ABC della sicurezza

ABC della sicurezza: Black Market

Security

Che si tratti di un mercato legale o illegale, le domande che ci si fa sono pressocchè le stesse: quali sono i prodotti top seller? Qual è la domanda per ognuno di essi? Qual è il loro valore di mercato? E’ chiaro che parlando di mercato underground la maggior parte dei prodotti sarà illegale o al confine con la legalità. Come è ben chiaro a chi abbia avuto modo di frequentare anche occasionalmente il , tra i prodotti più venduti ci sono sostanze stupefacenti, medicinali che necessitano di prescrizioni mediche, kit di exploit, documenti di identità falsi, carte di credito clonate, armi e molto altro. Tra i prodotti top seller, compaiono droghe, dalle più leggere alle più pesanti, carte di credito e alcuni servizi di hacking. Il valore di riferimento, per avere una idea dell’ordine di grandezza di cui parliamo, varia per ogni prodotto dai 100 dollari per una carta di credito con servizio “soddisfatti o rimborsati”, alle migliaia di euro per acquisto di botnet o di armi, tutti espressi in dollari per la maggior parte e pagabili con carta di credito e in moneta digitale.
Alcuni dei market più famosi sono SilkRoad, chiuso per ben due volte e attualmente alla terza versione, Alpha Bay, The Real Deal, Dream Market , e molti altri. Ognuno di essi è specializzato in uno o più prodotti e usa una o più metodologie di pagamento e valuta.

Chi avrebbe il coraggio di usare la propria carta di credito su uno di questi market? Probabilmente la risposta è: nessuno. Infatti l’anonimizzazione è un aspetto molto importante per procedere alla vendita o all’acquisto di servizi o prodotti, è una necessità. Ma come si fa a rimanere anonimi senza rischiare che venga rivelata la propria identità sui Black Market del Deep Web?

L’utilizzo di connessioni anonime, che siano di tipo Virtual Private Network o sfruttando reti  come I2P o Tor, è obbligatorio ma non basta. Bisogna porre attenzione ad ogni passaggio senza tralasciare niente. Una piccola falla potrebbe costare cara e anche un indizio apparentemente insignificante riconducibile alla identià del soggetto, potrebbe farlo rintracciare senza grossa fatica. Ed è per questo che occorre rendere anonimo anche il proprio denaro. Abbiamo detto che l’utilizzo di carte di credito personali è poco raccomandabile se si vuole tutelare la propria privacy. Bisognerà crearsi un conto, in gergo wallet, di moneta digitale: un conto corrente a tutti gli effetti. Vediamo nel dettaglio: il conio cybernetico più conosciuto è il Bitcoin ma ne esistono diversi tipi, come diversi sono i siti dove è possibile aprire un portafoglio dal quale gestire il denaro.

Parola d’ordine: anonimato

SicurezzaPrima di tutto una precisazione: non vuole, quella che segue, essere una “guida” all’acquisto nel Black Market tanto che si è deciso di non inserire riferimenti a prodotti o altro. L’obiettivo però è quello di descrivere la compessità di un sistema che è sempre più reale e concreto e che rischia di essere una fonte di non pochi problemi per quanti si avventurano, magari anche dalle reti aziendali, nel Balck Market. Chi sceglie di rivolgersi al Black Market, indipendentemente da valutazioni di tipo civico o morale attorno a questa scelta, si muove in un mondo che va compreso per poter essere affrontato senza danni per persone, cose oppure organizzazioni.

