Trend Micro analizza i fenomeni illegali associati al deepweb, i network principali, la portata economica dei marketplace e le tecniche che i ricercatori possono utilizzare per rilevare queste attività nascoste sulla rete.
A pochi giorni dallo shutdown imposto dall’Fbi a Silk Road, una delle più famose piattaforme Tor per la compravendita di sostanze stupefacenti, documenti falsi, trojan bancari e account trafugati su Netflix o Amazon, Trend Micro rende disponibile il report “Deepweb and Cybercrime” che esamina in profondità i canali alternativi utilizzati dal crimine online, il valore delle merci e gli sviluppi tecnologici delle piattaforme.
Con il termine “deepweb” viene indicata una classe di contenuti su Internet, che per diversi motivi tecnici, non è indicizzata dai motori di ricerca. Tra le diverse strategie in atto per aggirare i crawler dei motori di ricerca, le modalità più conosciute sono i “darknet”, network che mirano a garantire l’accesso anonimo e irrintracciabile di contenuti web e l’anonimato di un sito. In passato il deepweb è stato spesso associato in modo univoco a The Onion Router (Tor), ma Trend Micro ha rintracciato molte altre tipologie di network che garantiscono l’accesso anonimo e irrintracciabile, darknet come I2P e Freenet ma anche domini top level alternativi (Tld), e le così dette “rogue Tld”.
Il deepweb, soprattutto le darknet come Tor, rappresentano un canale rilevante per lo scambio di merci, legali o illegali, in maniera anonima. In particolare i marketplace del deepweb vengono utilizzati per scambiare e acquistare una vasta gamma di beni e servizi di diversa natura associati ad attività illegali, dalle carte di credito clonate agli stupefacenti e alle armi fino ad assoldare un hacker o addirittura un killer.
Trend Micro ha tracciato le merci di maggior interesse e analizzato i prezzi comparandoli con i canali tradizionali del cybercrime, come i forum dell’underground criminale russo.
Le analisi di Trend Micro suggeriscono che, allo stato attuale, la rete nel deepweb che riveste maggior interesse da un punto di vista commerciale sia ancora Tor, nonostante gli ultimi colpi inflitti dall’autorità statunitense. Se il deepweb ha dimostrato di essere molto funzionale per l’hosting di botnet di server di C&C e lo scambio di merci come la droga e le armi, non è risultato però altrettanto valido per le attività della criminalità informatica tradizionale.
Emerge, infatti, che per i beni di natura digitale (ad esempio i numeri delle carte di credito, i conti PayPal o i malware) i forum dell’underground offrono una maggiore varietà e transazioni a prezzi più convenienti. Ad esempio, una carta di credito clonata che costa mediamente 23,7 dollari sui forum underground può avere un prezzo di 68,8 dollari sui siti Tor. Inoltre, se da una parte l’anonimato offerto da network come Tor tutela i malintenzionati nell’acquisto, può risultare anche un deterrente perché non contribuisce a stabilire e riconoscere la reputazione del potenziale venditore nel tempo, i nickname possono essere facilmente clonati e falsificati e questo può risultare deleterio quando si acquistano beni così “sensibili”.
L’analisi del deepweb è risultata particolarmente complessa perché le attività sono molto più difficili da tracciare e monitorare rispetto all’underground tradizionale. I cambiamenti avvengono in modo rapido e alcuni siti illegali maggiormente critici possono essere online solo in momenti specifici (ad esempio siti di pornografia minorili) e avere una finestra breve di trading. Inoltre, le recenti rivelazioni su vasta scala e l’arresto dei criminali che gestiscono i siti ospitati nel deepweb stanno iniziando a produrre dei cambiamenti rispetto al sistema. Non sarebbe sorprendente se presto le darknet arrivassero a frammentarsi in altre reti alternative o private, complicando ulteriormente il lavoro degli investigatori online. Lo shutdown del marketplace di Silk Road, ad esempio, porterà sicuramente grandi cambiamenti perché ha rappresentato un duro colpo per il traffico illegale di droga. Potenzialmente però il deepweb può ospitare un numero illimitato di servizi e attività illegali ed emergeranno presto nuovi markeplace di riferimento.
Il report completo Deepweb and Cybercrime è consultabile online cliccando qui.