L’Office of Technology della Federal Trade Commission (FTC) ha recentemente condotto un interessante esperimento per testare la reattività dei cyber-criminali offrendo loro un’invitante occasione per delinquere.
Come prima cosa, è stato creato un database contenente informazioni relative ad un centinaio di consumatori inserendo dati inventati: nome, residenza, e-mail, telefono. Un’anagrafica fittizia ma studiata con attenzione affinché risultasse credibile anche ad un occhio più attento: nomi ricorrenti negli USA, indirizzi e-mail sensati rispetto al nome, numeri di telefono che corrispondono alla zona di residenza, e così via. Inoltre, i tecnici della FTC hanno inserito, per ciascuna stringa individuale, dati relativi ad uno tra tre tipici strumenti di pagamento elettronico: carta di credito, portafoglio bitcoin, ed un online payment service non meglio specificato (potrebbe trattarsi di Paypal o provider simile).
In seguito, il database è stato pubblicato su un forum Internet solitamente utilizzato dagli hackers per condividere le credenziali d’accesso rubate. Da ultimo, i tecnici si sono messi a monitorare le conseguenze del posizionamento online del finto data breach. E ne hanno tratto alcune interessanti evidenze.
Ci sono voluti solo 9 minuti prima che i malfattori che frequentano la rete provassero ad impiegare per fini illegali le identità altrui. In totale, sono stati effettuati 1.200 tentativi di utilizzo illecito dei dati.
I criminali hanno cercato per lo più di acquistare oggetti o vestiti (164 tentativi), giochi elettronici (59), prenotazioni alberghiere; ma anche beni di modesto valore (come una pizza consegnata a casa) o particolari (come assicurazioni o forme di investimento finanziario). Non sono mancati i tentativi di intrufolarsi negli account e-mail degli utenti, magari per compiere ulteriori reati in un secondo momento (vendita di informazioni riservate, ricatto a fini estorsivi, etc.).
Interessante il dato sulla localizzazione geografica degli indirizzi IP da cui si sono connessi i device di coloro che hanno provato ad utilizzare le informazioni: la stragrande maggioranza degli address era ubicato negli USA stessi.
Insomma, se la FTC voleva dimostrare che i data breach portano rischi subitanei agli utenti e ai loro portafogli, c’è riuscita. Per questo, la ricerca si chiude con un invito all’utilizzo di sistemi di autenticazione a 2 fattori di modo che non basti essere in possesso di una password da associare agli user data per concludere con successo una transazione online. Basta, ad esempio, un codice temporaneo inviato sul cellulare del legittimo proprietario per rendere la vita più difficile ai ladri digitali.
