domenica 5 aprile 2020

Check Point, hacker nigeriano ha guadagnato 100.000$: ecco come


Gli attacchi di phishing stanno diventando sempre più sofisticati e difficili da identificare. Disponiamo di sistemi per limitare il numero di e-mail fraudolente e minimizzare l’impatto laddove possibile. Tuttavia, alcune e-mail supereranno sempre i filtri anti-spam più sofisticati. Capita a volte di vedere un tentativo di phishing o un’e-mail con un allegato sospetto nella casella di posta elettronica. Chi è stato a inviarlo e come ha ottenuto quei dati? Però, la domanda che in molti si chiedono è: quanto denaro guadagnano realmente queste persone dalle loro attività cyber-criminali? Ora, grazie agli esperti di Check Point Software Technologies, siamo finalmente in grado di rispondere a tutto ciò.

Negli ultimi mesi, i ricercatori hanno scoperto l’identità di uno dei cyber-criminali più prolifici, attivo da oltre sette anni, che ha guadagnato oltre 100.000 dollari USA con il suo “buon lavoro”. Noto anche come Dton, l’hacker ha venticinque anni, vive a Benin City, città della Nigeria meridionale che conta quasi 1,5 milioni di abitanti. Dal suo curriculum, Dton sembra un cittadino modello, invece ha anche un’altra identità: Bill Henry, un cyber-criminale in carriera che compra beni con carte di credito rubate e lancia attacchi phishing e malware. Ma quindi, come ha iniziato Dton (alias Bill) una vita da criminale informatico? E come ha fatto a guadagnare, in media, 14 volte il salario minimo nazionale in Nigeria e 3 volte il salario medio di un professionista, per ogni anno dal 2013? Per cominciare: truffe con carte di credito rubate. 

Dton ha iniziato speculando un po’: ha speso circa 13.000 dollari per acquistare i dettagli di mille carte di credito da uno particolare mercato online specializzato nella vendita di carte di pagamento rubate. Con ogni carta rubata – il cui costo si aggira tra i 4 e i 16 dollari l’una – Dton di solito cercava di addebitare circa 200.000 Naira nigeriane (NAN – News Agency of Nigeria), equivalenti a circa 550 dollari USA. Se la transazione veniva bloccata, allora tentava con un altro commerciante, o un’altra carta, fino ad avere successo. Dal suo “investimento” nelle mille carte rubate, Dton è riuscito ad addebitare oltre 100.000 dollari statunitensi. Tuttavia, sembra che l’acquisto costante di nuovi blocchi dati di carte di credito rubate abbia iniziato a irritare Dton: non era più convinto di dover pagare in anticipo e voleva margini e profitti più alti. 

Così ha iniziato ad acquisire contatti – indirizzi e-mail in massa di potenziali bersagli – in modo da poter lanciare i propri exploit. Il marketing del malware su più livelli. Dton ha iniziato a comprare gli strumenti in grado di creare malware per inviare spam alla sua lista di bersagli. Questi strumenti includono packer e crypter pronti all’utilizzo, componenti infostealer e keylogger, ed exploit. Con questi strumenti, ha potuto costruire il proprio malware su misura, inserirlo in un documento dall’aspetto benevolo, creare la sua e-mail da inviare alla sua vasta lista di bersagli. Questo ha fornito rapidamente molte credenziali che Dton ha potuto sfruttare, facendogli guadagnare più soldi – e soddisfacendo anche il suo capo. Sì, perché Dton non è un imprenditore individuale: ha un manager, che a sua volta dipende da un altro manager. 

Questi dirigenti forniscono il capitale iniziale a Dton, ma si aspettano anche forti ritorni sui loro investimenti. È l’equivalente del crimine informatico di una “vendita piramidale” o di uno schema di marketing su più livelli (multilevel-marketing). Le lamentele e le pressioni del capo non piacciono a nessuno. La stessa cosa vale per Dton che, dopo aver visto calare i suoi profitti derivanti dall’acquisto e dall’utilizzo di toolkit di malware pronti per l’uso, ha deciso di sviluppare il suo malware da zero. Un tipo di codice malevolo che non ha una firma nota e che può aggirare la maggior parte delle difese di sicurezza, in modo da poter lavorare per sé stesso. È una lotta per la sopravvivenza. Poiché Dton non è un programmatore, ha assunto una persona di nome “RATs & Exploits” per sviluppare il malware per lui. 

