Quando nuove tecnologie, internet e criminalità semplice e organizzata si incontrano: i dati dello IOCTA 2021
Contenuti e punti chiave dello IOCTA 2021
Per prima cosa, la sigla IOCTA sta per Internet Organized Crime Threat Assessment. Lo IOCTA 2021 è composto da pochi capitoli:
- reati e sfide trasversali
- criminalità cyber-dipendente
- materiale pedopornografico
- frodi online
- darkweb.
Dai dati raccolti nello IOCTA 2021 si arriva ad una serie di conclusioni di ciò che succede nel mondo criminale che fa ricorso alle nuove tecnologie:
- i programmi di affiliazione ransomware[1] consentono a un gruppo più ampio di criminali di attaccare grandi aziende e istituzioni pubbliche[2] minacciandole con metodi di estorsione stratificati come gli attacchi DDoS;
- il malware mobile si evolve con i criminali che cercano di eludere ulteriori misure di sicurezza come l’autenticazione a due fattori;
- lo shopping online ha portato a un forte aumento delle frodi online;
- il materiale autogenerato esplicito è una preoccupazione crescente ed è anche distribuito a scopo di lucro;
- i criminali continuano ad abusare di servizi legittimi come VPN, servizi di comunicazione crittografati e criptovalute[3].
Come si è arrivati a queste conclusioni? Il gruppo di lavoro che ha lavorato all’elaborazione dello IOCTA 2021 ha intervistato tutti gli Stati membri dell’Unione Europea, un numero limitato di paesi terzi, i membri dei gruppi consultivi di Europol e gli specialisti interni. A questi è stato chiesto quali cambiamenti fossero specificamente avvenuti nel panorama delle minacce negli ultimi 12 mesi. La ricerca si è quindi basata principalmente sugli sviluppi più rilevanti. È fondamentale sottolineare però che la rapidità di cambiamenti non permette di definire fisso e assolutamente costante un dato andamento o indirizzo preso dai cybercriminali.
Vediamo più in dettaglio cosa si legge nel report perché ci sono parecchi punti interessanti su cui anche i non esperti della materia devono prestare attenzione.
Caas, Maas e Raas: strumenti diversi per vari obiettivi
Il modello Crime-as-a-Service (CaaS) rimane una caratteristica importante della criminalità informatica sotterranea ed è un fattore trasversale in tutte le sotto-aree del crimine informatico. Le forze dell’ordine europee hanno segnalato un aumento delle offerte Malware-as-a-Service (MaaS) sul Dark Web, di cui i programmi di affiliazione ransomware sembrano essere i più importanti.
Questi programmi sono un’evoluzione del modello Ransomware-as-a-Service (RaaS) in cui gli operatori condividono i profitti con i partner che possono violare una rete di destinazione e raccogliere tutte le informazioni necessarie per lanciare un attacco o distribuire il malware stesso. Ciò ha ampliato il mercato della vendita dell’accesso a infrastrutture compromesse e violazioni dei dati. In relazione alle attività degli operatori di ransomware e malware mobile, anche Access-as-a-Service (AaaS) è molto richiesto in quanto è uno strumento usato sia da chi ha già esperienza con l’uso di malware che per i criminali di basso livello che ricorrono a questi strumenti per accedere alle reti aziendali.
Ci sono vari servizi, strumenti e tecnologie che facilitano la criminalità informatica. Alcuni servizi legittimi ampiamente utilizzati, sono inavvertitamente utili per i criminali perché permettono comunicazioni sicure, anonimato, offuscamento e riciclaggio di proventi illeciti.
Altri servizi possono essere classificati come operanti in un’area “grigia”. Tali servizi si trovano spesso in paesi con leggi sulla privacy molto rigide o una storia di non collaborazione con le forze dell’ordine. Questi sono usati dai criminali e pubblicizzati nei forum in cui spesso convergono criminali informatici. I servizi di infrastruttura grigia includono hoster a prova di proiettile, scambi di criptovaluta (lo IOCTA 2021 cita spessa Monero come criptovaluta usata) e VPN che forniscono rifugi sicuri per i criminali[4].
