Criminalità e tecnologia. Parte II: Mercati criminali

---

Questo articolo è il secondo di una serie in tre parti su crimine e tecnologia. La prima parte ha esaminato come i criminali utilizzano piattaforme di comunicazione sicure. Nella seconda parte, esploriamo gli usi illeciti dei mercati online. I criminali hanno sempre fatto affidamento sui mercati per fare affari, ma grazie a Internet, quei mercati non sono più legati al mondo fisico. Mentre i mercati criminali online si sono dimostrati particolarmente efficaci nel commercio di droga al dettaglio, la loro capacità di supportare i gruppi di hacker criminali informatici potrebbe rivelarsi molto più dirompente.

---

Nakhon Kasem era un mercato popolare nel centro di Bangkok con venditori che offrivano una serie di novità che vanno dai mobili agli strumenti musicali. I negozi erano un miscuglio di vetrine, carretti a mano e venditori che vendevano la loro merce da teloni stesi per strada. Nel 20° secolo, aveva la reputazione di vendere beni rubati, guadagnandosi il soprannome di “Mercato dei ladri”. Il caos del mercato comunale rendeva difficile determinare chi fosse legittimo e chi no, tanto meno la provenienza dei beni che vendevano.

Il concetto di scherma di beni rubati – in cui un commerciante acquista consapevolmente beni rubati da criminali e li vende come legittimi – in un mercato vivace non è esclusivo di Nakhon Kasem. Per millenni, i mercati hanno fornito ai venditori legittimi e illegittimi l’accesso agli acquirenti. Oltre agli agricoltori e agli artigiani locali, anche ladri e criminali locali hanno beneficiato sia dell’incontro di acquirenti e venditori per vendere le loro merci illecite, sia di un ambiente ricco di obiettivi per acquisirne altre illegalmente. I vicoli tortuosi e le stanze nascoste dietro le vetrine legittime fornivano la segretezza e la privacy necessarie per le transazioni criminali.

Poiché i mercati sono diventati più formali nel corso degli anni, le aziende più grandi e più attente alla reputazione che li controllano sempre di più hanno represso lo scherma ed il furto attraverso la dovuta diligenza, il controllo di qualità e la cooperazione con la polizia. Mercati come Nakhon Kasem, che aveva la reputazione di sostenere l’attività criminale, hanno attirato il controllo delle forze dell’ordine che alla fine hanno eliminato gli attori criminali. Di recente, una grande azienda thailandese ha acquistato il terreno che occupa Nakhon Kasem e sta ristrutturando l’area, costringendo i vecchi inquilini a lasciare spazio a più moderni sbocchi commerciali. Con l’aumento dei centri commerciali moderni, le reti bizantine di mercati informali diminuiscono, almeno nella maggior parte delle economie sviluppate. Tuttavia, l’offerta e la domanda di beni e servizi criminali sono forti oggi come lo erano 1.000 anni fa. Con la scomparsa dei mercati fisici, i criminali moderni hanno sviluppato i propri vicoli segreti e stanze private online. Accessibili a coloro che si sono impegnati per trovarli e accedervi e sono disposti a correre i rischi associati, i mercati criminali online sono la versione del 21° secolo di Nakhon Kasem.

In che modo i criminali utilizzano i mercati online

 

I criminali hanno utilizzato Internet per intraprendere attività illegali sin dal suo inizio. L’anonimato di Internet ha ispirato l’attività criminale e la sua capacità di connettere le persone contemporaneamente in tutto il mondo lo rende il mercato più efficiente che l’umanità abbia mai visto. Tuttavia, come Nakhon Kasem, il successo criminale online all’inizio dell’era digitale ha attirato l’attenzione. I servizi di polizia hanno iniziato a reprimere sfacciate attività criminali online che non hanno fatto alcun tentativo di occultamento. Come i moderni centri commerciali che dominano il commercio nel mondo sviluppato, i fornitori di servizi web che sostengono l’attività criminale auto-controllata del commercio online, costringendo i criminali ai margini di Internet dove hanno dovuto sacrificare l’accesso al mercato per la sicurezza operativa.

