CriminalitÀ informatica

Chi sono e cosa fanno i detective del dark web: a caccia di dati rubati

Nei siti dedicati alle operazioni illegali si trova un po’ di tutto. Ecco perché molte aziende chiedono di controllare se qualcuno rivende segreti industriali

di Giancarlo Calzetta

Da password a antivirus, le regole di cybersicurezza

Nei siti dedicati alle operazioni illegali si trova un po’ di tutto. Ecco perché molte aziende chiedono di controllare se qualcuno rivende segreti industriali


5' di lettura

I criminali informatici sono il terrore di tutte le aziende. Una crew di pirati bene addestrati può bloccare tutti i computer dell'ufficio per chiedere un riscatto, rubarne i documenti, copiare le credenziali d'accesso ai servizi web, sottrarre denaro direttamente dal conto in banca, fare una copia di tutta la posta elettronica… e può farlo senza che nessuno se ne accorga. Ma se è chiaro perché rubino denaro, qualcuno potrebbe chiedersi a quale scopo sottraggano documenti, posta elettronica e credenziali. La risposta è che lo spionaggio industriale rende molto bene, così come mettere in vendita il patrimonio informatico di un'azienda sul Dark Web, quella porzione di Internet in cui Google non arriva e che si raggiunge solo usando i programmi giusti.

Una miniera di informazioni
Cosa è il dark web? Nei dark market, come vengono chiamati i siti del dark web dedicati alle operazioni illegali, si trova un po' di tutto: progetti, ricerche di mercato, e-mail ordinarie o compromettenti, credenziali, numeri di carte di credito e informazioni personali. Una miniera di informazioni che permette di giocare sporco spaziando dai furti di identità alla concorrenza sleale. Per questo, molte aziende vogliono tenere sott'occhio costantemente il sottobosco criminale per vedere se qualcuno è riuscito a rubare qualcosa e sta cercando di rivenderlo. Ma come si trovano queste informazioni? «Andare a caccia di informazioni nel Dark Web – ci dice Alessandro Rossetti, Intelligence Team Leader di Soft Strategy – non è una cosa semplice.

Per poter investigare in maniera efficace, bisogna esser presenti nei forum più riservati, accessibili solo se qualcuno ti ha presentato e garantito per te. Purtroppo, qui sorgono già i primi problemi: per la legge italiana, questo tipo di comportamento può essere visto come una “operazione sotto copertura” e solo le forze dell'ordine, per determinati tipi di crimini, sono intitolate a farlo. In alternativa è necessario l'ausilio di una agenzia investigativa privata».

Una babele di lingue tra i dark market
Bisogna quindi rivolgersi ad aziende che operano dall’estero, in Paesi che hanno una legislazione che offre maggiore libertà d'azione. «In realtà, – specifica Rossetti – oltre al problema legale, dobbiamo affrontare anche altri problemi di ordine più “pratico”: i dark market in lingua inglese sono solo una parte di quelli che bisogna setacciare. Per coprire tutto il panorama dell'offerta bisogna indagare in forum in russo, cinese, arabo, ecc. Questo richiede sia la conoscenza delle lingue sia del gergo specifico di quella piccola comunità per evitare di destare troppi sospetti».

Non basta, quindi, installare Tor e andare a zonzo finché non ci si imbatte in un dark market: per ottenere risultati bisogna essere molto ben inseriti nell'ambiente ed essere pronti a estendere la propria ricerca a protocolli di rete che solo gli esperti usano: Tor, I2P, OpenBazaar. «Molto spesso – specifica Rossetti – per le comunicazioni nei dark market di Tor vengono usate tecnologie che nel Web ‘di superfice' si vedono sempre meno. Per fare un esempio, i canali IRC o ICQ sono ancora molto usati perché sono semplice da usare, veloci e ragionevolmente sicuri se affiancati a chiavi PGP. In altri casi, invece, si ricorre a protocolli più recenti, come I2P, che sono così avanzati e ben progettati da rendere davvero estremamente difficile se non impossibile rintracciare gli utilizzatori, tanto che vi sono diverse segnalazioni sul fatto che venga usato anche in ambito terroristico per attività di reclutamento e coordinamento le azioni delle cellule»..

