindi preferire le app che generano password temporanee ad ogni accesso.
Una sim intestata ad altra persona, inoltre, può essere utile per proteggere la propria identità in varie operazioni malavitose che richiedono l’uso di un cellulare. La mole di dati che sarebbero stati rubati può essere sufficiente anche per truffe basate sul furto dell’identità. Se un criminale riesce a spacciarsi per la vittima, nei confronti di banche o istituzioni, può ottenere vari vantaggi. Ad esempio ottenere un prestito o un finanziamento intestato a suo nome. Oppure organizzare truffe online sui siti di compravendita, sfruttando i dati rubati per ottenere la fiducia di altri utenti.


COME PROTEGGERSI
Per questi motivi è fondamentale che, quando viene svolto un KYC (Know Your Client) con tanto di dati personali e selfie, il sito a cui ci stiamo registrando non sia scam (come si sarà capito questi dati possono essere venduti a criminali o gli archivi hackerati).
Ricordo che è fondamentale l'autenticazione a 2 fattori sui conti (che siano con soldi FIAT, cripto o qualsiasi altro account di valore) con app del calibro di Google Authenticator (proprio perchè vengono hackerati conti che contengono numeri di cellulare è assolutamente insicuro utilizzare l'autenticazione tramite SMS sul proprio numero). 
Per la gestione e la protezione delle password (soprattutto se ne sono tante) si può utilizzare Kaspersky Password Manager o Icecream Password Manager.
Per controllare se il tuo indirizzo mail è stato hackerato puoi cercare all’interno dei database online come Have I Been Pwned o su Kaspersky Security Cloud che ti avvisa se viene rilevata una fuga di dati. 

Nessun commento:

Posta un commento