Un rapporto di Comparitech ha rilevato che il Giappone e gli Emirati Arabi Uniti hanno le identità più costose disponibili sui mercati illeciti a un prezzo medio di $ 25.
Secondo un nuovo rapporto della società di ricerca tecnologica Comparitech, le informazioni personali dei cittadini statunitensi trovate sul Dark Web, che vanno dai numeri di previdenza sociale, ai numeri di carte di credito rubate, agli account PayPal violati e altro, valgono in media solo $ 8 .
I ricercatori hanno esaminato attentamente i prezzi dei dati e delle informazioni personali, chiamati “fullz” da coloro che cercano “credenziali complete”, che sono disponibili per la vendita su quasi 50 diversi mercati del Dark Web, scoprendo che il Giappone, gli Emirati Arabi Uniti e i paesi dell’UE ne hanno identità costose disponibili a un prezzo medio di $ 25.
Il rapporto afferma anche che i prezzi per i numeri di carte di credito rubati vanno da soli 11 centesimi a quasi $ 1.000. Ci sono state altrettanto enormi oscillazioni di prezzo per i dati degli account PayPal rubati, che costano tra $ 5 e $ 1.767, hanno scoperto i ricercatori di Comparitech, aggiungendo che i prezzi per gli account con sede negli Stati Uniti o nel Regno Unito erano più economici perché rappresentavano la maggior parte di ciò che era disponibile.
Il prezzo medio di un conto PayPal negli Stati Uniti era di soli $ 1,50 e $ 2,50 per i conti nel Regno Unito, ma gli acquirenti potrebbero finire per realizzare un profitto considerevole. Secondo i calcoli del rapporto, i prezzi bassi erano in netto contrasto con i limiti di credito mediani o con i saldi dei conti disponibili con queste carte rubate o conti compromessi.
“Dopo una violazione dei dati o una campagna di phishing riuscita, la maggior parte delle informazioni personali rubate viene venduta sui mercati neri. Molti di questi mercati risiedono nel Dark Web. Il limite di credito medio su una carta di credito rubata è 24 volte il prezzo della carta. Il saldo mediano di un conto PayPal violato è 32 volte il prezzo del dark web “, ha scritto Paul Bischoff di Comparitech.
“I numeri di previdenza sociale e altri numeri di identificazione nazionali sono in vendita sul dark web, ma non sono particolarmente utili ai criminali informatici da soli. Di solito sono accompagnati da altre informazioni personali, tra cui il nome di una persona, la data di nascita, l’indirizzo, il numero di telefono , numeri di conto e altre informazioni personali che i criminali informatici utilizzano per frodi di identità, inclusa l’apertura di nuove linee di credito a nome della vittima, l’acquisizione di conti e il ritiro dalle banche, tra gli altri crimini “.
Il rapporto spiega che le credenziali rubate variano in termini di informazioni fornite. Alcuni avevano numeri di previdenza sociale, nomi e indirizzi, mentre altri pacchetti più ampi venivano forniti con bollette, estratti conto di un conto bancario o numero di patente di guida.
Il rapporto che alcuni pacchi arrivavano con foto di una persona o foto di passaporti e patenti di guida. Bischoff osserva che alcune informazioni, come i numeri di carta di credito, vengono vendute in pacchetti all’ingrosso generalmente risultanti da una sorta di violazione o attacco.
“Potrebbero essere stati raccolti tutti da una singola violazione dei dati, ad esempio, o dallo stesso skimmer di carte posizionato su una pompa di benzina”, ha scritto Bischoff.
Dopo l’UE, il Giappone e gli Emirati Arabi Uniti, il prezzo medio delle credenziali rubate era superiore a una media di $ 20 per record in Colombia, Nuova Zelanda e Messico. Turchia, Israele, Cina, Singapore, Canada e Australia avevano tutte una media di $ 14 o $ 15.
Gli Stati Uniti, purtroppo, sono all’avanguardia in una serie di categorie elencate nel rapporto. Più di un terzo di tutte le carte di credito rubate che i ricercatori hanno trovato sui siti Dark Web provenivano dagli Stati Uniti e nessun altro paese si è avvicinato.
L’ampia disponibilità di conti di carte di credito statunitensi rubati significa che generalmente costa in media meno rispetto alla maggior parte dei paesi. In cima alla lista ci sono i paesi che compongono l’Unione Europea, con una media di $ 8 per account.
Australia, Messico, Nuova Zelanda, Emirati Arabi Uniti e Giappone erano tutti a $ 7.
“I fornitori del mercato nero hanno un forte incentivo a mantenere felici i propri clienti. La reputazione e il feedback positivo giocano un ruolo fondamentale nel successo di un fornitore e molti clienti sono disposti a pagare un premio per beni e servizi su cui sanno di poter contare. ad esempio, ha elencato un account PayPal per $ 811 “, ha aggiunto Bischoff.