All’inizio del 21° secolo, la crescente preoccupazione per la privacy online ha ispirato la creazione del software Tor, che rende anonimo il traffico web attraverso la propria rete di volontari. Proprio come i servizi di messaggistica crittografati, gli autori di Tor non si sono proposti di facilitare le attività criminali. In effetti, stavano lavorando come ricercatori per la Marina degli Stati Uniti e la comunità dell’intelligence quando hanno sviluppato il software a metà degli anni ‘90. Tuttavia, la privacy e l’anonimato forniti da Tor sono stati una manna per gli attori criminali, che hanno approfittato del software dopo il suo lancio pubblico nel 2006. Negli anni 2010 i mercati criminali utilizzavano il software Tor per nascondere l’attività dei loro venditori e acquirenti, essenzialmente stabilendo un backroom in cui venditori e acquirenti potrebbero incontrarsi, sfruttando l’accessibilità al mercato di Internet pur mantenendo la sicurezza operativa.

Uno dei primi mercati criminali online di successo a utilizzare Tor è stato Silk Road, che è stato lanciato online nel 2011. In modo simile ai mercati online legali di oggi come Amazon, gli acquirenti che hanno effettuato l’accesso a Silk Road potevano cercare vari prodotti e visitare le pagine dei fornitori. I clienti possono anche lasciare recensioni per indirizzare il traffico verso venditori affidabili e lontano da truffatori. I venditori avrebbero quindi inviato gli articoli acquistati tramite posta in pacchi dall’aspetto innocuo, completando la vendita. Tra il 2011-2012, i ricercatori stimano che Silk Road abbia facilitato $ 1,2 milioni di vendite al mese, principalmente nella vendita di droga, ma anche nell’armamentario della droga, nella pornografia illecita e negli strumenti per eseguire attacchi informatici. Mentre acquirenti e venditori avevano chiaramente successo, gli amministratori di Silk Road guadagnavano quasi $ 100.000 al mese in commissioni.

Mentre il software Tor ha fornito l’ambiente per il funzionamento dei mercati criminali online, un’altra svolta tecnologica ha permesso di monetizzare quella privacy: la criptovaluta. Bitcoin, una delle prime applicazioni pratiche di successo della criptovaluta, è diventata disponibile al pubblico nel 2009. Ha fornito una rete finanziaria alternativa che integrava la privacy di Tor consentendo ad acquirenti e venditori su Silk Road di completare transazioni finanziarie al di fuori della carta di credito standard o servizi di trasferimento di denaro, che erano più propensi a notare e segnalare attività illecite. Affronteremo come gli attori criminali hanno adottato nuove tecnologie finanziarie nella terza parte di questa serie.

La riuscita integrazione di Silk Road di Tor e criptovaluta ha creato un modello che centinaia di altri mercati hanno da allora imitato e costruito nell’ultimo decennio. L’Osservatorio europeo delle droghe e delle tossicodipendenze, un’agenzia dell’Unione europea, ha documentato 110 importanti mercati criminali online tra il 2010 e il 2019. Ma nello stesso periodo sono comparsi e scomparsi anche migliaia di siti più piccoli. Uno di questi mercati, Cannazon, ha abbracciato il confronto con i mercati online legittimi, prendendo il nome da un portmanteau di cannabis e Amazon. Sebbene i farmaci rimangano i prodotti più popolari sui principali mercati, le offerte si sono ampliate per includere credenziali di accesso rubate, numeri di carta di credito e altre informazioni di identificazione personale (PII) che i criminali possono utilizzare per commettere frodi o condurre attacchi informatici dirompenti. I mercati offrono anche software, come strumenti ransomware e pacchetti per sfruttare le vulnerabilità del software convenzionale, che i criminali possono utilizzare per supportare le loro attività di criminali informatici o servizi di “hacker for rent” per attaccare obiettivi assegnati a pagamento.

I mercati sono anche diventati più grandi e più sofisticati nell’attrarre clienti. Mentre Silk Road aveva solo poche centinaia di venditori e circa 100.000 acquirenti, il Wall Street Market (un altro mercato criminale online) contava circa 5.400 venditori e oltre un milione di acquirenti prima della sua rimozione nel 2019. Nel gennaio 2021, le autorità tedesche hanno accusato gli amministratori dietro il mercato criminale DarkMarket di facilitare $ 170 milioni di vendite nel corso di 320.000 transazioni. Proprio come gli amministratori di Silk Road, anche i promotori del mercato criminale online più recenti sono stati in grado di trarre profitto dal business. Nel marzo 2021, l’amministratore del sito Deep Dot Web si è dichiarato colpevole di riciclaggio di denaro sporco. Il sito web operava sul convenzionale, Internet pubblico più facilmente accessibile e ha fornito informazioni su vari mercati e su come le persone potrebbero utilizzarli. Le autorità lo hanno accusato di aver ricevuto una commissione dai mercati criminali online per ogni segnalazione andata a buon fine, facendogli guadagnare $ 8,4 milioni nel corso di otto anni. Tuttavia, altri servizi sembrano aver rapidamente sostituito Deep Dot Web elencando statistiche su vari mercati, nonché potenziali rischi associati a fare affari su quei mercati e come accedervi. 

