Abbiamo dedicato una serie di approfondimenti ai molteplici modi con i quali “I truffatori si truffano tra loro sui forum di criminalità informatica”. Ciò che è emerso è che i criminali informatici si truffano a vicenda per milioni di dollari e utilizzano l’arbitrato per risolvere le controversie sulle truffe.
I nostri esperti di Sophos X-Ops hanno preso in esame tre importanti forum underground, Exploit e XSS, conosciuti per la vendita di accessi a reti compromesse e BreachForums, specializzato in furti di dati.
L’analisi rileva come i cybercriminali, per truffarsi a vicenda, utilizzino tecniche classiche come il typosquatting, il phishing, il malware backdoor e i falsi marketplace.
Solo negli ultimi dodici mesi sono emerse circa 600 truffe che hanno portato gli attori delle minacce a perdere più di 2,5 milioni di dollari, solo su questi tre forum, con richieste di risarcimento che vanno da 2 a 160.000 dollari.
I dati emersi da questa analisi sono particolarmente preziosi, in quanto le informazioni e le interazioni tra gang di cybercriminali possono essere un’importante fonte di informazioni in grado di rivelare i legami tra i gruppi, il loro modo di operare e le loro priorità.
Ad esempio, tutti e tre i forum hanno delle “stanze di arbitrato”, dove gli utenti possono riportare le frodi di cui ritengono di essere stati vittime. Quindi, tutte le frodi tra cybercriminali e i processi di arbitrato hanno lasciato dietro di sé un patrimonio di dati non sfruttati, che i professionisti della sicurezza e le forze dell’ordine potrebbero sfruttare per comprendere meglio e difendersi dai comportamenti dei criminali informatici.
Ecco alcuni dei dati emersi:
- Si tratta di un business di grandi dimensioni, una vera e propria sotto-economia. Negli ultimi dodici mesi i cybercriminali sono stati truffati per oltre 2,5 milioni di dollari solamente sui tre forum considerati. Il problema è addirittura così rilvante ed esiste da sufficiente tempo da aver spinto gli amministratori di questi forum a creare delle ‘sale per l’arbitrato’ dedicate per gli utenti che segnalano truffe e attacchi
- Il denaro non è l’unica motivazione che spinge i cybercriminali a truffarsi tra loro, ma all’origine di queste truffe possono esserci faide personali, rivalità e desiderio di distruggere le reputazioni. Non si tratta solamente di persone comuni, ma anche di personaggi di spicco che vengono accusati di truffare gli altri oppure sono loro stessi a cadere vittima di truffe.
- Gli attacchi vanno oltre il solito meccanismo del ‘prendi i soldi e scappa’. Sono state osservate truffe relative a referral, false fughe di dati, tool fasulli, typosquatting, phishing, truffe ‘alt rep’ (il ricorso ad account compiacenti per innalzare artificiosamente i punteggi di reputazione), false garanzie, ricatti, impersonificazione di account altrui e malware contenente backdoor. Sono emersi anche altri casi di vendetta: vittime di truffe che hanno a loro volta truffato coloro di cui erano state vittime.
- Sono emersi esempi di frodi su vasta scala a lungo termine. Una delle maggiori sorprese è emersa quando Sophos ha analizzato il sito fasullo che imita Genesis e ha scoperto diciannove altri siti creati dalla stessa persona (o gruppo di persone) per imitare altri marketplace criminali allo scopo di convincere gli utenti a pagare una ‘fee di attivazione’ di 100 dollari. Non si è a conoscenza di chi ci sia dietro questi siti, ma sono stati identificati possibili collegamenti che rimandano a un cybercriminale che lavora su diversi siti del Dark Web.
- I report che segnalano queste truffe sono una ricca e inesplorata fonte di intelligence. I cybercriminali sanno che i forum sono monitorati, quindi adottano spesso tecniche di sicurezza operativa. Quando cadono vittima di altri criminali, però, si dimenticano di farlo. Dal momento che le regole dei forum richiedono la pubblicazione di prove a sostegno delle accuse, spesso le vittime allegano gli screenshot di conversazioni private e codici sorgente, identificatori, transazioni, log di chat e resoconti dettagliati di negoziazioni, acquisti e tentativi di risolvere i problemi.
Una panoramica statistica del fenomeno
Sophos ha analizzato i report di truffe che hanno provocato perdite monetarie negli ultimi dodici mesi e con BreachForums sono risaliti alla prima truffa segnalata e da questa sono emersi alcuni dati utili.
- Le perdite totali ammontano a 2.538.945 dollari: una somma significativa, considerando che riguarda i casi segnalati solamente su tre forum.
- Exploit è il forum peggiore per le truffe, sia in termini di numero di segnalazioni che di somme sottratte. Questo forum ha circa due volte il numero di utenti di XSS e può attirare più truffatori a causa della sua reputazione.
- Su tutti e tre i forum la somma media sottratta è simile, così come l’intervallo tra la cifra minima e quella massima, a suggerire che la scala di queste truffe è la stessa indipendentemente dal forum.
- Sono state segnalate truffe per importi anche di soli 2 dollari: anche i cybercriminali si lamentano per essere stati derubati a prescindere dall’importo.
- All’estremo opposto, su tutti i tre marketplace le truffe più ingenti arrivano addirittura a valori a sei cifre, anche se si tratta di eccezioni. La maggior parte delle truffe totalizzano somme di denaro relativamente insignificanti.