Come (e quanto) guadagnano i pirati con le credenziali rubate? L’aumento esponenziale del Credential Stuffing è dovuto al fatto che i cyber-criminali hanno guadagni garantiti con un investimento tutto sommato modesto.
Da un punto di vista della pianificazione economica, il mondo del cyber-crimine avrebbe qualcosa da insegnare alle aziende. Le attività dei pirati informatici sono infatti improntate a logiche di guadagno estremamente rigide e la loro attività si sposta sempre in direzione dei settori più profittevoli.
L’aumento dell’attività legata al Credential Stuffing, cioè all’uso di credenziali rubate e disponibili sul Dark Web per cercare di violare altri account in cui gli utenti hanno usato la stessa email e password, non fa eccezione. Secondo gli esperti, riescono a guadagnare fino a 20 volte il denaro investito.
A fare luce sui meccanismo di questa attività criminale ci ha pensato Recorded Future, che in uno studio approfondito (si può scaricare il PDF The Economy of Credential Stuffing Attack) ricostruisce le strategie usate dai pirati informatici, i costi che affrontano e i loro guadagni.
Da un punto di vista storico, le prime attività di Credential Stuffing di un certo rilievo sono state individuate nel 2014, quando i cyber-criminali hanno cominciato a utilizzare sistemi automatizzati per tentare di accedere agli account attraverso l’utilizzo di credenziali rubate da servizi online e acquistate sul mercato nero.
Un processo che richiede, oltre all’investimento per acquistare i database contenenti le credenziali rubate (costo di circa 150 dollari) anche quello per le infrastrutture necessarie per battere a tappeto siti e social network senza dare troppo nell’occhio.
I software più utilizzati per questa attività sono sei, anche se i ricercatori segnalano che esistono decine di varianti utilizzate dai criminali. Il loro costo varia tra i 50 e i 250 dollari, a seconda delle funzionalità che mettono a disposizione.Il costo maggiore che devono sopportare, in realtà, è legato ai servizi Proxy che permettono di eseguire più tentativi di accesso cambiando ogni volta indirizzo IP. Un servizio del genere ha un costo di 250 dollari a settimana.
Secondo i ricercatori di Recorded Future, quindi, nel complesso una campagna di Credential Stuffing costa in media 550 dollari.
A fronte di questo modesto investimento, per ogni milione di credenziali utilizzate sono in grado di compromettere tra i 10.000 e i 30.000 account.
Ma quanto guadagnano per ogni account compromesso? Normalmente i pirati li rivendono e, anche se i prezzi sono calati negli ultimi tempi a causa di un aumento dell’offerta, i profitti sono notevoli. Ogni singolo account frutta infatti dai 50 centesimi ai 3,50 dollari.
Nel complesso, secondo lo studio, i cyber-criminali possono arrivare a guadagnare fino a 19.700 dollari a fronte di 550 dollari spesi, con un “utile” di 19.150 dollari. Anche pensando che non arrivino a tanto, ma solo alla metà, stiamo parlando appunto di un rapporto di 20 a 1.
Insomma: si tratta di un mercato estremamente profittevole e con margini di rischio (economico) davvero ridotti. L’ipotesi che qualcuno possa andare in perdita, infatti, è estremamente remota. L’impressione, letto lo studio, è che di Credential Stuffing sentiremo parlare ancora per un bel po’ di tempo.
Lascia un commento