L’accesso a dati sensibili come le cartelle cliniche o i documenti di identificazione può costare meno di una tazza di caffè, ma cresce il valore – e quindi l’interesse dei cybercriminali – di altri tipi di file, a partire da foto e selfie. A dirlo sono i ricercatori Kaspersky, che hanno indagato su due delle conseguenze più importanti della condivisione di dati personali: il doxing, ovvero la pratica di diffusione pubblica di dati online senza il consenso del diretto interessato, e la vendita di dati personali nel dark web. Per comprendere meglio come le informazioni personali degli utenti possano essere sfruttare se finiscono nelle mani sbagliate, Kaspersky ha analizzato le offerte attive su dieci forum e mercati darknet internazionali. La ricerca, divulgata attraverso il report “Dox, steal, reveal. Where does your personal data end up?”, ha dimostrato che l’accesso ai dati personali può costare da un minimo di 42 centesimi di euro per l’acquisto dei dati anagrafici e dipende dal dettaglio e dell’ampiezza dei dati offerti. Alcune informazioni personali tra quelle vendute nel dark web rimangono invariate rispetto a quelle richieste dieci anni fa cosi come sono rimasti invariati i prezzi. Parliamo dei dati delle carte di credito, dell’accesso ai servizi bancari e di pagamento elettronico.
I pericoli – sottostimati – del doxing
Nonostante la consapevolezza delle persone sui temi legati alla privacy sia in aumento, la maggior parte degli utenti ha ancora solo una comprensione di base del perché sia importante. Addirittura il 43% dei Millennials italiani pensa di essere troppo noioso per attirare l’attenzione dei criminali informatici. Eppure non è così. Per esempio, il doxing, che in un certo senso è molto simile al cyberbullismo, può colpire qualsiasi utente che decide di esprimere la propria opinione online o che in qualche modo non è conforme agli standard soggettivi di altri utenti.
Il doxing è la pratica per cui un utente condivide le informazioni private di un’altra persona senza il suo consenso con l’obiettivo di metterla in imbarazzo, ferirla o metterla in pericolo. In generale, gli utenti non si aspettano che le informazioni personali possano diventare di dominio pubblico e, anche chi lo immagina, non è consapevole dei danni. Ma come dimostrato da diversi casi, il doxing può trasformarsi in qualcosa di davvero molto pericoloso ed è in grado di consentire a utenti malintenzionati di hackerare l’account della vittima. Si tratta di un servizio che oggi viene offerto nel dark web.
I dati messi in vendita dai cybercriminali
Sono emerse anche nuove priorità tra i target dei cybercriminali. I selfie con i documenti di identificazione, per esempio, costano fino a 33 euro. L’aumento del numero di foto in cui vengono mostrati i documenti e di schemi di attacco che le utilizzano riflette anche un trend nei “cybergood game”. L’abuso di questi dati comporta conseguenze piuttosto significative, come l’appropriazione dell’identità di altre persone. Più nello specifico, Kaspersky segnala che i dettagli della carta di credito possono essere venduti per prezzi che vanno da 5 a 16 euro. La scansione della patente varrebbe dai 4 ai 21 euro, mentre quella del passaporto dai 4 ai 13 euro. Il costo dei servizi in abbonamento varia da 0,40 a 7 euro. “Tariffe” simili per i dati identificativi (come nome completo, codice fiscale, data di nascita, email e numero di cellulare), che vanno da 0,40 a 8 euro. I dati di maggior valore sono quelli del conto corrente bancario e del conto PayPal, per cui si è disposti a pagare da 42 a 418 euro.
Significative sono anche le conseguenze dell’abuso di altri tipi di dati personali. I dati venduti nel dark web possono essere utilizzati per estorsioni, truffe, schemi di phishing e per il furto diretto di denaro. Alcuni tipi di dati, come l’accesso a conti personali o a database di password, possono essere utilizzati in modo abusivo non solo per fini di lucro, ma anche per danni alla reputazione e sociali, tra cui il doxing.
“Negli ultimi anni molti aspetti della nostra vita sono stati digitalizzati e alcuni di essi, come la nostra salute, per esempio, contengono informazioni particolarmente private. Il numero crescente di fughe di dati porta a maggiori rischi per gli utenti”, commenta in una nota Morten Lehn, General Manager Italy di Kaspersky. “Tuttavia, ci sono anche alcuni sviluppi positivi. Molte organizzazioni, infatti, stanno adottando misure supplementari per proteggere i dati dei loro utenti. Le piattaforme dei social media hanno fatto progressi particolarmente significativi in questo senso, infatti è diventato molto più difficile rubare un account di un utente specifico. Detto questo, credo che la nostra ricerca metta in evidenza quanto sia importante essere consapevoli del fatto che i propri dati sono molto richiesti e possono essere utilizzati per scopi malevoli anche quando riguardano utenti che non dispongono di molto denaro, non esprimono opinioni controverse online e non sono molto attivi sui social”.