La maxi-operazione internazionale contro i carders, gli hackers che rubano e rivendono i codici delle carte di credito, è un buon inizio ma è solo un graffio al cyber-crime.
26 GIUGNO – L’FBI ha arrestato ieri 24 persone, di cui 11 americane, in una maxi-operazione dal nome “Card Shop” contro il mercato online delle carte di credito rubate. 2 anni di investigazioni sotto copertura, indagini su siti specializzati, raccolta di indizi e prove in tutto il mondo per colpire quello che è uno dei giri di affari più redditizi, semplice e allo stesso tempo complesso di tutto il cyberspazio.
IL BUSINESS — Un veloce riepilogo di come funziona il mercato dei carders. Il primo passaggio è quello del furto dei dati delle carte di credito. È portato avanti da esperti informatici, soprattutto giovani hackers e crakers, che si impossessano di un largo numero di codici delle carte colpendo i database di siti poco protetti di e-commerce o banche; effettuando attacchi phishing (messaggi fraudolenti con lo scopo di carpire dati sensibili); infettando i computer con virus atti al furto di informazioni; installando apparecchiature di controllo su ATM e POS o; infine, trovando i giusti algoritmi e certificati per generare codici validi.
Una volta ottenuti i codici delle carte di credito ci sono due opzioni da scegliere: o “mettersi in proprio” e rivendere o scambiare i dati delle carte di credito in maniera autonoma sulla rete, oppure trovare un tramite a cui affidarsi e a cui vendere grandi quantità di codici. Questo tramite, che poi gestirà la rivendita, spesso risponde alla criminalità organizzata, che ben prima delle forze dell’ordine ha compreso le infinite possibilità di internet. Paese per paese la rete piazza un così detto drop, cioè una figura che incassa i soldi e provvede alla spedizione dei codici, in modo tale da evitare movimenti sospetti e delocalizzare il rischio.
I luoghi online per fare questo tipo di affari sono tanti: siti internet e forum facilmente rintracciabili con Google (darkspot.info, validcarddumps.com, cardershop.net, per fare qualche esempio), canali di chat IRC, mailing list e gli hidden service di TOR, di cui ho già parlato.
I prezzi invece sono sempre molto simili: 15-30$ per i codici di una carta di credito americana, 25-50$ per carte dal resto del mondo. Si cerca di pagare nei metodi meno rintracciabili, da trasferimenti di contanti ai famosi bitcoins, la moneta online anonima.
Pagina iniziale di Carderprofit.cc, sito ora disattivato
L’OPERAZIONE DELL’FBI — Nel 2010 l’FBI, in quella che definisce la più grande operazione internazionale contro il cyber-crime legato alle carte di credito, ha creato un forum dalle parvenze fraudolente –Carderprofit.cc– con lo scopo di intercettare le discussioni di hackers, crackers e malavitosi sul business del carding. Ha inserito anche delle offerte di vendita, scambio e acquisto di materiali e servizi, sperando poi che qualcuno creasse i propri annunci. L’ingresso sul sito, per far sì che non fosse scambiato per un portale fasullo, era possibile solo su invito e solo dopo aver pagato una tassa d’iscrizione. Tutte le informazioni ricavate in due anni di monitoraggio (il sito ha chiuso lo scorso maggio) hanno portato, stando al FBI, alla prevenzione della perdita di ben 205 milioni di dollari; al blocco di 411 mila codici di carte di credito compromessi e all’acquisizione di dati chiave (indirizzi IP soprattutto) per potere avviare i 24 arresti di ieri.
La maggior parte degli arrestati ha dai 18 ai 25 anni, e stando alla cronaca, dovrebbero esserci anche due minorenni californiani. Sono criminali informatici di tutto il mondo, da New York alla Gran Bretagna, Bosnia, Bulgaria, Norvegia, Germania e persino all’Italia. Alcuni sono esperti nella creazione di malware, altri nella contraffazione di certificati, altri, appunto, nel furto e nella rivendita di codici delle carte. Altri ancora, come Ali Hassan, pakistano milanese 22enne detto Mr.Badoo, sono sia crackers che rubano codici dalla rete sia “rivenditori di zona” che operano per fare da tramite tra criminali americani e l’Europa o altri luoghi.
GRANDE O PICCOLO RISULTATO? — L’impatto mediatico dell’operazione “Card Shop” è stato enorme, e la notizia rimbalza sulle homepage di qualsiasi giornale, anche di quelli più generalisti. Non solo. L’operazione può essere anche considerata un grande precedente ed essere un buon deterrente per i criminali, che ora sono più spaventati che mai. L’attività congiunta con varie forze di polizia straniere, di ben 13 Stati tra cui la Polizia Postale italiana, è poi un grande risultato che fa sperare in un futuro più coeso e coordinato per il law enforcement e la lotta alle minacce informatiche nel cyberspazio.
Ma bisogna anche sottolineare alcuni aspetti che si sono persi di vista: colpire un gruppo di ventenni non bloccherà certo il fenomeno della compra-vendita di codici di carte di credito rubate e, infatti, la gigante criminalità (più o meno) organizzata presente online esce da questi due giorni solo con un piccolo graffio.
Ci sono un’infinità di modi per continuare il business del cyber-crime in maniera anonima e impossibile da rintracciare, uno su tutti usando la rete di TOR (qui il mio precedente post sul mercato nero) o altre modalità di navigazione sicura. I forum presenti “in chiaro” e sulla superficie di internet non sono che la punta dell’iceberg: all’alta visibilità corrisponde pochissima sicurezza e molto probabilmente anche poca professionalità.
Perché se vuoi vendere o comprare codici di carte di credito online e navighi internet senza proteggere nemmeno il tuo IP, l’indirizzo univoco che ti rappresenta ogni volta che navighi, vuol dire che hai capito ben poco della rete e che sei cyber criminale da strapazzo. E ad ogni cyber criminale da strapazzo arrestato corrispondono centinaia di geni della truffa sempre più ricchi e sempre più salvi.