Quanto vale un account rubato, e cosa se ne fanno i ladri?

Questo articolo era stato pubblicato inizialmente il 28/06/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Se custodire con attenzione il proprio numero di carta di credito è un gesto di prudenza abbastanza ovvio per quasi tutti gli internauti (con l’eccezione di quelli segnalati impietosamente su Twitter da @needadebitcard), perché è chiaro che da una carta di credito un truffatore può ottenere soldi, è meno chiaro il valore economico di un account di mail o di un social network. Cosa se ne fanno i ladri, e come li monetizzano?

Presso la University of Illinois a Chicago è stato presentato uno strumento consultabile via Internet, Cloudsweeper, che esamina (se gli date il permesso) il contenuto di una vostra casella di mail e ne stabilisce il valore sul mercato nero. Il valore deriva dal fatto che nella casella sono quasi certamente custodite mail che contengono le password o i link di reset di password dei vari servizi utilizzati dall’utente. Avere il controllo di una casella di mail significa poter prendere il controllo di tutti i servizi commerciali collegati a quella casella (Amazon, iTunes, Skype, per esempio).

Il ricercatore di sicurezza Brian Krebs ha pubblicato un articolo che illustra i vari modi per monetizzare un account di posta rubato: lo si può vendere come punto di disseminazione di spam, come fonte di altri dati e indirizzi (per esempio codici di abilitazione di software o chiavi di accesso a Dropobox o Google Drive), come accesso a dati e transazioni bancarie (con relative estorsioni) e come sorgente per violazioni di privacy (anche qui a scopo di estorsione) e di riservatezza delle attività di lavoro. Un criminale può anche prendere il controllo di un account di posta e poi contattare la vittima chiedendo un riscatto per restituirglielo.

Ma quanto vale un account rubato? Nei posti giusti di Internet, un account su iTunes vale 8 dollari; quello presso un corriere internazionale ne vale sei; un account attivo su Facebook o Twitter viene via con due dollari e mezzo. Deprimente.

Difendersi richiede l’uso di password robuste e soprattutto differenti per ciascun servizio, ma anche un gesto di prudenza in più: cancellare dal proprio archivio di posta tutte le mail che contengono codici di autorizzazione o