In che modo i mercati online rendono i criminali vulnerabili al rilevamento

 

Ma con un grande successo arriva un maggiore controllo. Simile a come le piattaforme di messaggistica crittografate popolari tra i criminali hanno attirato un maggiore interesse della polizia, come indicato nella prima parte di questa serie, anche la crescita dei mercati criminali online li ha resi vulnerabili. Come i servizi di messaggistica crittografata, i server che ospitano mercati criminali online sono stati un punto debole per i loro amministratori. Silk Road si è conclusa nell’ottobre 2013, quando il Federal Bureau of Investigation (FBI) ha chiuso i suoi server, ha sequestrato il sito Web e ha arrestato Ross Ulbricht, il principale amministratore del servizio. Da allora, centinaia di altri mercati criminali online hanno incontrato un destino simile:

• Nel 2019, le autorità in Europa hanno chiuso i server e hanno fatto irruzione negli indirizzi collegati ai mercati di Wall Street e Valhalla, chiudendo due dei più grandi mercati criminali online attivi all’epoca.
• All’inizio del 2021, le autorità tedesche hanno condotto un’operazione per chiudere DarkMarket, che per un certo periodo si basava su server gestiti da un ex bunker bomba della NATO nel sud-ovest della Germania.
• Nel 2021, l’FBI ha arrestato 12 persone e ha sequestrato il sito Web per Slilpp, un mercato online per credenziali di accesso rubate.

Tuttavia, chiudere Silk Road e arrestare il suo fondatore non è stato sufficiente per fermare l’attività illecita. Nel giro di poche settimane, gli amministratori che avevano lavorato con Ulbricht alla prima iterazione di Silk Road avevano organizzato e aperto Silk Road 2.0. Dopo aver trascorso la maggior parte di un anno a rintracciare e chiudere Silk Road, l’operazione dell’FBI è stata pari a poche settimane di interruzione dell’attività criminale.

Dalla chiusura di Silk Road, la polizia ha adottato un approccio sempre più ampio ai mercati criminali online chiudendo i siti Web e i server che li supportano, nonché arrestando sia gli amministratori dei siti Web che i principali venditori e acquirenti sulla piattaforma mirata. Nel 2014, l’operazione Onymous ha chiuso nove mercati contemporaneamente e arrestato decine di amministratori che mantenevano attivi i siti, non solo i prestanome. Chiudendo più siti contemporaneamente, ha impedito ad acquirenti e venditori di migrare semplicemente in un altro mercato e riprendere le operazioni come al solito. Anche così, nuovi mercati sono emersi ancora per prendere il loro posto e, sebbene l’interruzione fosse probabilmente più duratura, era chiaro che acquirenti e venditori continuavano a fare affari.

Nel 2016 e nel 2017, invece di chiudere semplicemente i mercati oscuri, la polizia ha avuto accesso ad essi e ha raccolto prove che hanno aiutato a effettuare centinaia di arresti di importanti acquirenti e venditori. Infiltrarsi nei mercati piuttosto che semplicemente chiuderli ha fornito molte più prove per arrestare i partecipanti più in basso nella catena del valore. Ha anche introdotto dubbi nei mercati. Acquirenti e venditori non potrebbero mai essere veramente sicuri di avere a che fare con un membro delle forze dell’ordine che stava raccogliendo prove a sostegno del loro eventuale arresto.