Anonimato, si diceva. Il primo passo è quello di cercare di aprire un conto corrente possibilmente senza indicare la nostra identità. Per fare ciò esistono alcuni siti dove si possono creare conti virtuali in pochi click.  Una volta creato il conto come si acquista moneta virtuale? A parte la possibilità di acquistare con carte di credito o account Paypal, è possibile effettuare pagamenti con corriere e hand to hand e, ovviamente, così come in qualsiasi mercato che si rispetti, i contanti sono la soluzione per mantenere davvero l’anonimato. Fatto questo è necessario indicare un indirizzo che identifichi in maniera chiara il proprio wallet per effettuare una transazione in moneta virtuale, che ha la stessa valenza di un IBAN per un conto normalissimo corrente bancario tradizionale. Considerando che ogni transazione viene registrata e esposta sul web nei siti di acquisto di moneta digitale, con un analisi attenta, seguendo varie transazioni verso e da il nostro conto, un malintenzionato potrebbe risalire al nostro portafoglio e provare a vuotarlo. Per evitare, ancora una volta, di essere rintracciati, è necessario creare dei link temporanei, utilizzabili per una singola transazione che rendono più complessa l’analisi e quindi la rintracciabilità del wallet. Se si vuole ulteriormente aumentare il livello di anonimizzazione si possono usare dei servizi che funzionano da proxy, cosidetti “lavanderie”, per rendere ancora meno rintracciabili le transazioni. Questi servizi, banalmente, ricevono la transazione dal conto di moneta virtuale e prima di inoltrare il pagamento al market dove si vuole acquistare un prodotto, effettuano vari scambi di denaro digitale internamente per poi rindirizzare la transazione al Black Market. Posso quindi comprare bitcoin per poi acquistare conti paypal o carte di credito rubate per poi continuare ad acquistare con queste? La risposta è si. E molti lo fanno per complicare ancora di più la possibilità di essere rintracciati ed aumentare sensibilmente il proprio capitale. Ovviamente il tutto assume un aspetto illegale e quindi sconsiglio vivamente di effettuare prove con questi metodi.

Ottenuta la  moneta virtuale, occorrerà dunque entrare in contatto con il venditore o con il compratore per informarsi sulle caratteristiche del prodotto o per indicare l’indirizzo di spedizione o il conto di accredito. Di nuovo non bisogna tralasciare l’importanza di rendere il più possibile anonima la comunicazione. Su questi market, essendo veicoli di prodotti e servizi illegali, è molto facile imbattersi in malintenzionati che potrebbero essere interessati ad entrare in possesso dei nostri dati personali. Per questo esiste uno strumento chiamato PGP (Pretty Good Privacy) che permette attraverso un algoritmo di cifratura di inviare messaggi tramite email protetti da una passphrase o password. Il dettaglio di questo sistema, per ora, lo lasciamo a un appuntamento sucessivo su Techeconomy. Quello che è importante capire è che con questo metodo riusciamo a mantenere un segretezza importante per la nostra privacy e per quella della nostro controparte.

E se fosse una truffa?

Ultimo ma non meno importante è la domanda chiave che ognuno si fa di fronte ad un Black Market. Non sarò truffato? Per ovviare a questo tipo di dubbi che assalgono i propri frequentatori, alcuni mercati neri hanno istituito la funzione di mediatori. Detti “escrow”, rappresentano una terza entità all’interno della transazione che garantisce per il venditore. Di fatto ogni prodotto con questo add on è identificato nel market in maniera chiara, così da permettere a chi ricerca un prodotto di poter trarre velocemente le sue considerazioni. Spesso la terza parte è l’admin del market. Ad ogni modo l’escrow tratterrà il pagamento fino alla consegna del prodotto che verrà certificata dal compratore. Solo allora verrà inviato il pagamento al venditore. Questo, ovviamente, inserisce all’interno della transizione un livello di protezione ma anche una possibilità per entrambe le parti, venditore e compratore, di essere truffati dalla terza parte.

Come anticipato, abbiamo voluto concentrare l’attenzione sulla modalità di pagamento e su alcuni aspetti importanti dei Black Market e non parlare, come spesso si fa, dei prodotti che su esso si trovano, mettendoli in bella mostra con delle immagini. Agire su questi mercati necessita di grande attenzione ed è per questo che i curiosi devono essere avvisati di quanto sia complesso entrare e sperimentare il Black Market. Senza opportuni accorgimenti si finisce solo per essere truffati o tanto peggio rintracciati e quindi identificati. E se poi queste operazioni vengono fatte internamente ad una rete aziendale si può mettere a rischio la stessa in pochissimi passaggi.

 

Alessandro Contini

Alessandro Contini

Alessandro Contini opera come Cyber Consultant in realtà nazionali e internazionali, partendo da una lunga esperienza e competenza tecnica sulle architetture di sistemi, in particolare legate alla infrastrutture critiche. Inoltre Alessandro collabora come specialista di Cyber ​​Intelligence per trovare informazioni più approfondite in amibito Cyber Crime e Cyber terrorismo.

LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This