SSN è un’abbreviazione specifica per l’America, mentre DOB lo è per la lingua inglese.
Tuttavia, i loro significati sono ampiamente conosciuti in tutto il mondo, non da ultimo per il loro uso diffuso nelle segnalazioni e nelle discussioni sul furto di identità e sulla criminalità informatica.
SSN è l’abbreviazione di Social Security Number, che è effettivamente un numero di identificazione nazionale statunitense, mentre DOB si traduce in “data di nascita”.
Ironia della sorte, ovviamente, un SSN non ti identifica attivamente: in realtà è solo un’etichetta che può essere utilizzata come identificatore univoco a fini di archiviazione.
In altre parole, conoscere semplicemente il SSN di qualcuno non dimostra che sei quella persona.
Sfortunatamente, tuttavia, conoscere il SSN di qualcuno (o l’identificatore personale equivalente nel tuo paese) è un buon punto di partenza se sei un ladro di identità, perché spesso può essere combinato con altre informazioni personali per superare i controlli di identità.
La teoria è che se c’è, diciamo, una probabilità dell’1% che tu abbia scoperto il SSN di qualcuno e una probabilità del 5% di indovinare il suo DOB, allora c’è solo una probabilità dell’1% × 5% (ovvero 0,01 × 0,05 = 0,0005) di ottenerli entrambi corretti, e quella possibilità moltiplicata per lo 0,05% di probabilità rappresenta una probabilità di appena 1 su 2000.
Inserisci altri dati personali come numero di passaporto, scansione di una patente di guida, indirizzo di casa preciso, numero di telefono e così via…
… e, almeno in teoria, puoi continuare a ridurre la probabilità fino a quando non appaia certo che l’unico modo in cui qualcuno potrebbe fornire tutti i dati che stai richiedendo è se fosse, in effetti, il vero proprietario del SSN da cui sei partito.
Questa teoria, ovviamente, è stupida.
Puoi moltiplicare le probabilità come abbiamo fatto sopra solo se sono completamente indipendenti l’una dall’altra, ad esempio due lanci di monete consecutivi.
Ma le probabilità che qualcuno possa “indovinare” correttamente sia il tuo SSN che il tuo DOB non sono indipendenti.
Per cominciare, devi considerare la probabilità che se hanno trovato un modo per scoprire il tuo SSN, allora potrebbero aver trovato un modo simile per scoprire il tuo DOB allo stesso tempo.
Gli SSN raramente vengono violati da soli
Come si può immaginare, le violazioni in cui i truffatori si impossessano di dati personali che includono SSN raramente si esauriscono solo con quei SSN, dato che pochi file di database includono un elenco di SSN e nessun altro dato.
Quando i criminali penetrano nelle reti aziendali, ad esempio, spesso inseguono i record delle risorse umane perché i datori di lavoro sono generalmente tenuti sia dalla legge che dalla necessità operativa a raccogliere quantità significative di informazioni personali su ciascun dipendente.
I datori di lavoro in genere devono conservare le prove che sei quello che affermi e che sei legalmente autorizzato a cercare lavoro nel paese; hanno bisogno di sapere come pagarti; sono obbligati a segnalare i tuoi guadagni all’ufficio delle imposte; potrebbero aver bisogno di conservare la tua patente di guida se devi guidare per lavoro; e altro ancora.
Inoltre, come abbiamo scritto proprio recentemente, i dati nel nostro Active Adversary Playbook 2022 suggeriscono che un numero crescente di intrusioni nella rete non riguarda attacchi ransomware dirompenti, ma riguarda il prendersi il tempo necessario per accumulare dati aziendali da vendere ad altri criminali.
In altre parole, i data broker del darkweb in genere non acquisiscono e vendono solo una sorta di punto dati per ogni vittima.
Da qui il nome SSNDOB Market che vedi nel titolo: un bazar di dati online che voleva che i visitatori sapessero che vendeva almeno SSN e DOB abbinati, insieme ad altre informazioni di identificazione personale (PII).
Secondo il Dipartimento di Giustizia degli Stati Uniti (DOJ), SSNDOB ha affermato di avere i dati personali di un massimo di 24.000.000 americani (anche se non sappiamo quanti dati ci fossero davvero o quanto fossero accurati).
Il DOJ afferma che gli operatori del sito hanno guadagnato più di $ 19.000.000 negli ultimi anni, consegnando questi dati ad acquirenti disponibili in cambio di pagamenti pseudoanonimi, in genere utilizzando Bitcoin.
Sfortunatamente, il DOJ non ha arrestato i sospetti operatori del mercato SSNDOB, ma, con l’aiuto dei partner delle forze dell’ordine in Lettonia e Cipro, ha ottenuto un mandato del tribunale che gli consentiva di rilevare i nomi dei server utilizzati dai broker di dati corrotti.
I visitatori di ssndob.ws, ssndob.vip, ssndob.club e blackjob.biz non finiranno più dove probabilmente si aspettavano.
Questo potrebbe non essere proprio il risultato sperato dal DOJ e dalle sue controparti europee, ma ogni piccolo passo aiuta.
Come ha osservato David Walker dell’FBI statunitense nel comunicato stampa del Dipartimento di Giustizia:
Questi sequestri dimostrano il forte rapporto di lavoro dell’FBI con i nostri partner internazionali nell’interrompere le attività informatiche dannose. Lo smantellamento dei mercati illeciti che minacciano la privacy e la sicurezza del pubblico americano è una priorità dell’FBI.
Questo è anche un buon promemoria per ricordarsi che ottenere un buon livello di sicurezza informatica sulla propria rete non solo protegge la tua azienda, ma protegge anche i tuoi dipendenti, i tuoi partner commerciali, i tuoi fornitori, i tuoi clienti e anche tutti gli altri su Internet.
In altre parole, la sicurezza informatica rappresenta un tipo di altruismo estremamente desiderabile: è qualcosa che fai per necessità, per proteggere te stesso e la tua attività, ma che aiuta anche il mondo online a rimanere più sicuro nel suo insieme.
Non essere parte del problema della perdita di dati, sii parte della soluzione!