La chiusura di due tra i più grandi mercati per servizi illegali e illeciti su Internet avrà anche rapidamente fatto disperdere la comunità dei criminali informatici, ma non ci è voluto molto perché trovassero altri luoghi dove fare affari
Di Massimiliano Brugnoli, Business Development Manager di Orange Business Services
AlphaBay e Hansa erano due grandi e sofisticati siti di e-commerce che vendevano di tutto, da materiale soggetti a copyright e dati di carte di credito ad armi e sostanze chimiche tossiche. Sono stati chiusi l’estate scorsa grazie allo sforzo coordinato delle forze dell’ordine internazionali, che lo hanno descritto come un duro colpo inferto al Dark Web.
Invece, il risultato è stato una frammentazione dell’attività criminale nel mondo sotterraneo di Internet, soprattutto in forum e gruppi privati.
La realtà è che con la chiusura di AlphaBay e Hansa il commercio illegale è proseguito nel mondo virtuale, seppur in modo diverso. Il modello in stile eBay, grandi dimensioni e alto profilo, che richiede notevoli costi di installazione e amministrazione, potrebbe essere scomparso, principalmente a causa di mancanza di fiducia, paura degli interventi delle forze dell’ordine e scarsa user experience. Ma questo non significa che il rischio per le imprese e i consumatori sia sparito. Al contrario: i criminali informatici sono tornati alle origini, a un modello “distribuito” basato su reti di chat e messaggistica, che prosperava prima che nascessero grandi siti come Alphabay e Hansa.
Poco prima della chiusura, uno dei membri dello staff di AlphaBay ha pubblicato un post sul sito citando i numeri: 40.000 venditori e oltre 200.000 utenti. All’epoca in cui è andato offline, c’erano oltre 100.000 annunci di beni e servizi rubati. Tra questi, documenti falsi, dispositivi di accesso, merci contraffatte, malware e altri strumenti di hacking informatico, armi da fuoco e servizi illegali, secondo il Dipartimento di Giustizia degli Stati Uniti. Per fare un confronto, il famigerato marketplace Silk Road, chiuso nel 2013, aveva circa 14.000 annunci al momento del sequestro. Questo mette in luce quanto sia cresciuta l’attività criminale sul Dark Web.
I criminali informatici adottano nuove tecnologie e approcci
Secondo Cybersecurity Ventures, i danni globali causati dalla criminalità informatica raggiungeranno i seimila miliardi di dollari all’anno entro il 2021, in confronto ai tremila miliardi del 2015. I criminali informatici stanno adottando nuovi processi, tecnologie e comunicazioni per rafforzare le proprie attività. I siti criminali, come Joker’s Stash, utilizzano un sistema di nomi di dominio (DNS) decentralizzato basato su blockchain, assieme a domini Tor consolidati per rendere più sicure le operazioni. I domini blockchain contengono hash crittografati invece di nomi e indirizzi degli individui, il che rende molto più difficile per le forze dell’ordine monitorare i siti. Il sito open-source e decentralizzato OpenBazaar ha introdotto il trading di criptovaluta peer-to-peer direttamente tra gli utenti della sua piattaforma. Questo sito online ha un approccio molto pratico e non fa restrizioni su ciò che viene acquistato o venduto.
Anche i ricercatori di Digital Shadows hanno notato uno spostamento verso reti peer-to-peer e chat per gli scambi sul dark web. Negli ultimi sei mesi, hanno contato più di 5.000 link Telegram condivisi tra forum criminali e siti del dark web, ad esempio, dei quali ben 1667 erano link di invito a nuovi gruppi.
I criminali informatici stanno diventando più selettivi nei loro sancta sanctorum. Stanno cercando modi alternativi per consentire ai nuovi utenti l’accesso ai forum, come ad esempio le restrizioni di accesso a specifiche aree, così che gli utenti debbano raggiungere un certo livello di feedback positivo dagli acquirenti prima di poter passare al livello successivo.
Inoltre, i criminali informatici stanno esaminando diverse vie di comunicazione. Ad esempio pubblicizzano un prodotto o servizio illegale in un forum, ma invece di negoziare direttamente attraverso il forum o la messaggistica privata, chiedono alle parti interessate di utilizzare altre reti di chat come Jabber o Skype. Questo rende i loro movimenti difficili da tracciare.
Il fiorente mercato del cybercrimine
Il business illecito, sembra, non è mai stato così impegnato sul Dark Web: la domanda sta superando l’offerta. Ad esempio, secondo una ricerca di Positive Technologies, la richiesta di creazione di malware sul Dark Web è attualmente tre volte maggiore dell’offerta: i ricercatori hanno scovato oltre 10.000 post riguardanti hacking-for-hire e malware. Compromettere un sito e ottenere il pieno controllo su un’applicazione web può costare solo $150, un attacco mirato circa $4.500.
Allo stesso tempo, il costo medio delle violazioni dei dati è in aumento. Secondo uno studio del 2018 del Ponemon Institute, il costo medio di una violazione dei dati è ora di $3,8 milioni, con un aumento del 6,4% rispetto al 2017. Ogni documento smarrito o rubato ha un costo medio di $148, mentre i documenti sanitari arrivano a costare fino a $408.
Un mercato di successo sul Dark Web non nasce da un giorno all’altro. Prendiamo ad esempio Market.ms, che ha una solida reputazione nella comunità dei criminali informatici: come sottolinea Dark Shadows, nonostante sia nato nel 2015 ha poco più di 450 membri. Lo sviluppo di questo genere di siti non è semplice come sembra. Richiede tempo e investimenti e non garantisce redditività.
Dispersi, ma ancora attivi
I criminali informatici possono essersi sparpagliati sul Dark Web, ma questo non significa che siano meno minacciosi. Per le aziende rimane cruciale monitorare qualsiasi menzione del loro brand o informazioni in vendita sul Dark Web per rimanere un passo avanti ai criminali informatici.
Tattiche e tecniche sono cambiate e la domanda di servizi e prodotti è in crescita, di conseguenza avere una buona intelligence indirizzata al Dark Web, che permette azioni preventive, è ora più fondamentale che mai.