Sembra, però, che l’espressione “non c’è onore tra i ladri” sia vera: Dton ha compromesso la macchina di RATs & Exploits con un RAT (Remote Access Trojan), un programma che include una backdoor, in modo da poter spiare il suo lavoro e tentare di rubare alcuni dei suoi segreti. Però questo non gli bastava: infatti ha anche ingaggiato un altro losco personaggio – con il quale poi ha litigato – dietro un programma specializzato in malware packer*, discutendo con lui sui forum underground per prezzi e uso. Il risultato? Quando Dton ha capito che non sarebbe riuscito ad ottenere quello che voleva, ha denunciato “il partner” all’Interpol. L’economia del cyber-crimine è certamente una lotta per la sopravvivenza - ma nel frattempo, nonostante questi piccoli contrattempi, Dton ha continuato a guadagnare denaro illecito.

Il viaggio di Dton nel campo della criminalità informatica dimostra come anche un individuo relativamente poco qualificato e indisciplinato possa trarre grande profitto da frodi e attività online dannose. Questo semplicemente perché, come molte altre attività criminali, il cyber-crimine è un gioco di numeri. Non importa se 499 persone non aprono un’e-mail contenente malware: la 500esima persona certamente lo farà. E quando si possono prendere di mira centinaia di migliaia di persone alla volta, basta infettare una manciata di persone per ottenere il proprio guadagno illecito. Per proteggersi dal rischio di diventare vittima delle migliaia di Dton là fuori, è importante seguire queste buone abitudini, lo dicono gli esperti di Check Point Software Technologies: 1. Negli acquisti online, assicurarsi di ordinare la merce da una fonte affidabile.

Non cliccare sui link promozionali nelle e-mail, ma cercare su Google il rivenditore desiderato e cliccare il link dalla pagina dei risultati per evitare che dati personali e di pagamento vengano intercettati. 2. Attenzione alle offerte “speciali”. Uno sconto dell’80% su un nuovo iPhone o “una cura esclusiva per il Coronavirus a 150 dollari”, solitamente non sono opportunità credibili. Un esempio, rileva Check Point, è il sito ‘vaccinecovid-19 \ .com’. È stato creato per la prima volta l’11 febbraio scorso, registrato in Russia e offre in vendita “il test migliore e più veloce per il rilevamento del coronavirus al fantastico prezzo di 19.000 rubli russi”, circa 300 dollari. 3. Attenzione ai domini, agli errori di ortografia nelle e-mail o nei siti web e ai mittenti sconosciuti. Restare sempre vigili ed essere scettici nei confronti di qualsiasi e-mail non richiesta.

4. Controllare gli errori di ortografia e la grammatica scadente. Non rispondere mai alle e-mail che richiedono la password o altre informazioni riservate. 5. Non fare mai clic su o aprire collegamenti o allegati sospetti. Se si viene indirizzati a una pagina di accesso o a un sito Web, non inserire mai le proprie informazioni personali. 6. Proteggere i propri sistemi con una soluzione con architettura cibernetica olistica, end-to-end to end, per prevenire gli attacchi zero-day. 7. Si consiglia l’uso di un programma antimalware che includa un antivirus e un firewall da tenere sempre ben aggiornati. Il team di ricerca di Check Point Software Technologies ha informato le autorità di polizia in Nigeria e a livello internazionale, condividendo con loro le scoperte. Maggiori dettagli sulle attività di Dton sono disponibili sul blog di Check Point Research.

*Per eludere il rilevamento, gli sviluppatori di malware utilizzano i packer per crittografare i loro malware prima di rilasciarli in libertà. Check Point Research discute un caso di studio in cui sono stati in grado di decrittografare uno specifico packer che è molto popolare tra gli sviluppatori di malware. Gli sviluppatori di questo packer lo offrono in vendita su Internet e promettono che non è rilevabile (Fonte: Check Point Software Technologies Reports 2019 Fourth Quarter And Full Year Financial Results. Check Point Software Technologies Ltd. (www.checkpoint.com) è un fornitore leader di soluzioni di sicurezza informatica per governi e aziende di tutto il mondo. Le sue soluzioni proteggono i clienti dagli attacchi informatici con un tasso di cattura leader di settore di malware, ransomware e altri tipi di attacchi. Via: Team Lewis



Nessun commento:

Posta un commento