Produzione e distribuzione di materiale pedopornografico, CSAM
La produzione e la distribuzione di materiale pedopornografico – Child Sexual Abuse Material o semplicemente CSAM – è stata influenzata dalla crescente presenza (spesso incontrollata) di minori online.
La proliferazione di app di messaggistica crittografata e social media ha un impatto sui metodi di adescamento e sulla distribuzione di CSAM tra i trasgressori. I regimi di lockdown per il contenimento della pandemia hanno costretto all’apprendimento a distanza e virtuale, mentre l’incapacità di partecipare alle attività sociali ha comportato un tempo significativamente maggiore trascorso a giocare online e sulle piattaforme di social media. Inoltre, la crescente normalizzazione del comportamento sessuale online sta cambiando l’atteggiamento dei giovani nel condividere contenuti espliciti tra loro. Questi cambiamenti sociali hanno fornito ai trasgressori un gruppo più ampio di potenziali vittime esposte all’uso di Internet per periodi di tempo più lunghi in circostanze più vulnerabili. In particolare gli adulti attivi in casi di produzione e distribuzione di materiale pedopornografico fanno leva su identità fasulle per ottenere la fiducia dei minori e successivamente ottenere materiale prodotto dagli stessi. La produzione di materiale autogenerato è in molti casi una conseguenza della sextortion: lo IOCTA 2021 indica che il CSAM è un’attività in crescita.
Alcune ricerche indicate nel report indicano la produzione e lo scambio di immagini sessuali da parte degli adolescenti come esplorazione della loro sessualità: avviene spesso infatti che si assista ad uno scambio di materiale compromettente tra gli stessi giovani.
Infine, nello IOCTA 2021 si fa ancora riferimento al fatto che i gruppi che facilitano lo scambio di CSAM sul DarkWeb[5] e le app o programmi che permettono uno scambio P2P (peer-to-peer) continuano a proliferare e sono una minaccia persistente.
Le frodi online
L’estensione dei blocchi in tutta Europa ha portato con sé una serie di nuove opportunità di e-commerce, che spesso si sono rivelate un obiettivo per i criminali. La frode di consegna, in particolare, è emersa come un nuovo focus criminale nel secondo anno della pandemia: in Italia per esempio è diventata nota la truffa del pacco postale da consegnare[6]. Fingendosi servizi di consegna, i criminali contattano potenziali vittime con collegamenti a siti web di phishing che fingono di offrire informazioni sulla consegna di un pacco, con l’obiettivo di ottenere credenziali utente e dettagli della carta di pagamento. Queste frodi sono condotte soprattutto tramite telefono – vishing[7] – e sms – smishing[8].
Questa mescolanza di diversi modi operandi è una tendenza chiave nelle frodi. Sempre più spesso i criminali colpiscono due volte le loro vittime: in seguito al furto di dati, i criminali contattano le vittime spacciandosi per avvocati o agenti delle forze dell’ordine offrendo aiuto per recuperare i loro fondi. Con l’aiuto dello spoofing e della conoscenza dettagliata del furto, sono spesso in grado di frodare più volte le loro vittime.
Darkweb
Il termine anche se presente da anni nel campo appare sostanzialmente uguale: lo IOCTA 2021 stabilisce che non ci siano stati stravolgimenti della struttura e del suo funzionamento.
Del resto, mantenere l’anonimato diventa l’unica cosa che conta per un utente del Darkweb: viene riportato che le comunicazioni più usate sono quelle crittografate. Wickr e Telegram pare siano tra le app più usate.
Nel Darkweb risulta ancora centrale l’esistenza di realtà note come marketplaces, cioè dei mercati in cui beni e servizi illeciti possono essere scambiati o comprati. Armi e strumenti di estorsione (come i MaaS che abbiamo visto prima) sono i più richiesti.
