Saranno tantissimi gli utenti che si sono chiesti, almeno una volta, che fine facciano i dati che, continuamente, vengono sottratti ad ignari utenti per mano di cyber criminali e truffatori digitali: l'account email, quelli social, i dati bancari, i dati personali come nome e cognome o la data di nascita ecc...

Qualche giorno fa è stato denunciato un caso interessante che può fare al caso nostro a fine di esempio, e che risponde alla domanda "che fine fanno le nostre identità digitali rubate"?

Il caso Genesis
Genesis è un e-shop clandestino: si trova nel dark web e, tra le altre attività, vende identità digitali. Vi si accede solo su invito privato, ma, recentemente, è stato infiltrato da alcuni ricercatori di sicurezza che ne hanno resa pubblica l'esistenza.

In questo marketplace sono state rinvenute in vendita oltre 60.000 identità digitali di soggetti realmente esistenti: set di informazioni cioè, appartenenti a persone reali, in vendita a prezzi variabili da 5 a 200 dollari per profilo. Questi pacchetti comprendono informazioni delle carte di credito, credenziali di accesso ai profili social e a vari account di servizi e le cosiddette "browser fingerprint". Quest'ultime sono una complessa combinazione di proprietà di sistema (oltre 100 diversi attributi, dall'indirizzo IP all'ID del dispositivo, dalle info sulla CPU/GPU fino alle dimensioni dello schermo, i cookie ecc...) e di caratteristiche comportamentali dell'utente (che possono spaziare dagli interessi dell'utente alle modifiche di configurazione del sistema al tempo trascorso su determinati siti web ai movimenti del mouse). Sono anche dette "digital mask", maschere digitali.

Le maschere digitali in vendita su Genesis sono state tutte rubate da utenti vittime di infezioni con famiglie di malware pensate per scopi specifici: per raccogliere e rubare account, login e password, cookie dei browser e inviarli quindi ai propri gestori.

Insomma, cosa se ne fanno i cyber criminali di questi dati?
Se sui dati bancari la risposta è piuttosto semplice, meno scontato potrebbe essere il conoscere l'utilità, per un attaccante, della nostra data di nascita o di quanto tempo passiamo sui nosti siti web preferiti.

Ciò che rende le digital mask appetibili per i cyber criminali è, ad esempio, il fatto che queste vengono utilizzate nei sistemi anti frode su shop online, banche e altri tipi di servizi che sono comunemente obiettivo di cyber attaccanti. In teoria, i cyber criminali possono rubare credenziali e informazioni di pagamento di un utente e usarle per accedere ai sistemi bancari o finanziari online per eseguire le proprie attività illegali. Il punto è che non è tutto così semplice, dato che il sistema anti frode della banca cercherà di verificare l'identità dell'utente e scartare gli accessi ritenuti illegittimi: per fare ciò i sistemi anti frode (che, grazie all'intelligenza artificiale, sono ormai capaci di auto apprendere) non si limitano alla verifica delle credenziali ma confrontano "l'impronta digitale" dell'utente che ha inserito le credenziali con le maschere digitali contenute in database. In questi database sono salvate le maschere digitali di noti truffatori o cyber attaccanti: se la "digital fingerprint" dell'utente che ha inserito le credenziali combacia con una delle digital mask contenute nel database il sistema anti frode si attiva e blocca gli accessi.

In breve chi, per "mestiere" fa il cyber truffatore ha bisogno delle digital mask rubate per "ripulire" o celare la propria identità digitale, nascondendosi dietro quella di utenti non segnalati. Il truffatore applicherà la maschera digitale al proprio browser, diventando nei fatti un "doppione" di un utente: a questo punto non dovrà fare altro che utilizzare una VPN o un proxy per geolocalizzarsi nei pressi della posizione reale dell'ignaro utente .

Genesis offre comunque, così denunciano i ricercatori, anche la possibilità di generare maschere digitali casuali e uniche. Oltre a questo poi, come si sa, i dati sono un business eccellente, quindi Genesis Store anche vende tutta un'altra serie di informazioni sensibili e credenziali utili per altre forme di cyber attacco o truffa.