“Il venditore ha promesso che il saldo sul conto sarebbe stato di € 5000 +/- € 200 con una garanzia di sostituzione di 48 ore in caso di storni di addebito. Il cliente può richiedere una data e un’ora di consegna dell’account. Se un account con il l’intero importo non è disponibile, il venditore lo suddividerà in transazioni separate. Vorrei che la mia banca avesse quel tipo di servizio clienti “.
Gli esperti di sicurezza informatica hanno attribuito alcuni dei risultati del rapporto al modo in cui diversi paesi e regioni stavano legiferando sulla privacy dei dati. Chloé Messdaghi, vicepresidente della strategia di Point3 Security, ha osservato che i tre paesi con i prezzi delle credenziali più alti stavano tutti, in qualche modo, “adottando misure aggiuntive per assicurarsi che tutte le aziende aderissero a una sorta di privacy e protezione dei dati”.
“Trovo davvero affascinante che negli Stati Uniti abbiamo il fullz più economico a circa $ 8 / record”, ha detto Messdaghi, aggiungendo che l’UE e il Giappone stavano dando la priorità a leggi sulla privacy dei dati più solide per limitare, o almeno penalizzare le organizzazioni per il tipo di violazioni che hanno portato a un’ampia disponibilità delle credenziali.
“Negli Stati Uniti, non lo mettiamo in cima alla lista delle priorità come loro, e questa ricerca lo dimostra chiaramente. Le aziende – e i consumatori – devono fare meglio in materia di privacy. Abbiamo bisogno di una migliore regolamentazione, una migliore legislazione. E , davvero, abbiamo bisogno di una maggiore consapevolezza generale della nostra impronta digitale. Chiudi gli account che non utilizzi o non utilizzi. Elimina i dati di pagamento. Reimposta le password in modo che contengano più di 20 caratteri. È più facile prevenire un incendio che spegnerne uno. ”
Il rapporto suggerisce che “non c’è molto che un utente finale possa fare per le violazioni dei dati se non per registrare un minor numero di account e ridurre al minimo il proprio impatto digitale”.
Le fasce di prezzo rendono probabile che gli attacchi alle principali istituzioni continuino, ha affermato Timothy Chiu, vice presidente del marketing di K2 Cyber Security. Sebbene tutti debbano fare un lavoro migliore per proteggersi individualmente, è diventato notevolmente più importante che le aziende facciano la loro parte nella protezione dei dati che prendono dagli utenti.
La pandemia ha costretto quasi tutte le organizzazioni a operare online in una certa misura e si è verificato un corrispondente aumento degli aggressori che sfruttano le vulnerabilità trovate nelle applicazioni web.
Un sondaggio Radware del 2020 pubblicato il mese scorso ha rilevato che su 205 responsabili delle decisioni in materia di sicurezza IT, il 98% ha dichiarato che le proprie app sono state oggetto di un attacco nel 2020 . Un altro rapporto di CDNetworks ha rilevato un aumento dell’800% degli attacchi alle applicazioni web nei primi sei mesi del 2020.
“Le organizzazioni che offrono applicazioni con connessione Internet devono migliorare la sicurezza delle loro applicazioni per prevenire violazioni dei dati”, ha affermato Chiu.
“Anche il NIST, l’ente governativo che definisce il Security and Privacy Framework per il governo federale, ha aumentato la propria guida per la sicurezza delle applicazioni, includendo sia RASP (Runtime Application Self-Protection) che IAST (Interactive Application Security Testing), come requisiti l’ultimo framework, SP800-53 Revisione 5, che è stato appena rilasciato nel settembre del 2020. ”
Saryu Nayyar, CEO di Gurucul, ha richiesto revisioni e aggiornamenti più regolari e l’implementazione delle migliori soluzioni di sicurezza disponibili, inclusa l’analisi della sicurezza. Le forze dell’ordine dovevano anche intensificare gli sforzi per interrompere gli anelli di criminalità informatica con maggiore frequenza, ha aggiunto Nayyar.
Ma ciò che ha colpito di più per lei è stato il modo in cui questo tipo di crimine informatico è diventato professionalizzato in misura preoccupante.
“I risultati della ricerca di Comparitech sono un altro punto saliente di come sia diventato il crimine informatico mercificato. Il prezzo delle credenziali rubate segue le regole della domanda e dell’offerta, mentre gli attori criminali si preoccupano della loro reputazione al punto da fornire la soddisfazione del cliente garantita”, ha detto Nayyar.
“Questo, se non altro, evidenzia che il crimine è diventato un business e sta andando abbastanza bene sul Dark Web”.