Dati personali sul Web: un’opportunità per il cyber crimine

Informazione è valore. E questo vale anche per i cyber criminali e tutti quelli che si propongono di ottenere vantaggi sfruttando la conoscenza disponibile sul Web. 

È ormai un dato di fatto che i tempi degli hacker che si ponevano come obiettivo delle loro azioni il desiderio di mettere alla prova la propria abilità o che si ergevano a paladini di anarchiche visioni della Rete si sono definitivamente conclusi, lasciando spazio a una nuova generazione di "attacker". 

Il Web è diventato terreno di raccolta per organizzazioni criminali che agiscono in modo coordinato, metodico e su scala globale, con servizi a listino e livelli di servizio garantiti. 
Tra gli obiettivi primari di questo saccheggio digitale vi sono il recupero di informazioni che possono portare direttamente a una sottrazione di denaro (come i dati relativi a carte di credito e affini) e quelle utilizzabili per il cosiddetto furto di identità.

In entrambi, i casi quello che le vittime stentano a comprendere è che il successo nelle attività illegali è spesso ottenuto attraverso un processo articolato e prolungato nel tempo, che è il risultato dell'acquisizione di una serie di informazioni ognuna delle quali apparentemente inutilizzabile, ma che, se messa insieme ad altre, può contribuire a fornire la chiave per il successo di un'azione criminale. 

Per questo motivo trovano terreno sempre più fertile le tecniche di social engineering che partono da un presupposto psicologico in base al quale gli individui sono più facilmente predisposti a fornire informazioni quando sono messi in condizioni di urgenza e quando sono indotti a pensare di fornire informazioni che, in realtà, sono già note.

Per esempio per ottenere informazioni su uno specifico individuo è possibile contattare il suo ufficio e cercare di parlare con un suo collega mentre il target è certamente fuori ufficio (magari perché ho scoperto via Web che partecipa a un evento pubblico), Basta addurre un'urgenza e chiedere se è possibile contattarlo al suo numero di cellulare, citando al collega un numero inesatto, per sentirselo correggere con quello esatto.

Per risultare più convincenti è possibile fornire durante la conversazione, in modo apparentemente casuale, dati e informazioni private facilmente reperibili in rete su un blog personale o un sito di social network come Facebook.

Questi siti hanno reso il compito dei cyber criminali enormemente più facile: nomi di figli, fidanzate, animali da compagnia, cantanti preferiti o traslitterazioni varie dalla propria data di nascita sono, infatti, tra i candidati principali per la scelta delle password che, una volta indovinate e associate a un indirizzo Internet, permettono di avere il controllo della posta elettronica. 

Parimenti offrono a un malintenzionato utili riferimenti per dare una risposta alle domande di controllo (per esempio, qual è il nome del tuo animale da compagnia? Qual è il nome di tua madre da nubile?) necessarie per modificare la password, per esempio di un sito che intermedia i pagamenti per il soggetto sotto attacco, e richiedere l'invio delle nuove credenziali di accesso a un indirizzo di posta elettronica sotto il controllo del criminale.

Un caso reale di furto di identità, raccontatomi da un colonnello della Guardia di Finanza, riguardava un tizio che aveva utilizzato i dati personali di un malcapitato trovati sul Web, per creare in modo piuttosto grossolano una carta di identità fasulla. Il documento riportava i dati sottratti e una foto sfuocata del criminale che ne aveva poi creato una fotocopia sbiadita e spiegazzata (in modo da celare la falsificazione), con cui andare a denunciare presso la Polizia lo smarrimento di quella originale.

In cambio aveva ricevuto la ricevuta di una denuncia, perfettamente regolare e autentica, che aveva utilizzato come documento sostitutivo per aprire un conto corrente presso un banca (anche in questo caso adducendo un'urgenza) su cui era stato fatto successivamente confluire denaro ottenuto illecitamente e che poteva prelevare tranquillamente da ogni parte del mondo tramite ATM.

Un giorno la Polizia potrebbe bussare alla vostra porta per chiedervi di un conto intestato a voi di cui ignoravate l'esistenza. Meditate gente, meditate.