I tre passi della perfetta investigazione
Ma se l'identità dei trafficanti è tenuta ben celata, la merce in vendita è esposta in bella vista. «Nei dark market si trova di tutto: dalle credenziali d'accesso alla rete e ai server web aziendali fino alle copie di tutte le mail, passando per giga e giga di documenti più o meno riservati».
Ed è qui che chi viene incaricato di cercare tracce di compromissione inizia a scavare.

Gli investigatori seguono sempre una scaletta ben consolidata: si inizia con una ricerca per parole chiave: il nome di un prodotto, quello di un servizio o gli indirizzi di mail dei dipendenti. Poi si passa a una azione in cui l'investigatore si espone direttamente, chiedendo in prima persona se qualcuno ha dei dati utili sull'azienda che l'ha assunto per investigare. Infine, si passa a una fase di monitoraggio.

«Molto spesso – spiega Rossetti – questo tipo di servizio viene richiesto dopo che l'azienda ha scoperto di esser stata vittima di una violazione informatica. In questi casi, non sempre i criminali mettono in vendita immediatamente il materiale sottratto. Possono passare giorni o settimane ed è necessario continuare a monitorare la situazione tenendo presente, però, che se il furto dei dati è stato eseguito su commissione, è probabile che non emergerà mai niente nel dark web».

Anche quando si trova qualcosa, però, non è detto che sia tutto oro quello che luccica. Alcuni criminali cercano di sfruttare il nome di grandi aziende, oppure l'interesse manifestato da un possibile compratore, per organizzare delle truffe e vendere pacchetti di credenziali, dati e documenti fasulli, riconducibili all'azienda per cui hanno trovato un acquirente anche se, in realtà, contengono dati completamente inventati.
Investigare nel dark web, quindi, è una cosa complessa, articolata e spesso sottovalutata nell'impatto che può avere nel migliorare la sicurezza dei cittadini. Basti pensare ai settori assicurativi o finanziari.

Una sicurezza anche per i cittadini
Secondo Antonio Di Salvo, Country Head di cxLoyalty: «Il nuovo approccio verso i rischi cyber deve essere orientato a prevenire il problema prima che si manifesti e ad aiutare l'assicuratore a mitigare il rischio. Per esempio, le compagnie dovrebbero offrire ai consumatori soluzioni per monitorare attività sospette online sul public web o la presenza dei dati dei loro clienti sul dark web».

In questo modo, se i nostri numeri di carte di credito o di altri documenti dovessero esser rubati, potrebbero essere intercettati prima che vengano usati illegalmente, evitandoci molti problemi.
«Inoltre, – continua Di Salvo – così come molto spesso viene fornita una assistenza telefonica nei casi di emergenza, dovrebbe essere previsto un servizio di supporto al cliente per aiutarlo a risolvere i problemi legati alla propria identità digitale».

Ancora una volta le macchine democratizzano il servizio
Non è un caso, del resto, che la richiesta di servizi di Intelligence nel Dark Web stia crescendo, come ci conferma Marco Riboli, Vice President Southern Region di FireEye, durante il Cyber Defence Summit di Washington: «Il servizio di dark web intelligence era già disponibile su richiesta già da diverso tempo, ma il continuo aumento delle aziende interessate ci ha spinti a offrirlo come servizio “a catalogo”, evolvendone le caratteristiche.

Molte operazioni sono automatizzate per garantire quel livello di monitoraggio che solo un sistema automatico può raggiungere, mentre agli operatori umani rimane il compito di verificare quello che viene riportato ed eventualmente investigare dove le macchine non possono arrivare».

L'ennesima applicazione del concetto di “augmented human service”, ovvero gli analisti umani si dedicano agli approfondimenti e alle investigazioni più “raffinate”, mentre le macchine fanno il lavoro “sporco”.

La protezione a portata di tutte le tasche
E proprio la completa automatizzazione dei processi di investigazione è riuscita a portare i servizi di dark web intelligence alla portata delle piccole e piccolissime aziende. Un esempio ne è il servizio Netgear Dark Web Intelligence, che vanta prezzi molto aggressivi grazie a una struttura in moduli. Chi vuole tenere un occhio a cosa combinano i pirati con i suoi dati, può scegliere di controllare se appaiono in vendita degli specifici numeri di carta di credito, delle credenziali d'accesso o interi siti che operano phishing sfruttando il suo nome. Un sistema automatico continuerà a monitorare la situazione e provvederà ad avvertirlo se saltano fuori dei dati che lo riguardano.

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti