E’ uscito da alcuni giorni il report The Internet Organised Crime Threat Assessment (IOCTA) 2015 di Europol che riporta un’analisi dettagliata delle minacce da criminalità organizzata riscontrate sul campo da parte delle Forze dell’Ordine degli stati membri della Unione Europea. Il report focalizza l’attenzione sugli attacchi informatici, lo sfruttamento di minori online e le frodi nei sistemi di pagamento. Proprio in questo ultimo frangente, particolare importanza riveste l’argomento monete digitali e bitcoin forensics.
Il report è scaricabile gratuitamente da questo link [WBM] e nell’arco delle sue 76 pagine cita molto spesso l’argomento Bitcoin, presentandolo purtroppo come la moneta maggiormente utilizzata nell’ambito della criminalità organizzata online al punto da non essere più soltanto la criptovaluta di riferimento per i Darknet Marketplace.
Rispetto all’uso ormai consolidato dei bitcoin in ambito di ransomware e locker, il report Europol ne cita l’utilizzo anche in ambito di estorsione a seguito di DDoS. Gli attacchi di Distribuited Denial of Service infatti implicano l’interruzione di servizi online (siti web, portali, email, etc…) e la richiesta estorsiva di un riscatto per poter ripristinare quanto è stato bloccato, interrompendo sostanzialmente l’attacco. Le cifre richieste per interrompere un DDoS vanno – sempre secondo il report – da 1 a 100 bitcoin, in base alle disponibilità finanziarie della vittima.
Anche in ambito di pagamenti tra criminali (es. acquisti di carte di credito rubate o conti bucati, credenziali sottratte tramite phishing, etc…) il Bitcoin è tra gli strumenti preferiti ma inseriti in un elenco di metodi di pagamento ancora piuttosto corposo:
- Servizi di trasferimento finanziari (conti bancari o carte di credito);
- Servizi nascosti (hidden service) nella Darknet come Agora o il defunto Evolution (che sotto utilizzano i bitcoin con funzione di escrow service);
- Servizi di Money Transfer (Western Union, MoneyGram, etc…);
- Sistemi di voucher (Ukash, PaySafeCard, etc…);
- Servizi di pagamento online (PayPal, Skrill, etc…)
- Monete virtuali centralizzate( PerfectMoney, WebMoney, etc…);
- Sistemi di monete digitali non centralizzati (invariabilmente i Bitcoin).
Ovviamente i ransomware come Cryptolocker, CryptoWall 3.0 o CTB-Locker hanno il triste primato di aver reso le criptovalute come il Bitcoin note al grande pubblico, essendo ormai le richieste di riscatto espresse in bitcoin.
In ambito di estorsioni online e delle vendite di prodotti rubati o inesistenti, vengono però ancora richieste modalità di pagamento quali Ukash, Paysafecard o MoneyPak e persino i tradizionali bonifici bancari o pagamenti con carte di credito.
Interessante questa tabella riassuntiva, sempre tratta dal report Europol 2015 sulla Criminalità Organizzata, che mostra come il Bitcoin sia purtroppo presente in diversi ambiti della filiera del cybercrime quali estorsione, frodi e truffe, acquisto di dati rubati, registrazione di hosting, noleggio piattaforme di DDoS, commercio di materiale illegale sui Dark Web e movimentazione/riciclaggio di fondi.
Il report Europol analizza quindi il fenomeno delle Darknet negli onion hidden service Tor citando l’operazione Onymous del novembre 2014, a seguito della quale 21 paesi hanno collaborato a far chiudere 619 domini .onion procedendo al sequestro e confisca di bitcoin per un valore di 900.000 euro. Durante l’operazione ben 33 marketplace e forum presenti nella rete sommersa sono stati chiusi e 17 persone arrestate.
Altro successo delle Forze dell’Ordine citato da Europol è la chiusura del mercato nero Evolution, del marzo 2015, a seguito della quale si è proceduto al sequestro e confisca di bitcoin per un valore di 11 milioni di euro. La chiusura del marketplace Evolution ha, ovviamente, semplicemente spostato il volume d’affari verso dark market come Agora, Abraxas, Alphabay, Black Bank e Middle Earth.
Molto interessante – in conclusione – lo schema della distribuzione dei profitti dei mercati illeciti ripreso da un paper della Carnegie Mellon University [WBM] intitolato “Measuring the Longitudinal Evolution of the
Online Anonymous Marketplace Ecosystem“.
Il grafico, ben realizzato, mostra come una piccola parte dei criminali attivi nella Darknet generi oltre il 50 % di tutte le transazioni che producono un profitto illecito. Questo a significare come vi siano dei piccoli ma potenti gruppi di criminalità organizzata che gestiscono la maggioranza del mercato nero, mentre i restanti attori sono pesci più piccoli che si spartiscono una fetta di torta sempre più ridotta.
Dal quadro che emerce dal report dell’Europol, risulta palese che discipline come la bitcoin forensics avranno sempre più importanza in futuro, al punto che le Forze dell’Ordine stanno organizzando dei team specializzati e producendo documentazione (come il report stesso) a supporto delle attività investigative.