Al di là delle informazioni personali

Una botnet attiva dal 2012 ha attaccato i server di società pieni di dati sensibili.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Al di là delle informazioni personali (PII) che possono essere usate per un furto di identità, questo caso solleva una questione molto più scottante.  Le aziende coinvolte nelle violazioni hanno il controllo di enormi quantità di dati su abitudini e prassi di consumatori e imprese, oltre a una raccolta di dati che vengono usati per verificare l’identità di qualcuno al telefono. Questo tipo di verifica è ormai la più usata negli istituti finanziari americani e il fatto che ci sia stata una violazione così ampia mette tutti gli istituti di credito a rischio.

Supponiamo che qualcuno stia cercando di spostare denaro tramite bonifico bancario online, oppure debba richiedere un finanziamento...  Telefona a una società di credito e questa usa le informazioni presenti nei server di aziende come LexisNexis per farci domande molto personali come "Qual è stato il tuo indirizzo di casa precedente?" o "Quale società di servizi ti ha concesso il mutuo?". A queste vengono poi mescolate delle domande “trabocchetto” per trarre in inganno eventuali truffatori che cerchino di spostare denaro o chiedere soldi in vece di qualcun altro.  Paradossalmente, i clienti veri possono avere problemi perché non ricordano la risposta a una di queste domande, ma i criminali che hanno avuto accesso alla botnet SSNDOB, sanno tutto!

Hackers hanno già provato a usare i dati rubati per ottenere denaro in "prestito"

 Un analista di frodi ha detto a Krebs che ha avuto la possibilità di sentire un’impiegata di un istituto di credito che stava facendo domande “di verifica” a un candidato che aveva richiesto una somma considerevole di denaro che è stato poi individuato come un truffatore:

La donna al telefono chiedeva al richiedente, "Qual è l'importo dell'ultimo pagamento del mutuo?” Dall’altra parte, il ragazzo chiedeva di aspettare un attimo e si sentiva il cliccare di un mouse che scorreva pagine e pagine di testo alla ricerca della risposta giusta.

Il rapporto di Krebs è completo e affascinante, ed offre tonnellate di dettagli sulle indagini, tra cui, ad esempio, la constatazione che il furto di identità ha colpito più di 1,02 milioni di cittadini a cui sono stati sottratti i numeri di previdenza sociale e quasi 3,1 milioni di date di nascita da quando la botnet è attiva, ovvero da primi mesi del 2012.