Kaspersky Lab, nel contesto del SAS 2019, ha presentato lo studio fatto sull’e-shop clandestino Genesis: oltre 60mila identità legittime rubate e in vendita.
Questo mercato, così come altri strumenti dannosi, implicano uno sfruttamento illecito delle impostazioni antifrode basate sull’apprendimento automatico delle cosiddette digital mask: profili cliente unici e affidabili, basati sulle caratteristiche note del dispositivo e del comportamento di un certo utente.
Ogni volta che un utente inserisce le proprie informazioni finanziarie, di pagamento o personali all’interno di un sistema per le transazioni online, le soluzioni antifrode – avanzate, analitiche e basate sui principi del machine learning – procedono con un confronto tra l’utente stesso e quella che viene chiamata digital mask, ovvero maschera digitale. Queste maschere sono uniche per ciascun utente e combinano le informazioni dei dispositivi (fino alle impronte digitali, ad esempio) e dei browser comunemente utilizzati per effettuare transazioni economiche online (come le informazioni sullo schermo e sul sistema operativo, o una serie di dati del browser come le intestazioni, i fusi orari, i plugin installati, le dimensioni delle finestre, ecc.) con analisi avanzate e machine learning (come i cookie del singolo utente, il suo comportamento online o sul computer in generale, ecc.). In questo modo, i team che si occupano di soluzioni antifrode all’interno delle organizzazioni finanziarie possono arrivare a determinare se è davvero un certo utente ad aver inserito quelle credenziali oppure se si tratta di un carder malintenzionato – di un cybercriminale che si occupa di carding, lo scambio e la compravendita di carte di credito (o meglio dei loro dati) per attività illecite – che cerca di acquistare dei beni utilizzando una carta di credito rubata, possono decidere di approvare o negare la transazione, oppure procedere con il suo invio per un’analisi ulteriore.
Le “maschere digitali”, però, possono essere anche create o copiate da zero; l’indagine condotta da Kaspersky Lab svela proprio come i criminali informatici utilizzino attivamente questi “doppelgänger” digitali per aggirare le misure antifrode di tipo avanzato.
Nel febbraio del 2019, una ricerca dell’azienda ha messo in luce il marketplace Genesis Darknet – un negozio online che vende “maschere digitali” rubate e account utente a prezzi che vanno dai 5 ai 200 dollari ciascuno. I clienti di Genesis acquistano semplicemente “maschere digitali”, sottratte in precedenza, insieme a login e password, rubate ai negozi online e ai servizi di pagamento, e poi le attivano attraverso un browser e una connessione proxy per simulare l’attività di un possibile utente reale. Se i cybercriminali sono in possesso delle credenziali di conto di un utente legittimo, l’aggressore può anche essere in grado di accedere al conto online o di effettuare nuove transazioni apparentemente affidabili a suo nome.
Sergey Lozhkin, Security Researcher di Kaspersky Lab
Stiamo vedendo un trend piuttosto chiaro per quanto riguarda l’aumento delle frodi che riguardano il carding in tutto il mondo. Mentre tutto il settore sta investendo in modo massiccio in misure antifrode, i “doppelgänger” digitali sono difficili da rilevare. Un modo alternativo per prevenire la diffusione di questa tipo di attività malevola è quello di chiudere le infrastrutture che vengono usate dai truffatori. Per questo motivo esortiamo le forze dell’ordine di tutto il mondo a prestare particolare attenzione a questo problema e ad unirsi a questa battaglia.
Esistono anche altri strumenti che consentono ai cybercriminali di creare da zero delle “maschere digitali” uniche, che non innescano soluzioni antifrode. I ricercatori di Kaspersky Lab hanno studiato proprio uno di questi tool, uno speciale browser, Tenebris con un generatore di configurazione integrato, in grado di sviluppare impronte digitali uniche. Una volta creata la “digital mask”, il carder deve semplicemente attivarla attraverso un browser e una connessione proxy e condurre così qualsiasi tipo di operazione online.
Kaspersky Lab raccomanda alle aziende di implementare le seguenti misure in modo da migliorare i propri livelli di sicurezza:
– Attivare l’autenticazione a più fattori in ogni fase del processo di convalida di un utente.
– Prendere in considerazione l’introduzione di nuovi metodi di verifica aggiuntivi, come, ad esempio, quelli che riguardano la biometria.
– Sfruttare le analisi più avanzate per quanto riguarda lo “user behavior”.
– Integrare i feed di Threat Intelligence all’interno del SIEM e in altri controlli di sicurezza, in modo da ottenere l’accesso ai dati sulle minacce più rilevanti e aggiornati e farsi trovare così preparati in caso di possibili attacchi futuri.