Un notevole risultato è la chiusura di DarkMarket, il marketplace più noto del 2020. Con più di 500.000 utenti e di 320.000 transazioni eseguite, DarkMarket aveva un valore complessivo di 140 milioni di euro: all’interno di questo mercato era possibile usare come metodi di pagamento sia Bitcoin che Monero. L’operazione è stata possibile grazie alla collaborazione dell’Europol e delle autorità australiane, danesi, tedesche, moldave, ucraine, inglesi e americane.
Quali sono le possibili misure da adottare?
Le misure di contrasto alla criminalità informatica e il corretto respingimento di attacchi informatici sono obbligatoriamente da ricondurre ad una strategia di ampio respiro. Come indica lo stesso IOCTA 2021, bisogna:
- ricorrere a strumenti innovativi, essenziali per contrastare l’accelerazione del crimine informatico,
- lavorare sulla sicurezza informatica[9]
- formare i membri delle forze dell’ordine
- favorire la cooperazione giudiziaria e
- implementare disposizioni legislative specifiche per la lotta alla criminalità informatica.
Nello IOCTA 2021 si sottolinea l’impatto che il Covid-19 ha avuto nella vita quotidiana di milioni di persone: i criminali si sono affrettati ad abusare delle circostanze attuali per aumentare i profitti, allargando i loro tentacoli in varie aree e sfruttando qualsiasi vulnerabilità, collegate a sistemi, ospedali o individui. In più i gruppi ransomware hanno approfittato del diffuso smartworking.
Non solo: i truffatori hanno abusato delle paure del Covid-19 e della ricerca infruttuosa di cure online per frodare le vittime o accedere ai loro conti bancari[10]. L’aumento dello shopping online in generale ha attirato più truffatori. Ed è bene non dimenticare i minori: questi trascorrono molto più tempo online, specialmente durante i lockdown, e c’è una diffusione di materiale esplicito autoprodotto in aumento.
Oltre ad ampliare gli sforzi per affrontare queste minacce dal punto di vista delle forze dell’ordine, è fondamentale aggiungere un altro livello di protezione in termini di sicurezza informatica. L’implementazione di misure come l’autenticazione a più fattori e il riconoscimento delle vulnerabilità è importantissimo per ridurre la possibile esposizione alle minacce informatiche. La sensibilizzazione e la prevenzione sono componenti chiave per ridurre l’efficacia degli attacchi informatici e di altre attività criminali abilitate alla tecnologia informatica.
Per concludere sullo IOCTA 2021: alcuni consigli
Diffidare da mail che citano operazioni mai fatte, fare attenzione agli indirizzi mail da cui proviene una mail, non accettare di scaricare documenti sconosciuti, notare quando una mail possa essere scritta in un italiano sgrammaticato perché spesso sono mail tradotte con programmi automatici, non cadere nel tranello di rispondere a mail in cui si richiede di fare qualcosa di urgente (offerte speciali, biglietti scontati dell’ultimo minuto, etc.).
E ancora, è bene aggiornare le password, fare correttamente le operazioni di log off da programmi e app, nonché ricorrere se possibile all’autenticazione a due fattori e all’uso dell’impronta digitale per consentire operazioni economiche sui dispositivi mobile.
Informazioni
Europol (2021), Internet Organised Crime Threat Assessment (IOCTA) 2021, Publications Office of the European Union, Luxembourg
[1] Michele Quintieri spiega cos’è un ransomware in questo articolo per DirittoConsenso: I ransomware: che cosa sono e come prevenirli – DirittoConsenso
[2] Gli attacchi a Kaseya e SolarWinds mostrano come i criminali abbiano realizzato il potenziale nell’attaccare le catene di approvvigionamento digitali, spesso puntando sull'”anello più debole”. Tuttavia, molti dei gruppi più famigerati hanno ridotto gli attacchi ai governi e ai servizi sociali nel tentativo di limitare l’attenzione delle forze dell’ordine su di loro.