Le repressioni della polizia non sono l’unica ragione per cui i mercati criminali online crollano, ma hanno minato la fiducia e la stabilità all’interno di questi mercati, rendendoli più inclini a crepe interne. La paranoia all’interno di un mercato può significare rapidamente la sua fine. Se ci sono indicazioni che la polizia si sia infiltrata in un mercato e lo stia monitorando, sia gli acquirenti che i venditori abbandoneranno il mercato per evitare di essere scoperti. Di conseguenza, la maggior parte dei mercati ha una durata di pochi mesi. Solo pochi eletti ce l’hanno fatta più di un anno. A sua volta, la natura effimera del successo dei mercati li rende più vulnerabili alle truffe dei venditori che vogliono massimizzare i profitti su una determinata piattaforma prima di passare alla successiva. La tattica è nota come truffa di uscita, quando i venditori accettano ordini e pagamenti ma non forniscono i beni o servizi promessi. Possono farla franca per due o tre settimane prima che le recensioni negative spaventino gli acquirenti, ma hanno il potenziale per essere più efficaci dei truffatori di uscita sui mercati online legittimi perché gli acquirenti criminali non hanno il ricorso per avvisare le forze dell’ordine una volta che sono stati truffato. Truffe di uscita pervasive, completamente estranee a qualsiasi attività di polizia, sono state la causa di molteplici fallimenti del mercato, costringendo venditori e acquirenti a migrare al mercato successivo e dimostrando una delle debolezze intrinseche dei mercati criminali online, indipendentemente dal controllo delle forze dell’ordine.

• Nel 2019, DreamMarket è crollato dopo che la polizia ha arrestato diversi grandi venditori, creando paranoia all’interno del mercato che ha portato sia acquirenti che venditori ad abbandonarlo per paura che la polizia lo avesse compromesso.
• Nel 2020, EmpireMarket è crollato a causa di truffe di uscita.

La natura non regolamentata delle reti criminali online significa anche che sono vulnerabili agli stessi attacchi informatici che affliggono le aziende legittime. Alcuni amministratori del mercato criminale aiuteranno ad accelerare il crollo dei mercati rivali per attirare più acquirenti nei propri. Gli attacchi DDoS (Distributed Denial of Service) o altri attacchi dirompenti spesso interrompono o ritardano le transazioni sui mercati nella misura in cui gli utenti diventano cauti e le abbandonano. Gli attori criminali di terze parti possono anche semplicemente prendere di mira i mercati criminali con le proprie truffe e attacchi informatici motivati ​​finanziariamente al fine di sfruttare i profitti generati da milioni di dollari di vendite. Secondo quanto riferito, Ross Ulbricht, il fondatore dell’originale Silk Road, pagava agli estorsori $ 50.000 a settimana per non condurre attacchi DDoS paralizzanti sul mercato e tenerlo aperto.

I mercati criminali hanno anche tentato di emulare i programmi “bug bounty” che le aziende legittime utilizzano per incentivare la segnalazione di vulnerabilità informatiche in un servizio online piuttosto che utilizzarli per attaccare l’azienda. Nel 2017, il mercato criminale online Hansa (dal nome dell’accordo commerciale e difensivo tra le città medievali del nord Europa) ha offerto 10 Bitcoin (circa $ 10.000 all’epoca) come ricompensa per chiunque potesse rivelare e segnalare vulnerabilità informatiche sulla sua piattaforma nel tentativo di per difendersi dai predoni criminali.

Ciò che verrà

È probabile che il futuro dei mercati criminali online includa una combinazione di più dello stesso gioco del gatto e del topo tra gli amministratori del mercato e la polizia, nonché cambiamenti nel modo in cui operano i mercati e cosa vendono.

Uno dei mercati criminali online più grandi e di maggior successo ancora in funzione è noto come Hydra, che offre agli acquirenti un’ampia varietà di droghe illecite, nonché strumenti di hacking, servizi criminali informatici, credenziali rubate e altre informazioni personali che i criminali informatici possono sfruttare a scopo di lucro. Ha eclissato i precedenti record di entrate nel 2020, facilitando circa 1,37 miliardi di dollari di transazioni, un enorme aumento rispetto ai 9,4 milioni di dollari stimati di transazioni gestite dal 2015-2016. Ha dimostrato di essere eccezionalmente resistente agli sforzi delle forze dell’ordine, come suggerisce il riferimento alla creatura mitica che il suo nome suggerisce, facendo ricrescere due nuove teste ogni volta che ne viene rimossa una. Il mercato è stato chiuso più volte, ma continua a funzionare utilizzando piattaforme di backup e adottando nuove pratiche. Tra l’altro, ha messo a punto sistemi interni per scoraggiare le truffe in uscita e altre pratiche di sfruttamento, ad esempio, richiedendo ai venditori di soddisfare con successo un determinato numero di ordini prima di ricevere i pagamenti (per stabilire la credibilità) e mantenendo un deposito di sicurezza che potrebbe essere utilizzato per compensare gli acquirenti in caso di truffa o arresto. In un certo senso, questi meccanismi proteggono i consumatori che utilizzano il mercato illecito, fornendo un certo grado di regolamentazione e legalità in una linea di attività notoriamente caotica.

