I dati personali di 3.890 manager italiani sono stati messi in vendita online

I dati personali di 3.890 manager italiani sono stati messi in vendita online

I numeri di telefono, indirizzi di posta elettronica privati e aziendali di 3.890 manager e dirigenti di istituti finanziari italiani sono finiti online. Tutti in vendita, messi su un forum pubblico, accessibile da qualsiasi computer, in un sito registrato nel regno insulare di Tonga. Lo ha scoperto Yoroi, società di cybersecurity italiana del gruppo Tinexta.

Si tratta di un elenco di nomi già scoperto dall’azienda nel dark web lo scorso novembre su una piattaforma chiamata RaidForums. Ora è di nuovo disponibile. Un criminale informatico potrebbe averlo scaricato e rimesso in vendita come se fossero nuovi. Un piccolo tesoretto di contatti con cui fare delle truffe, spiegano dalla società. Specie se, come ha verificato Italian Tech, i numeri di telefono e le email delle persone presenti nell’elenco sono rimasti gli stessi. E’ così. I numeri verificati dalla nostra testata sono ancora attivi. Ma come possono essere usati?

Le truffe Bec, un affare da 44 miliardi. Cosa sono

La tipologia e la qualità delle informazioni personali presenti nell’elenco potrebbero consentire diverse truffe. Le più note in quest’ambito hanno il nome di Business email compromise (Bec, la compromissione della posta di lavoro), in cui a partire da una serie di dati personali i criminali riescono a impersonare i legittimi titolari degli account di posta per frodare le vittime prescelte ed effettuare trasferimenti di fondi non autorizzati.

Clonando un numero si possono inviare sms a nome del legittimo proprietario del numero, duplicandone di fatto l’identità, spiegano dall’azienda. Tramite i profili social di ogni singolo manager si possono ricostruire contatti, la rete sociale di appartenenza, e usare le informazioni ottenute per circuire conoscenti, colleghi, clienti della società per cui il manager lavora. Si tratta di quella che viene chiamata ingegneria sociale: ricostruire un’identità per truffare qualcuno dribblando diffidenza, sospetti e puntando sulla fiducia che il singolo ha costruito per anni.

In un report dell’Fbi si calcola che truffe Bec abbiano prodotto una perdita di 43 miliardi di dollari in cinque anni, dal 2016 al 2021. Colpiscono piccole imprese locali e grandi aziende multinazionali e tra luglio 2019 e dicembre 2021 ci sarebbe stato un aumento del 65% delle perdite economiche causate da questo tipo di truffa, messa a segno in qualunque parte del mondo.

Dati con cui online si può fare quasi qualunque cosa

Secondo l’amministratore delegato di Yoroi, Marco Ramilli, “è assai probabile che il criminale stia ripresentando sotto nuova veste dati già divulgati approfittando del fatto che la piattaforma underground RaidForums su cui erano inizialmente comparsi sia stato nel frattempo chiuso dalle Autorità”.

Ramilli fa riferimento al Cerfin, il consorzio dedicato alla prevenzione del crimine informatico in ambito bancario, a cui è stato denunciato il primo elenco pubblicato nel dark web. “L’insieme dei dati, già circolante dalla data della scoperta nel novembre 2021 potrebbe tuttavia essere oggetto in queste ore di rinnovati tentativi di frode o furto basati su tecniche di ingegneria sociale”, aggiunge il manager.

Con numeri di telefono, identità, mail e altri dati personali presenti nell’elenco e che Italian Tech ha visualizzato, si può fare praticamente qualsiasi cosa online. Ma quello che più resta probabile è, visto il tipo di profili presenti, questi dati possano servire per mettere a segno truffe, tentativi di phishing, oppure chiedere dei pagamenti a persone di cui si ha la fiducia.

Stando a quanto riferiscono fonti a Italian Tech, il criminale informatico che ha messo in vendita i ‘nuovi’ dati potrebbe essere già stato individuato. Potrebbe trattarsi di un trentatreenne di Novara, con un passato nel mondo della sicurezza. Ma al momento non si hanno certezze sulla sua identità.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *