Capita a volte di vedere un tentativo di phishing o un’e-mail con un allegato sospetto nella casella di posta elettronica. Chi è stato a inviarlo e come ha ottenuto quei dati?
Però, la domanda che in molti si chiedono è: quanto denaro guadagnano realmente queste persone dalle loro attività cyber-criminali?
Ora, grazie a Check Point Software Technologies, siamo in grado di rispondere a tutto ciò. Negli ultimi mesi, i ricercatori hanno scoperto l’identità di uno dei cyber-criminale più prolifici, attivo da oltre sette anni, che ha guadagnato oltre 100.000 dollari USA con il suo “lavoro”.
Noto anche come Dton, l’hacker ha 25 anni, vive a Benin City, città della Nigeria meridionale che cotta quasi 1,5 milioni di abitanti. Dal suo curriculum, Dton sembra un cittadino modello, invece ha anche un’altra identità: Bill Henry, un cyber-criminale in carriera che compra beni con carte di credito rubate e lancia attacchi phishing e malware.
Ma quindi, come ha iniziato Dton (alias Bill) una vita da criminale informatico? E come ha fatto a guadagnare, in media, 14 volte il salario minimo nazionale in Nigeria e 3 volte il salario medio di un professionista, per ogni anno dal 2013?
Per iniziare: truffe con carte di credito rubate
Dton ha iniziato speculando un po’: ha speso circa 13.000 dollari per acquistare i dettagli di mille carte di credito da uno speciale mercato online specializzato in carte di pagamento rubate. Con ogni carta rubata – il cui costo si aggira tra i 4 e i 16 dollari l’una – Dton di solito cercava di addebitare circa 200.000 Naira nigeriane (NAN), equivalenti a circa 550 dollari USA. Se la transazione veniva bloccata, allora tentava con un altro commerciante, o un’altra carta, fino ad avere successo. Dal suo “investimento” nelle mille carte rubate, Dton è riuscito ad addebitare oltre 100.000 dollari.
Tuttavia, sembra che l’acquisto costante di nuovi blocchi dati di carte di credito rubate abbia iniziato a irritare Dton: non era più convinto di dover pagare in anticipo e voleva margini e profitti più alti. Così ha iniziato ad acquisire contatti – indirizzi e-mail in massa di potenziali bersagli – in modo da poter lanciare i propri exploit.
Il marketing del malware su più livelli
Dton ha iniziato a comprare gli strumenti in grado di creare malware per inviare spam alla sua lista di bersagli. Questi strumenti includono packer e cripter pronti all’uso, componenti infostealer e keylogger, ed exploit. Con questi strumenti, ha potuto costruire il proprio malware su misura, inserirlo in un documento dall’aspetto benevolo, creare la sua e-mail da inviare alla sua vasta lista di bersagli.
Questo ha fornito rapidamente molte credenziali che Dton ha potuto sfruttare, facendogli guadagnare più soldi – e soddisfacendo anche il suo capo. Sì, perché Dton non è un imprenditore individuale: ha un manager, che a sua volta dipende da un altro manager. Questi dirigenti forniscono il capitale iniziale a Dton, ma si aspettano anche forti ritorni sui loro investimenti. È l’equivalente del crimine informatico di una “vendita piramidale” o di uno schema di marketing su più livelli.
Le lamentele e le pressioni del capo non piacciono a nessuno. La stessa cosa vale per Dton che, dopo aver visto calare i suoi profitti derivanti dall’acquisto e dall’utilizzo di toolkit di malware pronti per l’uso, ha deciso di sviluppare il suo malware da zero. Un malware che non ha una firma nota e che può aggirare la maggior parte delle difese di sicurezza, in modo da poter lavorare per sé stesso.
È una lotta per la sopravvivenza
Poiché Dton non è un programmatore, ha assunto una persona di nome “RATs & Exploits” per sviluppare il malware per lui. Sembra, però, che l’espressione “non c’è onore tra i ladri” sia vera: Dton ha compromesso la macchina di RATs & Exploits con un RAT, in modo da poter spiare il suo lavoro e tentare di rubare alcuni dei suoi segreti. Però questo non gli bastava: infatti ha anche ingaggiato un altro losco personaggio – con il quale poi ha litigato – dietro un programma specializzato in malware packer, discutendo con lui sui forum underground per prezzi e uso. Il risultato? Quando Dton ha capito che non sarebbe riuscito ad ottenere quello che voleva, ha denunciato “il partner” all’Interpol. L’economia del cyber-crimine è certamente una lotta per la sopravvivenza – ma nel frattempo, nonostante questi piccoli contrattempi, Dton ha continuato a guadagnare denaro illecito.
Il viaggio di Dton nel campo della criminalità informatica dimostra come anche un individuo relativamente poco qualificato e indisciplinato possa trarre grande profitto da frodi e attività online dannose. Questo semplicemente perché, come molte altre attività criminali, il cyber-crimine è un gioco di numeri. Non importa se 499 persone non aprono un’e-mail contenente malware: la 500esima persona lo farà. E quando si possono prendere di mira centinaia di migliaia di persone alla volta, basta infettare una manciata di persone per ottenere il proprio guadagno illecito.
Per proteggersi dal rischio di diventare vittima delle migliaia di Dton là fuori, è importante seguire queste buone abitudini:
- Negli acquisti online, assicurarsi di ordinare la merce da una fonte affidabille. Non cliccare sui link promozionali nelle e-mail, ma cercare su Google il rivenditore desiderato e cliccare il link dalla pagina dei risultati per evitare che dati personali e di pagamento vengano intercettati.
- Attenzione alle offerte “speciali”. Uno sconto dell’80% su un nuovo iPhone o “una cura esclusiva per il Coronavirus a 150 dollari”, solitamente non sono opportunità credibili.
- Attenzione ai domini, agli errori di ortografia nelle e-mail o nei siti web e ai mittenti sconosciuti.
- Proteggere i propri sistemi con una soluzione con architettura cibernetica olistica, end-to-end to end, per prevenire gli attacchi zero-day.