Uno dei motivi dell’eccezionalità di Hydra nel rimanere online potrebbe essere perché le sue operazioni hanno sede in Russia, dove le autorità hanno una maggiore tolleranza per l’attività criminale online purché serva l’interesse dello stato. La Russia ha chiuso alcuni mercati criminali online ospitati nei suoi confini, tra cui il Russian Anonymous Marketplace nel 2017 e BuyBest nel 2020, entrambi focalizzati sulla vendita di droga. Ma il Cremlino in genere agisce solo quando questi siti minacciano le sue priorità e/oi cittadini russi. Dato il bilancio che l’epidemia di droga ha avuto sulla demografia russa (il tasso di 10 overdose letali di droga in Russia per 100.000 persone all’anno è tra i più alti in Europa), Mosca ha poca tolleranza per il traffico di droga, il che probabilmente aiuta a spiegare perché ha preso provvedimenti contro questi siti. Al contrario, l’importanza di Hydra come mercato per strumenti criminali informatici come ransomware e software DDoS, che supportano attacchi dirompenti e costosi contro principalmente aziende occidentali, uffici governativi, operatori di infrastrutture critiche e altre organizzazioni – potrebbero in definitiva avvantaggiare il governo russo più di quanto le vendite di farmaci sul mercato lo abbiano danneggiato. In futuro, altri mercati criminali online potrebbero cercare di imitare il successo di Hydra e spostare più operazioni in Russia e in altri paesi che consentono un ambiente più permissivo per le loro attività illecite.

Un altro modo in cui i mercati criminali online si stanno adattando ai maggiori sforzi della polizia contro di loro è concentrandosi maggiormente sulla vendita di strumenti e servizi criminali informatici, credenziali rubate e PII, piuttosto che sul commercio al dettaglio di droga. Mentre i mercati criminali online forniscono anonimato e privacy, le vendite di droga alla fine avvengono nel mondo fisico, con i venditori che devono organizzare la spedizione di prodotti illegali agli acquirenti. Ciò li rende vulnerabili al rilevamento, all’intercettazione e all’arresto, che possono compromettere l’intero mercato se i partecipanti decidono di collaborare con la polizia. Nel frattempo, la vendita di strumenti e servizi criminali informatici come software DDoS, kit ransomware, file pieni di credenziali di accesso e PII possono essere acquistati, venduti e trasferiti elettronicamente, senza la necessità di avventurarsi nel mondo fisico più rischioso. Un rapporto TrendMicro del 2020 ha valutato che i servizi di criminalità informatica offerti sui mercati criminali valgono 1,5 trilioni di dollari all’anno. La vastità del mercato indica quanto siano popolari tali strumenti e servizi e i maggiori guadagni potenziali nel venderli piuttosto che nel trattare beni che richiedono un’interazione fisica più rischiosa. Non solo gli strumenti e i servizi dei criminali informatici sono più sicuri dal punto di vista operativo, ma sono anche più redditizi.

Un mercato più ampio e stabile che supporta strumenti e servizi di criminalità informatica avvantaggia gruppi di “hacker a noleggio” come REvil, che è stato alla base dei recenti attacchi a JBS e Kaseya. Gruppi come REvil sono probabilmente già al lavoro sui loro prossimi progetti, probabilmente facendo affidamento su marketplace come Hydra per connettersi con i clienti e monetizzare ulteriormente le loro capacità e strumenti di hacking. L’affidabilità e la fiducia scarseggiano nel mondo criminale, ma coloro che forniscono continuità aziendale in un mercato così turbolento sono destinati alla ricchezza.

Come accennato, la criptovaluta e la tecnologia blockchain hanno aiutato l’ultima generazione di criminali a sfruttare i mercati online. Ma quelle tecnologie hanno anche introdotto responsabilità nelle transazioni illecite. Nella terza e ultima parte di questa serie, esploreremo come le nuove forme di valuta hanno facilitato le attività criminali e come la polizia ha utilizzato la tecnologia a proprio vantaggio.

 

Bianca Laura Stan