Del: 9 Gennaio 2016 Di: Alessandro Massone Commenti: 0

Benvenuti nel deep web: un mare profondissimo di contenuti inaccessibili attraverso motori di ricerca, non linkati, completamente segreti.
Sul fondo di questo mare si trova una enorme dark net – un overlay network che si appoggia sulla struttura di Internet, ma non lo è – un’altra rete, segreta, privata, tenuta al sicuro da occhi non iniziati, accessibile solo attraverso un software ad hoc.
Nel caso specifico parliamo della rete privata navigabile attraverso il browser anonimo Tor, The Onion Router.
Le pagine di cui vi racconteremo in questa rubrica hanno spesso infatti come dominio di primo livello .onion — che garantisce all’utente completa cifratura delle comunicazioni sia in ingresso che in uscita, e rende molto piú difficile il tracciamento dei pacchetti.

Ci sono infinite e valide ragioni per usare Tor e comunicazioni criptate. Su Vulcano Statale siamo convinti sostenitori della necessità della crittografia come strumento fondamentale nelle mani del cittadino per garantire la propria vita privata all’oscuro dello sguardo sempre piú attento di Stato e malintenzionati.

Oggi invece, parliamo di criminali.

Benvenuti su PaypalCenter.

PaypalCenter è un negozio dove un gruppo di hacker vende accesso ad account Paypal compromessi, al prezzo di poco piú di un decimo dei fondi caricati dalla vittima. Un account italiano da 706 euro, ad esempio, è in vendita in questo momento a 95 dollari.

Il worm di PaypalCenter, un “programma malvagio” in grado di autoreplicarsi e di diffondersi senza bisogno di infettare nessun file, registra ogni tasto premuto sui computer delle vittime. Se – quando – il login e la password vengono digitate con la tastiera, il worm le può rubare e inviare immediatamente al gruppo. Il programma si diffonde autonomamente lasciando dietro di sé una botnet, una rete di computer (bot) a cui PaypalCenter può accedere in qualsiasi momento, ma costantemente impegnati nello svolgere tutte le funzioni richieste dall’attività criminale.

Negozio
Forse l’aspetto piú inquietante di PaypalCenter – oltre al lento realizzare di essere su un sito di gente che vende soldi rubati – è la raffinatezza del prodotto negozio in sé. Organizzato come una semplice board, con un solo click e inserendo una mail si può prenotare un account rubato, che viene congelato per due ore, reso inaccessibile agli altri utenti in modo da poter terminare l’acquisto.
In privato, via mail, si riceve un indirizzo verso cui trasferire fondi per il prezzo accordato, in Bitcoin ovviamente.

Per garantire la sicurezza dei propri client, PaypalCenter sfrutta nuovamente la propria botnet. Sul sito, tra i servizi compresi nell’acquisto, è vantato l’accesso ad un server SOCKS 5 da usare “come fronte” per sbancare il profilo Paypal appena acquistato in completo anonimato. Un server SOCKS è un tipo di proxy – un intermediario –, che permette a un computer di collegarsi a Internet usando l’IP di un’altra macchina. In realtà questi fantomatici server offerti gratuitamente nel pacchetto sono i computer stessi parte della botnet, gli stessi computer che hanno rilevato i dati di login dei propri ignari proprietari.

Proxy
I banditi di PaypalCenter non hanno timore a confidarsi con i propri clienti, nel tentativo di creare un rapporto di fiducia, che deve essere effettivamente difficile in quanto hacker criminali.
Devono, in fin dei conti, saper convincere i propri acquirenti della validità del prodotto e rispondere a una domanda fondamentale — perché vendere l’accesso a questi account quando potrebbero sbancarli loro?
Il gruppo di PaypalCenter non vuota il sacco, ma un paio di dettagli nelle FAQ del negozio (sì, hanno una FAQ) sembrano troppo specifici per non avere una storia alle loro spalle.

We are a familiar name within the TOR system, even Softpedia wrote articles about us.
We changed a little since then, simplified our service for the benefit of everyone. And yes… we had problems in the past, so we’re only working with Paypal accounts for now, no more credit card stuff. (…) Cashing them out all at once would raise high suspicion. We had our problems with the authorities before, and don’t wanna make the same mistake again. If you cash out 4 or 5 accounts a month, it is OK. If you cash out 100-200, that will raise serious suspicion. It’s better business for us to sell these to individual people, who can really cash them out.

La storia è fin troppo prevedibile. Ci hanno provato a svuotare tutti gli account in un sol colpo, ma sono stati beccati. Ritornati online dopo la propria schermaglia con la legge, hanno imparato la lezione — si chiama risk-forwarding: dividere il crimine con una terza parte, mantenendo entrambi il completo anonimato, in modo da garantire la massima sicurezza per la propria parte di operazione. Così il cliente paga un account a un valore drasticamente inferiore ai fondi a cui potrà accedere, ma paga la differenza nel diventare complice di un reato: una quota in Bitcoin, e l’altra in rischio.
“Servizio”, worm descritto sulla pagina, risk-forwarding e modus operandi hanno un perfetto precedente, nell’azione di un altro gruppo che nel 2012 offriva accesso diretto all’ebanking di vittime di keylogging, a prezzi ancora inferiori a quelli attuali.
Impossibile dire se il gruppo attivo anni fa, poi scomparso in fuga dall’FBI, abbia trovato un successore spiriturale, o se si tratti degli stessi criminali riemersi – il riferimento volante a “no more credit card stuff” sembra sottendere un collegamento, che resta però impossibile da verificare.

Piú inverosimile dell’esistenza di questo gruppo che vende soldi rubati, piú inquietante della fierezza con cui PaypalCenter racconta la propria attività criminale, è il guestbook integrato nel sito, dove clienti soddisfatti lasciano messaggi entusiastici – pronti ad abbandonare il proprio lavoro, di fronte alla promessa di denaro infinito, al solo costo di furto e ricettazione.

Guestbook

Alessandro Massone
Designer di giorno, blogger di notte, podcaster al crepuscolo.

Commenta