[3] Tutti questi strumenti continuano ad essere oggetto di abuso per la facilitazione e la proliferazione di una vasta gamma di attività criminali. In particolare sul mondo delle criptovalute, molti exchanges di criptovaluta hanno rafforzato le loro politiche know-your-customer (KYC) dall’introduzione di linee guida e direttive a vari livelli tuttavia risulta ancora facile per i criminali usare le criptovalute come strumenti di pagamento, di richiesta di riscatto e di scambio. Ciò ha comportato sfide significative per le indagini sulle attività criminali e la protezione delle vittime di reato
[4] Non è un caso se l’Europol ha coordinato, insieme ai suoi partner, la rimozione di vari servizi che operano in aree grigie, come la rimozione di due VPN che hanno fornito rifugi sicuri per i criminali informatici: DoubleVPN e Safe-Inet.
[5] Lo IOCTA 2021 indica in una piccola sezione del report la rimozione della piattaforma Darkweb Boystown che si concentrava su abusi sessuali su minori ed in cui erano presenti 400.000 utenti registrati.
[6] Come riportato su La Stampa: Truffa sms, le finte consegne: ‘Abbiamo un pacco postale in giacenza’ – La Stampa
[7] Un modus operandi emergente nel vishing è la truffa dell’account sicuro. In questo tipo di frode, i criminali chiamano i loro obiettivi fingendosi dipendenti di istituti finanziari o della polizia con ID chiamante falsificati, informandoli che devono proteggere i loro soldi dai criminali. Per fare ciò, sono incaricati di trasferire i loro fondi su un “conto sicuro”, che è sotto il controllo dei criminali e successivamente utilizzato in una rete di money mule per riciclare i proventi illeciti. Come con altre truffe vishing, la truffa dell’account sicuro spesso prende di mira vittime specifiche con l’aiuto di informazioni compromesse. I criminali hanno utilizzato il vishing per accedere ai conti bancari delle vittime nei paesi in cui i servizi medici sono collegati agli ID bancari mobili. In questi casi, i criminali contattano i cittadini per telefono e chiedono loro di identificarsi allo scopo di organizzare un appuntamento per la vaccinazione o altri servizi medici. I criminali hanno sfruttato questa circostanza per convincere le vittime a fornire i propri documenti di identità per accedere a conti bancari e trasferire inconsapevolmente denaro ai criminali.
[8] Con lo smishing, i criminali hanno impiegato un mix diversificato di modi operandi, contattando le vittime tramite messaggi di testo per richiedere informazioni, reindirizzare a siti Web di phishing o distribuire malware.
[9] Date le sue peculiari caratteristiche, la dimensione cibernetica pone molte nuove sfide al sistema di sicurezza, il quale deve necessariamente sviluppare nuovi approcci e mezzi. In particolare, le caratteristiche proprie del web provocano un ampliamento dei confini nazionali, intesi nella loro accezione classica strettamente legata ai limiti geografico-politici. Decisivo in tal senso è anche l’uso massiccio del web da parte di qualsiasi tipo di attore. Questi due fattori rendono molto difficile identificare l’origine di un attacco cibernetico data la vastità del campo in cui si opera e la sua costante evoluzione tecnologica, che richiede un continuo adattamento.
[10] Questa pratica è stata anche sottolineata dall’INTERPOL nel 2020 ben prima che la campagna di vaccinazione iniziasse. Per un approfondimento su quanto detto dall’INTERPOL: Le attività dell’Interpol ai tempi del Covid-19 – DirittoConsenso

Lorenzo Venezia
Ciao, sono Lorenzo. Laureato in giurisprudenza presso l’Università degli Studi di Milano Bicocca con una tesi sul recupero dei beni culturali nel diritto internazionale e sul ruolo dell'INTERPOL e con il master "Cultural property protection in crisis response" all'Università degli Studi di Torino, sono interessato ai temi della tutela dei beni culturali nel diritto internazionale, del traffico illecito di beni culturali e dei fenomeni di criminalità organizzata e transnazionale.