Internet: il mercato nero delle impronte digitali

 La sicurezza su Internet è un gioco al gatto e al topo senza fine. Gli specialisti della sicurezza escogitano costantemente nuovi modi per proteggere i nostri dati preziosi, solo per i criminali informatici che escogitano modi nuovi e astuti per minare queste difese. I ricercatori di TU / e hanno ora trovato prove di un mercato online altamente sofisticato con sede in Russia che scambia centinaia di migliaia di profili utente molto dettagliati. Queste "impronte digitali" personali consentono ai criminali di aggirare i sistemi di autenticazione all'avanguardia, dando loro accesso a preziose informazioni sugli utenti, come i dettagli della carta di credito.

La nostra economia online dipende dai nomi utente e dalle password per garantire che la persona che acquista o trasferisce denaro su Internet sia davvero la persona che sta dicendo. Tuttavia, questo modo limitato di autenticazione si è dimostrato tutt'altro che sicuro, poiché le persone tendono a riutilizzare le proprie password su diversi servizi e siti Web. Ciò ha portato a un commercio illegale massiccio e altamente redditizio di credenziali utente: secondo una stima recente (dal 2017) circa 1,9 miliardi d’identità rubate sono state vendute attraverso mercati clandestini in un anno.

Non sorprende che le banche e altri servizi digitali abbiano messo a punto sistemi di autenticazione più complessi, che si basano non solo su qualcosa che gli utenti conoscono (la loro password), ma anche su qualcosa che hanno (ad esempio un token). Questo processo, noto come autenticazione a più fattori (MFA), limita notevolmente il potenziale di criminalità informatica, ma presenta degli svantaggi. Poiché aggiunge un passaggio in più, molti utenti non si preoccupano di registrarsi, il che significa che solo una minoranza di persone lo utilizza.

 Per alleviare questo problema, un sistema alternativo di autenticazione è recentemente diventato popolare con servizi come Amazon, Facebook, Google e PayPal. Questo sistema, noto come autenticazione basata sul rischio (RBA), esamina le "impronte digitali dell'utente" per controllare le credenziali di qualcuno. Questi possono includere informazioni tecniche di base, come il tipo di browser o sistema operativo, ma anche caratteristiche comportamentali, come il movimento del mouse, la posizione e la velocità dei tasti. Se l'impronta digitale è conforme a ciò che ci si aspetta da un utente, in base al comportamento precedente, gli è consentito accedere immediatamente, utilizzando solo i nomi utente e le password. In caso contrario, è necessaria un'autenticazione aggiuntiva tramite un token.

Naturalmente, i criminali informatici hanno rapidamente escogitato modi per aggirare la RBA, sviluppando kit di phishing che includono anche le impronte digitali. Tuttavia, hanno trovato difficile trasformare questo in un'attività efficace e redditizia. 

 I ricercatori della TU / e hanno ora trovato prove di un mercato su larga scala e altamente sofisticato che sembra superare questi limiti. Il mercato, che ha sede in Russia, offre oltre 260.000 profili utente altamente dettagliati, insieme ad altre credenziali utente, come indirizzi e-mail e password. "Ciò che rende unico questo sito sotterraneo non è solo la sua scala, ma anche il fatto che tutti i profili sono continuamente aggiornati, il che significa che mantengono il loro valore", afferma Luca Allodi, ricercatore presso il gruppo Sicurezza presso il dipartimento di Matematica e Computer Science, che insieme al dottorando Michele Campobasso è stato responsabile della ricerca.

“Inoltre, i criminali informatici possono eseguire ricerche nel database, in modo da selezionare con precisione l'utente Internet che desiderano prendere di mira, consentendo attacchi di spearphishing altamente pericolosi. Possono anche scaricare software che carica automaticamente i profili utente acquistati nei siti web di destinazione ".

 Per sottolineare la natura sistematica del sito web, Allodi e Campobasso hanno coniato il termine 'Impersonation-as-a-service' (IMPaaS), facendo eco a noti servizi di cloud computing come SaaS (software-as-a-service) e IaaS (infrastruttura come servizio). "Per quanto ne sappiamo, questo è il mercato criminale più vasto e sofisticato che offre sistematicamente questi servizi".

La ricerca sul mercato non è stata facile. Per accedere agli elenchi dei profili utente disponibili, i ricercatori hanno dovuto procurarsi speciali codici di invito condivisi dagli utenti esistenti. Anche la raccolta dei dati è stata difficile, poiché gli operatori della piattaforma monitorano attivamente gli account "canaglia". I ricercatori hanno anche deciso di mantenere segreto il vero nome del sito web per ridurre al minimo il rischio di azioni di ritorsione da parte degli operatori del mercato.

 Il prezzo dell’’"identità virtuale" di un utente sul mercato varia da un dollaro a circa 100 dollari. L'accesso ai profili di criptovaluta e alle piattaforme di trasferimento di denaro sembra essere il più apprezzato. "La semplice presenza di almeno un profilo correlato alla crittografia quasi raddoppia il valore medio del profilo", afferma Allodi.

 Un altro fattore importante che fa salire il prezzo è la ricchezza del paese in cui si trova l'utente. "Questo ha senso: gli aggressori che cercano di impersonare e monetizzare i profili degli utenti assegnano un valore maggiore ai profili che potrebbero portare maggiori guadagni finanziari, e questi si trovano principalmente nei paesi sviluppati", secondo Michele Campobasso.

  

Articolo tratto da https://www.tue.nl/