Commercio di malware, vulnerabilità, database hackerati sono attività molto diffuse, anche se forse quella più visibile e popolare - almeno a giudicare dalla quantità e la frequentazione dei forum - è il carding, ovvero lo scambio e compravendita di carte di credito (più precisamente dei loro dati) e il loro utilizzo per acquistare beni o trasferire fondi ai danni dei titolari legittimi delle stesse.

Molte delle informazioni che circolano sono guide dettagliate su come funzionano i diversi tipi di carte e come gestirle. Su HackBB Reloaded, un sito dedicato all’hacking, si trova un’utile compendio di “Cose che non sai sulla tua carta di credito”. Oltre ai “9 modi per non essere beccato” (nell’usare quella altrui). Informazioni che peraltro pullulano anche fuori dal Dark Web, nella Rete in chiaro. Così come in chiaro si trovano anche forum internazionali di carders, spesso setacciati dalle stesse banche per raccogliere informazioni e comprarsi indietro i dati di carte rubate, così come mi ha spiegato il giornalista Brian Krebs, un vero esperto di criminalità informatica e soprattutto un cacciatore infaticabile di carder russi o dell’Est Europa. “Ci sono letteralmente centinaia di negozi che vendono carte rubate. Alcuni sono più affidabili di altri e hanno più assortimento. In realtà non ci si guadagna molto a chiudere questi siti, che tendono a essere utili alle banche e alla polizia. E poi anche se li blocchi i loro gestori aprono facilmente un nuovo dominio, spostano il negozio. Lo fanno in continuazione”.
[[ge:espresso:visioni:1.169694:article:https://espresso.repubblica.it/visioni/2014/06/17/news/deep-web-la-rete-oltre-google-1.169694]]
Ad ogni modo come sempre, anche nel Deep, i livelli sono multipli. C’è ad esempio Canopy che aggancio mentre sta discutendo in una chat la vendita di un set di carte di credito, cioè una serie di informazioni rubate che comprendano tipo di carta, nome, cognome, numero, scadenza e Cvv2. Lui le vende a 10 euro l’una in blocchi da dieci. Va detto però che avere queste informazioni non garantisce in automatico la possibilità di intascarsi dei soldi o di usarle a piacimento. Se si fa una mossa sbagliata il rischio di avere la carta bloccata è molto alto. “Bisogna conoscere i siti, sapersi proxare, investigare sulla persona, creare situazioni realistiche”, mi dice Canopy. “La figata è comprarci moneta virtuale” come i Linden Coin, il denaro usato su Second Life “e riciclarla, ma è difficile, quindi in genere si acquistano degli oggetti che si fanno arrivare da qualche parte con degli escamotage [casa abbandonata, casella postale aperta con documenti falsi etc.]”.

Le carte si ottengono in vari modi: quello più diretto, hackerando un sito di ecommerce. “Queste che ho adesso le ho rubate a un venditore”, mi dice. Prima si dedicava all’hacking per divertimento. Ora ha deciso di monetizzare.

Ma, appunto, riuscirci, fare cioè il cash out di una carta, non è affatto così semplice.

“Il problema principale è non farsi arrestare mentre lo si fa”, mi spiega Giacomo Paoni, esperto di cybersecurity anche in relazione al settore bancario. “I modi per fare cash out sono molteplici, uno dei più elementari è quello di acquistare prodotti con le carte rubate e poi rivenderli. Come si sottraggono le carte? Avendo accesso al database di un sito di ecommerce; oppure compromettendo un negozio fisico, i suoi server di gestione dei pagamenti, e di conseguenza sniffando la track2 della carta e le altre informazioni utili a clonarla ; o ancora compromettendo i PoS di un retailer con un malware; o facendo skimming [cioè clonandole]”. Fino ai casi in cui si compromette direttamente un provider di carte prepagate o un processore di carte di credito. “In genere chi viola grossi database di carte non le utilizza per sé ma le vende un tanto al chilo a criminali di più basso livello che poi le utilizzeranno per estrarci i soldi prendendosi i rischi [spesso infatti le crew di cash out sono le prime che vengono arrestate]”.

Il sito più noto di hacking e carding, nel Deep, si chiama Tor Carding Forum (TCF). Lo conoscono tutti e in effetti è molto frequentato, con tante sezioni specifiche. Ogni aspetto del furto e dell’utilizzo di carte è trattato ampiamente, ma soprattutto questo è un grande mercato di scambio di dati.

Mi iscrivo al forum e contatto il suo amministratore, che è molto noto, e si fa chiamare Verto (questo è proprio il suo nick). Mi spiega, nel corso di una chat criptata, che il sito è stato fondato nel giugno del 2012. “All’epoca il numero di siti onion era abbastanza basso e non ce n’era di dedicati al carding. Per cui è stato progettato come luogo centrale per scambiarsi idee, conoscenze e abilità”. In pratica, mi spiega Verto in una conversazione molto garbata e professionale, il forum è solo un posto per incontrarsi e condurre i propri affari in modo controllato, compratori e venditori in primo luogo. “Avere siti/negozi indipendenti non funziona molto bene. La maggior parte sono truffatori”, mi dice senza alcun filo d’ironia. Mi fa un esempio, il servizio Rent A Hacker (Affitta un hacker), pubblicizzato su una delle principali directory del Deep, Hidden Wiki, chiaramente una fregatura. “Di qui il bisogno di un forum in cui i venditori possano essere valutati dai loro pari”, aggiunge. E non solo da loro, mi viene da pensare: la storia di come l’Fbi infiltrò la criminalità informatica al punto da arrivare a gestire un grosso sito di carders, in passato, è ben raccontata nel libro KingPin di Kevin Poulsen. Ma il ragionamento di Verto non fa una piega: “la fiducia si costruisce col tempo e con la prova di molte vendite andate a buon fine. È il solo modo in cui le cose possono funzionare in un mercato anonimo”. È il modello del sito con feedback e reputazione alla eBay, che è stato così efficace anche con Silk Road. E diventa particolarmente importante in un ambiente aleatorio, sfuggente e irrintracciabile come quello del Dark Web.

Nel momento in cui sto parlando con Verto TCF ha circa 13mila membri, anche se non sono tutti attivi. “Di fatto ogni giorno si loggano 500-600 iscritti al giorno, poi ci sono molti altri ospiti che leggono il forum senza iscriversi”. Verto mi spiega che lo scenario del carding - e delle attività per la sua prevenzione e contrasto - è in continua mutazione. Ed è reso sempre più difficile da misure di sicurezza come lo standard EMV [sviluppati da alcuni dei maggiori vendor], carte IC (che integrano microchip), sistemi di protezione antifrode come 3-D secure per la verifica online. Ritiene anche che le stime sul giro di affari del carding siano gonfiate: “ogni indagine delle forze dell’ordine calcola che l’ammontare di una frode relativa al carding sia in media di 500 dollari a carta. È chiaramente ridicolo pensare di arrivare fino a una simile cifra. Includono nel conteggio anche carte non valide, e comunque per le frodi online la cifra media è molto inferiore. È solo un esercizio per dimostrare il bisogno di aumentare i poteri investigativi e di spionaggio, e per giustificare i soldi e il tempo dedicati alle indagini”.

Gli chiedo se pensa mai al rischio di essere individuato. “Sono consapevole della possibilità, ma mi fido di Tor e dei suoi servizi nascosti. Tutti gli arresti più recenti sono derivati da errori umani, in alcuni casi piuttosto prominenti. Mentre non c’è una prova che Tor sia stato compromesso nei suoi fondamentali”.